CA SiteMinder®
ディレクトリ設定ガイド
r12.0 SP3
このドキュメント（組み込みヘルプ システムおよび電子的に配布される資料を含む、以下「本ドキュメント」）は、お客様への情報
提供のみを目的としたもので、日本 CA 株式会社（以下「CA」）により随時、変更または撤回されることがあります。 CA の事前の書面による承諾を受けずに本ドキュメントの全部または一部を複写、譲渡、開示、変更、複本することはできません。 本ドキュメントは、CA が知的財産権を有する機密情報です。ユーザは本ドキュメントを開示したり、（i）本ドキュメントが関係する CA ソフトウェアの使用について CA とユーザとの間で別途締結される契約または (ii) CA とユーザとの間で別途締結される機密
保持契約により許可された目的以外に、本ドキュメントを使用することはできません。 上記にかかわらず、本ドキュメントで言及されている CA ソフトウェア製品のライセンスを受けたユーザは、社内でユーザおよび
従業員が使用する場合に限り、当該ソフトウェアに関連する本ドキュメントのコピーを妥当な部数だけ作成できます。ただし CA のすべての著作権表示およびその説明を当該複製に添付することを条件とします。 本ドキュメントを印刷するまたはコピーを作成する上記の権利は、当該ソフトウェアのライセンスが完全に有効となっている期間
内に限定されます。 いかなる理由であれ、上記のライセンスが終了した場合には、お客様は本ドキュメントの全部または一部と、
それらを複製したコピーのすべてを破棄したことを、CA に文書で証明する責任を負います。 準拠法により認められる限り、CA は本ドキュメントを現状有姿のまま提供し、商品性、特定の使用目的に対する適合性、他者の
権利に対して侵害のないことについて、黙示の保証も含めいかなる保証もしません。 また、本ドキュメントの使用に起因して、逸
失利益、投資損失、業務の中断、営業権の喪失、情報の喪失等、いかなる損害（直接損害か間接損害かを問いません）が発
生しても、CA はお客様または第三者に対し責任を負いません。CA がかかる損害の発生の可能性について事前に明示に通告
されていた場合も同様とします。 本ドキュメントで参照されているすべてのソフトウェア製品の使用には、該当するライセンス契約が適用され、当該ライセンス契
約はこの通知の条件によっていかなる変更も行われません。 本ドキュメントの制作者は CA です。 「制限された権利」のもとでの提供：アメリカ合衆国政府が使用、複製、開示する場合は、FAR Sections 12.212、52.227‐14 及び 52.227‐19(c)(1)及び(2)、ならびに DFARS Section252.227‐7014(b)(3) または、これらの後継の条項に規定される該当する制限に
従うものとします。 Copyright © 2010 CA. All rights reserved. 本書に記載された全ての製品名、サービス名、商号およびロゴは各社のそれぞれの
商標またはサービスマークです。 CA 製品リファレンス
このマニュアルでは、以下の CA 製品に言及しています。 ■
CA SiteMinder® ■
CA SiteMinder® Federation セキュリティ サービス CA への連絡先
テクニカル サポートの詳細については、弊社テクニカル サポートの Web サイト
（http://www.ca.com/jp/support/）をご覧ください。 目次
第 1 章： 本書の内容
11
ディレクトリ構成の概要 ........................................................................ 11
第 2 章： Critical Path inJoin Directory Server
13
SiteMinder スキーマ ファイルのダウンロード .................................................... 13
ポリシー サーバからポリシー ストアへの参照の設定 ............................................. 14
ポリシー ストアとしての inJoin Directory Server の設定 ........................................... 15
ポリシー ストア データ定義のインポート ........................................................ 18
管理 UI 登録の準備 .......................................................................... 19
IDS での LDAP トレースの有効化 ............................................................... 22
ユーザ ディレクトリの設定例 ‐ Critical Path InJoin Directory Server ................................ 23
ポリシー サーバの設定例 ‐ Critical Path InJoin Directory Server................................... 24
6.x ポリシー ストアをアップグレードする方法 .................................................... 24
inJoin ポリシー ストア スキーマの拡張 ...................................................... 25
ベース ポリシー ストア オブジェクトのインポート ............................................. 26
ポリシー ストア データ定義のインポート ..................................................... 28
第 3 章： CA LDAP Server for z/OS
31
CA LDAP Server for z/OS の概要 ............................................................... 31
CA Top Secret r12 （TSS）バックエンド セキュリティ オプション ..................................... 32
TSS オブジェクト クラス階層 ................................................................ 32
ポリシー サーバ レジストリ エントリの TSS 用の設定 .......................................... 33
ポリシー サーバから CA LDAP Server for z/OS への接続の設定 ............................... 35
CA LDAP Server for z/OS でサポートされていない SiteMinder 機能 ............................ 36
第 4 章： IBM DB2
37
IBM DB2 データベースをデータ ストアとして設定する方法 ....................................... 37
SiteMinder スキーマ ファイルのダウンロード ................................................ 38
SiteMinder スキーマを含む DB2 データベースの作成 ....................................... 38
SiteMinder に対する DB2 データ ソースの設定 .............................................. 40
ポリシー サーバに対する参照データベースの指定 .......................................... 43
目次 5
SiteMinder スーパーユーザ パスワードの設定 .............................................. 44
デフォルトのポリシー ストア オブジェクトのインポート......................................... 46
ポリシー ストア データ定義のインポート ..................................................... 48
管理 UI 登録の準備 ...................................................................... 49
6.x セッション サーバのアップグレード .......................................................... 51
6.x ポリシー ストアをアップグレードする方法 .................................................... 52
IBM DB2 ポリシー ストア スキーマの拡張 .................................................... 53
ベース ポリシー ストア オブジェクトのインポート ............................................. 53
ポリシー ストア データ定義のインポート ..................................................... 56
第 5 章： IBM Directory Server
59
ポリシー ストアとしての IBM Directory Server .................................................... 59
IBM Directory Server ...................................................................... 59
ディレクトリ サーバ情報の収集 ............................................................. 61
ポリシー ストアを設定する方法 ............................................................. 62
6.x ポリシー ストアをアップグレードする方法 .................................................... 73
IBM Directory Server ポリシー ストア スキーマの拡張 ........................................ 74
ベース ポリシー ストア オブジェクトのインポート ............................................. 74
ポリシー ストア データ定義のインポート ..................................................... 77
第 6 章： MySQL サーバ
79
ポリシー ストアとしての MySQL ................................................................. 79
データベース情報の収集 ................................................................. 79
ポリシー ストアを設定する方法 ............................................................. 80
MySQL データ ストアの設定 ................................................................... 96
キー情報を MySQL に格納する方法 ........................................................ 97
監査ログを MySQL に格納する方法 ....................................................... 100
セッション情報を MySQL に格納する方法 .................................................. 103
MySQL ユーザ ストアを設定する方法.......................................................... 107
SiteMinder サンプル ユーザのインポート .................................................. 107
MySQL サーバ ディレクトリ接続の設定 ..................................................... 107
第 7 章： Novell eDirectory
111
ポリシー ストアとしての Novell eDirectory ...................................................... 111
ディレクトリ サーバ情報の収集 ............................................................ 111
6 ディレクトリ設定ガイド
ポリシー ストアを設定する方法 ............................................................ 112
Novell eDirectory でのポリシー ストア オブジェクトの制限 ................................... 125
6.x ポリシー ストアをアップグレードする方法 ................................................... 125
Novell XPS スキーマ ファイルの編集 ....................................................... 126
Novell ポリシー ストア スキーマの拡張 ..................................................... 127
ベース ポリシー ストア オブジェクトのインポート ............................................ 127
ポリシー ストア データ定義のインポート .................................................... 130
第 8 章： Oracle Internet Directory Server
131
ポリシー ストアとしての Oracle Internet Directory ............................................... 131
ディレクトリ サーバ情報の収集 ............................................................ 131
ポリシー サーバを設定する方法 .......................................................... 132
6.x ポリシー ストアをアップグレードする方法 ................................................... 145
Oracle Internet Directory ポリシー ストア スキーマの拡張 ................................... 146
ベース ポリシー ストア オブジェクトのインポート ............................................ 147
ポリシー ストア データ定義のインポート .................................................... 149
第 9 章： OpenLDAP サーバ
151
SiteMinder スキーマ ファイルのダウンロード ................................................... 151
Slapd 構成ファイルを設定する方法 ........................................................... 152
SiteMinder スキーマ ファイルの指定 ...................................................... 152
ユーザ認証の有効化 .................................................................... 153
データベース ディレクティブの指定 ....................................................... 153
クライアント サイドの並べ替えのサポート................................................... 154
設定ファイルのテスト ..................................................................... 155
OpenLDAP サーバの再起動 .............................................................. 156
データベースを作成する方法 ................................................................ 156
ベース ツリー構造の作成................................................................. 157
エントリの追加 ........................................................................... 157
ディレクトリ サーバをポリシー ストアとして設定する方法 ........................................ 158
ポリシー サーバからディレクトリ サーバへの参照の設定 .................................... 158
ポリシー ストアの作成 .................................................................... 159
ポリシー ストア データ定義のインポート .................................................... 161
管理 UI 登録の準備 ..................................................................... 162
ディレクトリ サーバをユーザ ストアとして設定する方法 .......................................... 165
目次 7
ユーザ ストアの作成 ..................................................................... 165
ポリシー サーバから OpenLDAP ユーザ ストアへの接続の設定 .............................. 166
ポリシー ストアに対する SSL の設定 ........................................................... 168
6.x ポリシー ストアをアップグレードする方法 ................................................... 169
OpenLDAP ポリシー ストア スキーマの拡張 ................................................. 169
ベース ポリシー ストア オブジェクトのインポート ............................................ 170
ポリシー ストア データ定義のインポート .................................................... 173
OpenLDAP のトラブルシューティング .......................................................... 174
Cyrus SASL のインストール ................................................................ 174
Berkeley データベース バージョン不一致エラー............................................ 175
openSSL のビルドおよびインストール ...................................................... 175
第 10 章： Red Hat Directory Server
177
ポリシー サーバから Red Hat ユーザ ストアへの接続の設定..................................... 177
Red Hat Directory Server をポリシー ストアとして設定する方法 .................................. 179
SiteMinder スキーマ ファイルのダウンロード ............................................... 179
ポリシー サーバからポリシー ストアへの参照の設定 ........................................ 180
Red Hat Directory Server でのポリシー ストア スキーマの作成 ............................... 181
SiteMinder スーパーユーザ パスワードの設定 ............................................. 182
デフォルトのポリシー ストア オブジェクトのインポート........................................ 183
ポリシー ストア データ定義のインポート .................................................... 185
ポリシー サーバの再起動 ................................................................ 186
管理 UI 登録の準備 ..................................................................... 187
Red Hat Directory Server への安全な接続を設定する方法 ...................................... 189
ポリシー サーバから Red Hat ユーザ ストアへの安全な接続の設定 .......................... 190
ポリシー サーバから Red Hat ポリシー ストアへの安全な接続の設定 ......................... 191
第 11 章： Siemens DirX 6.0 D00 Directory Server
193
SiteMinder スキーマ ファイルのダウンロード ................................................... 193
ポリシー ストアとしての DirX 6.0 D00 Directory Server の設定 .................................... 194
ポリシー ストア データ定義のインポート ....................................................... 198
管理 UI 登録の準備 ......................................................................... 199
ユーザ ディレクトリの設定例 ‐ Siemens DirX 6.0 ................................................ 201
6.x ポリシー ストアをアップグレードする方法 ................................................... 202
Siemens DirX ポリシー ストア スキーマの拡張 .............................................. 203
8 ディレクトリ設定ガイド
ベース ポリシー ストア オブジェクトのインポート ............................................ 204
ポリシー ストア データ定義のインポート .................................................... 207
第 12 章： Siemens DirX EE 2.0 Directory Server
209
Siemens DirX EE 2.0 ポリシー ストアを設定する方法 ............................................ 209
SiteMinder スキーマ ファイルのダウンロード ............................................... 209
r12.0 SP3 ポリシー ストアとしての DirX EE 2.0 Directory Server の設定 ........................ 210
ポリシー ストア データ定義のインポート .................................................... 213
管理 UI 登録の準備 ..................................................................... 214
6.x ポリシー ストアをアップグレードする方法 ................................................... 217
6.x から r12.0 SP3 への DirX EE 2.0 ポリシー ストアのアップグレード .......................... 218
ベース ポリシー ストア オブジェクトのインポート ............................................ 219
ポリシー ストア データ定義のインポート .................................................... 222
付録 A: SiteMinder の SSL 接続の設定
223
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法 ..................................... 223
SSL 接続を設定する前に ................................................................. 224
NSS ユーティリティのインストール .......................................................... 225
証明書データベース ファイルの作成 ...................................................... 226
証明書データベースへのルート証明機関の追加........................................... 227
証明書データベースへのサーバ証明書の追加 ............................................ 229
証明書データベース内の証明書の一覧表示 .............................................. 231
ユーザ ディレクトリの SSL 接続の設定...................................................... 232
ポリシー サーバから証明書データベースへの参照の設定 .................................. 233
SSL 接続の検証 .......................................................................... 234
付録 B: プラットフォーム サポートおよびインストール メディア
235
SiteMinder プラットフォーム サポート マトリックスへのアクセス ................................... 235
マニュアル選択メニューの使用 ............................................................... 236
インストール メディアの検索 .................................................................. 237
239
索引
目次 9
第 1 章： 本書の内容
このセクションには、以下のトピックが含まれます。 ディレクトリ構成の概要 (P. 11) ディレクトリ構成の概要
この「ディレクトリ設定ガイド」では、以下のディレクトリ サーバお
よびリレーショナル データベースのユーザ ストアまたはポリシー ストアとしての設定について説明します。 ■
Critical Path inJoin Directory Server v4.2 ■
IBM DB2 データベース ■
IBM Directory Server ■
MySQL サーバ ■
Novell eDirectory ■
Oracle Internet Directory Server ■
OpenLDAP サーバ ■
Red Hat Directory Server 7.1 ■
Siemens DirX 6.0 D00 Directory Server ■
Siemens DirX EE 2.0 Directory Server 第 1 章： 本書の内容 11
ディレクトリ構成の概要
Microsoft ADAM、Sun Java System など、その他のサポートされ
ているディレクトリ サーバおよびリレーショナル データベースの
詳細については、以下のガイドを参照してください。 ■
ポリシー サーバ設定ガイド ■
ポリシー サーバ インストール ガイド ■
アップグレード ガイド 12 ディレクトリ設定ガイド
第 2 章： Critical Path inJoin Directory Server
このセクションには、以下のトピックが含まれています。 SiteMinder スキーマ ファイルのダウンロード (P. 13) ポリシー サーバからポリシー ストアへの参照の設定 (P. 14) ポリシー ストアとしての inJoin Directory Server の設定 (P. 15) ポリシー ストア データ定義のインポート (P. 18) 管理 UI 登録の準備 (P. 19) IDS での LDAP トレースの有効化 (P. 22) ユーザ ディレクトリの設定例 ‐ Critical Path InJoin Directory Server (P. 23) ポリシー サーバの設定例 ‐ Critical Path InJoin Directory Server (P. 24) 6.x ポリシー ストアをアップグレードする方法 (P. 24) SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 第 2 章： Critical Path inJoin Directory Server 13
ポリシー サーバからポリシー ストアへの参照の設定
ポリシー サーバからポリシー ストアへの参照の設定
ポリシー サーバからポリシー ストアへの参照を設定し、ポリシー サーバがポリ
シー ストアにアクセスできるようにします。 ポリシー サーバからポリシー ストアへの参照を設定する方法
1. ポリシー サーバ管理コンソールを開きます。 重要： Windows Server 2008 上でこのグラフィカル ユーザ インターフェース
にアクセスする場合は、管理者としてシステムにログインしている場合でも、
管理者権限でショートカットを開きます。 詳細については、お使いの SiteMinder コンポーネントのリリース ノートを参照してください。 2. ［データ］タブをクリックします。 データベース設定が表示されます。 3. ［データベース］リストから［ポリシー ストア］を選択します。 4. ［ストレージ］リストから［LDAP］を選択します。 5. ［LDAP ポリシー ストア］グループ ボックスで、以下を設定します。 ■
LDAP IP アドレス ■
管理者ユーザ名 ■
パスワード ■
パスワードの確認 ■
DN 注： フィールド、コントロール、およびそれぞれの要件については、［ヘル
プ］をクリックしてください。 6. ［適用］をクリックします。 ポリシー ストアの設定が保存されます。 7. ［LDAP 接続のテスト］をクリックします。 SiteMinder は、ポリシー サーバがポリシー ストアにアクセスできることを示す
確認を返します。 14 ディレクトリ設定ガイド
ポリシー ストアとしての inJoin Directory Server の設定
ポリシー ストアとしての inJoin Directory Server の設定
Critical Path の iCon GUI を使用して、Critical Path inJoin Directory Server（IDS）
をポリシー ストアとして設定することができます。 Critical Path inJoin Directory Server（IDS）をポリシー ストアとして設定する方法
1. DSA を起動します。 2. ポリシー サーバがインストールされているマシン上の policy_server_home¥bin に移動します。 policy_server_home ポリシー サーバのインストール パスを指定します。 3. 以下のコマンドを実行します。 ldapmodify -hhost -pport -dAdminDN -wAdminPW -c
-fpath¥criticalpath¥IDS_Add_Schema_R12sp3.ldif
‐hhost LDAP サーバの IP アドレスを指定します。 ‐pport LDAP サーバのポート番号を指定します。 ‐dAdminDN LDAP ディレクトリ サーバ上に新規の LDAP スキーマを作成する権限を
持つ LDAP ユーザの名前を指定します。 例： cn=manager ‐wAdminPW LDAP ディレクトリ サーバ上に新規の LDAP スキーマを作成する権限を
持つ LDAP ユーザのパスワードを指定します。 ‐c 連続モードを指定します（エラーで停止しません）。 ‐fpath Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 4. スキーマを再ロードするか、またはスキーマが更新されたことを確認します。 第 2 章： Critical Path inJoin Directory Server 15
ポリシー ストアとしての inJoin Directory Server の設定
5. 以下のコマンドを実行します。 ldapmodify -hhost -pport -dAdminDN -wAdminPW -c
-fpath¥xps¥criticalpath¥CriticalPath.ldif
‐fpath Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 6. スキーマを再ロードするか、またはスキーマが更新されたことを確認します。 7. ［DSA］‐［Comms］‐［LDAP］に移動し、paging mode オプションを「always」に
変更して、DSA を再起動します。 r12.0 SP3 に対するポリシー ストア スキーマが作成されます。 8. Critical Path の iCon DIT 管理者インターフェースを使用して、以下のルート ノードを手動で作成します。 ■
ou=Netegrity ■
ou=SiteMinder ■
ou=PolicySvr4 ■
ou=XPS 9. smreg ユーティリティを policy_server_home¥bin にコピーします。 policy_server_home ポリシー サーバのインストール パスを指定します。 10. 以下のコマンドを実行します。 smreg -su password
password デフォルトの SiteMinder 管理者のパスワードを指定します。 制限： –
パスワードは 6 文字以上、24 文字以下である必要があります。 –
パスワードには、アンパサンド（&）またはアスタリスク（*）を含むことはで
きません。 –
パスワードにスペースが含まれている場合は、引用符でパスフレーズを
囲みます。 注： パスワードは、Oracle ポリシー ストアに保管する場合を除き、大文字小
文字が区別されません。 16 ディレクトリ設定ガイド
ポリシー ストアとしての inJoin Directory Server の設定
11. policy_server_home¥bin から smreg ユーティリティを削除します。 smreg を
削除すると、既存のパスワードを把握していない限り、パスワードを変更する
ことはできなくなります。 デフォルトの SiteMinder 管理者アカウントのパスワードが設定されます。 12. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home/db/smdif/smpolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -v
‐i インポート ファイルのパスと名前を指定します。 ‐v トレースをオンにして、エラー メッセージ、警告メッセージ、およびコメン
ト メッセージを出力します。 ベース ポリシー ストア データを、ファイル smpolicy.smdif からインポートしま
す。 13. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐i インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐f 重複するオブジェクトをオーバーライドします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout 第 2 章： Critical Path inJoin Directory Server 17
ポリシー ストア データ定義のインポート
‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 こ
れらのオブジェクトは、適切な場所に自動的にインポートされます。 注： ampolicy.smdif をインポートすると、Federation セキュリティ サービス、
Web サービス変数、および eTelligent ルール機能が使用可能になります。
eTelligent ルール機能は、SiteMinder から別個にライセンスが提供されます。 この eTelligent ルール機能を使用する予定がある場合は、ライセンスの詳
細について、CA アカウント担当者に問い合わせてください。 Critical Path inJoin Directory Server（IDS）がポリシー ストアとして設定されま
す。 注： これで、ポリシー ストア データ定義をインポートできます。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 18 ディレクトリ設定ガイド
管理 UI 登録の準備
2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 管理 UI 登録の準備
管理 UI に初めてログインする場合は、デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）を使用します。 初めてログインするときは、ポリシー サー
バに 管理 UI を登録する必要があります。これで、両方のコンポーネントの間に
信頼関係が作成されます。 XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパス
ワードを指定して、登録の準備をします。 ポリシー サーバは、これらの認証情報
を使用して、登録要求が有効であること、および信頼関係を確立できることを検
証します。 第 2 章： Critical Path inJoin Directory Server 19
管理 UI 登録の準備
以下の点について考慮してください。 ■
認証情報を指定してから最初の 管理 UI ログインまでの時間は、24 時間に
制限されています。 24 時間以内に 管理 UI をインストールする予定がない
場合は、管理 UI をインストールする前に以下を実行します。 ■
（UNIX） XPSRegClient を使用する前に、SiteMinder 環境変数が設定されて
いることを確認してください。 環境変数が設定されていない場合は、手動で
設定します。 管理 UI 登録を準備する方法
1. ポリシー サーバ ホスト システムにログインします。 2. 以下のコマンドを実行します。 XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c
comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
passphrase デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）のパス
ワードを指定します。 注： パスフレーズを指定しないと、XPSRegClient により、パスフレーズの
入力とその確認を求めるプロンプトが表示されます。 ‐adminui–setup 管理 UI が初めてポリシー サーバに登録されていることを指定します。 ‐t timeout （任意）管理 UI をインストールしてから、ログインしてポリシー サーバと
の信頼関係を作成するまでの割り当て時間を指定します。 タイムアウト
値を超過すると、ポリシー サーバは登録リクエストを拒否します。 測定単位： 分 デフォルト： 240（4 時間） 最小制限： 1 最大制限： 1440（24 時間） 20 ディレクトリ設定ガイド
管理 UI 登録の準備
‐r retries （任意）管理 UI の登録時に許容される試行の失敗回数を指定します。 試行に失敗する原因としては、初めて 管理 UI にログインするときに間
違った SiteMinder 管理者クレデンシャルをサブミットしたことが考えられ
ます。 デフォルト： 1 最大制限： 5 ‐c comment （任意）指定されたコメントを情報目的で登録ログ ファイルに挿入しま
す。 注： コメントは引用符で囲んでください。 ‐cp （任意）登録ログ ファイルに複数行のコメントが含まれることを指定しま
す。 ユーティリティにより複数行のコメントが求められ、指定されたコメン
トが情報目的で登録ログ ファイルに挿入されます。 注： コメントは引用符で囲んでください。 ‐l log path （任意）登録ログ ファイルをエクスポートする場所を指定します。 デフォルト： siteminder_home¥log siteminder_home ポリシー サーバのインストール パスを指定します。 ‐e error_path （任意）例外を指定されたパスに送信します。 デフォルト： stderr ‐vT （任意）詳細レベルを TRACE に設定します。 第 2 章： Critical Path inJoin Directory Server 21
IDS での LDAP トレースの有効化
‐vI （任意）詳細レベルを INFO に設定します。 ‐vW （任意）詳細レベルを WARNING に設定します。 ‐vE （任意）詳細レベルを ERROR に設定します。 ‐vF （任意）詳細レベルを FATAL に設定します。 3. Enter キーを押します。 XPSRegClient は、ポリシー サーバに管理者クレデンシャルを提供します。 ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認
するためにこれらのクレデンシャルを使用します。 IDS での LDAP トレースの有効化
IDS で LDAP トレースを有効にする方法
1. DSA を停止します。 2. テキスト エディタに、DSA ディレクトリ（c:¥ids¥icon¥dsa1）内にある実行ファイ
ルを開きます。 3. odsldap3 プロセスのスイッチを追加します。 例： 1r odsldap3 ‐ldap:1708 ‐ldaps:0 ‐http:0 ‐https:0 ‐diag:5 ‐diag:n 0 はオフです。値が大きいほど、提供される出力は多くなります。 1=FATAL, 2=SEVERE, 3=ERROR, 4=WARNING,5=INFO, 6=ENTRY/EXIT 4. iCon を使用して、DSA を開始します。 ログ ファイルは iCon 内にあります。 5. ［DSA］を選択します。 6. トップ メニューの comms オプションを選択します。 7. LDAP プロセスを選択します。 8. odsldap3.out.000 というファイルをクリックします。 22 ディレクトリ設定ガイド
ユーザ ディレクトリの設定例 - Critical Path InJoin Directory Server
ユーザ ディレクトリの設定例 - Critical Path InJoin Directory
Server
以下に、ユーザ ディレクトリの設定例を示します。 ディレクトリのセットアップ ■
ネームスペース： LDAP ■
サーバ： 123.456.7.8 ■
ルート： o=companyname、c=us ■
DN 検索の先頭文字列： (cn=) ■
DN 検索の終端文字列： ) 認証情報と接続 ■
管理者ユーザ名： cn=manager ■
管理者パスワード： ******** ユーザ属性 ■
ユニバーサル ID (R)： cn ■
無効フラグ (RW)： description ■
パスワードの属性 (RW)： userpassword ■
パスワード データ (RW)： audio ■
チャレンジ/レスポンス (RW)： jpegPhoto 注： DMS のユーザ属性名に大文字小文字の区別があるかどうかは、属性単位
で異なります。 第 2 章： Critical Path inJoin Directory Server 23
ポリシー サーバの設定例 - Critical Path InJoin Directory Server
ポリシー サーバの設定例 - Critical Path InJoin Directory Server
以下に、ポリシー サーバの設定例を示します。 LDAP ■
LDAP IP アドレス： 12.3.4.5 ■
管理者ユーザ名： cn=manager ■
管理者パスワード： ******** ■
パスワードの確認入力： ******** ■
ルート DN： o=companyname、c=us ■
ポリシー ストアの使用： （チェック ボックスをオン） ■
Netscape 証明書データベース ファイル： pathname 6.x ポリシー ストアをアップグレードする方法
r12.0 SP3 ポリシー ストアに、新規のディレクトリ サーバ インスタンスは必要ありま
せん。 既存のポリシー ストアを r12.0 SP3 にアップグレードできます。 ポリシー ストアをアップグレードするには、以下の手順を実行します。 1. ポリシー ストア スキーマを拡張します。 注：既存の r6.x ポリシー ストア スキーマは、変更されていません。 r12.0 SP3 の移行では、ポリシー ストア スキーマをアップグレードして、r12.0 SP3 に
よって必要とされるオブジェクトのポリシー ストアを拡張する必要がありま
す。 2. ベース ポリシー ストア オブジェクトをインポートします。 3. ポリシー ストア データ定義をインポートします。 注： サポート マトリックスにリストされているディレクトリ サーバまたはデータベー
スで、本書に記載されていないものをアップグレードする場合は、「SiteMinder アップグレード ガイド」を参照してください。 24 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
inJoin ポリシー ストア スキーマの拡張
Critical Path の iCon GUI を使用して、r12.0 SP3 によって導入されたオブジェクト
を含めるように既存の 6.x ポリシー ストア スキーマを拡張することができます。 既存の 6.x ポリシー ストア スキーマに加える変更はありません。 既存の inJoin ポリシー ストア スキーマを拡張する方法
1. DSA を起動します。 2. policy_server_home/bin に移動します。 policy_server_home ポリシー サーバのインストール パスを指定します。 3. 以下のコマンドを実行します。 ldapmodify -hhost -pport -dAdminDN -wAdminPW -c
-fpath¥xps¥CriticalPath.ldif
‐hhost LDAP サーバの IP アドレスを指定します。 ‐pport LDAP サーバのポート番号を指定します。 ‐dAdminDN LDAP ディレクトリ サーバ上に新規の LDAP スキーマを作成する権限を
持つ LDAP ユーザの名前を指定します。 例： cn=manager ‐wAdminPW LDAP ディレクトリ サーバ上に新規の LDAP スキーマを作成する権限を
持つ LDAP ユーザのパスワードを指定します。 ‐c 連続モードを指定します（エラーで停止しません）。 ‐fpath r12.0 SP3 で提供される XPS アップグレード ファイルのパスおよび名前を
指定します。 注： ldapmodify を実行するには、Critical Path inJoin Directory Server の
バージョン 4.2 が必要です。 第 2 章： Critical Path inJoin Directory Server 25
6.x ポリシー ストアをアップグレードする方法
4. スキーマを再ロードするか、またはスキーマが更新されたことを確認します。 5. ［DSA］‐［Comms］‐［LDAP］に移動し、paging mode オプションを「always」に
変更して、DSA を再起動します。 r12.0 SP3 によって導入されたオブジェクトを含めるようにポリシー ストア ス
キーマが拡張されます。 ベース ポリシー ストア オブジェクトのインポート
デフォルトの SiteMinder オブジェクトをインポートすると、管理 UI で使用するポ
リシー ストアがアップグレードされます。 デフォルトの SiteMinder オブジェクトは、
ポリシー ストアにポリシー情報を格納するために必要です。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥upgrade_smdif_file_name
-dsiteminder_super_user_name -wsiteminder_super_user_password
-v -f
policy_server_home ポリシー サーバのインストール パスを指定します。 upgrade_smdif_file_name インポート ファイルの名前を指定します。 ■
r60 から r12.0 SP3: sm_upgrade_60_to_R12sp3.smdif ■
r60 SP1 から r12.0 SP3: sm_upgrade_60sp1_to_R12sp3.smdif ■
r60 SP2 から r12.0 SP3: sm_upgrade_60sp2_to_R12sp3.smdif ■
r60 SP3 から r12.0 SP3: sm_upgrade_60sp3_to_R12sp3.smdif ■
r60 SP4 から r12.0 SP3: sm_upgrade_60sp4_to_R12sp3.smdif ■
r60 SP5 から r12.0 SP3: sm_upgrade_60sp5_to_R12sp3.smdif ■
r60 SP6 から r12.0 SP3: sm_upgrade_60sp6_to_r12sp3.smdif 26 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト出力： stdout ‐f 重複するポリシー ストア オブジェクトを、r12.0 SP3 のもので上書きしま
す。 引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport ‐i$NETE_PS_ROOT/db/smdif/smpolicy.smdif ‐d"SM Admin" ‐wPassword ‐v ベース ポリシー ストア オブジェクトがインポートされます。 2. 以下のコマンドを実行します。 重要： ampolicy.smdif が以前にポリシー ストアにインポートされている場合
は再インポートしないでください。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐policy_server_home インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 第 2 章： Critical Path inJoin Directory Server 27
6.x ポリシー ストアをアップグレードする方法
‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 注： ampolicy.smdif をインポートすると、SiteMinder から別々にライセンスさ
れるフェデレーション セキュリティ サービス、Web サービス変数、および eTelligent ルール機能が使用可能になります。 eTelligent ルール機能を使
用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問
い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 28 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 第 2 章： Critical Path inJoin Directory Server 29
第 3 章： CA LDAP Server for z/OS
このセクションには、以下のトピックが含まれています。 CA LDAP Server for z/OS の概要 (P. 31) CA Top Secret r12 （TSS）バックエンド セキュリティ オプション (P. 32) CA LDAP Server for z/OS の概要
ポリシー サーバから LDAP サーバへの接続を設定することにより、CA LDAP Server for z/OS をユーザ ストアとして設定できます。 ポリシー サーバから LDAP サーバへの接続を設定する方法は、LDAP サーバを保護するために使用してい
るバックエンド オプションによって異なります。 CA は、CA LDAP サーバに対して以下のバックエンド セキュリティ オプションをサ
ポートします。 ■
CA Top Secret r12 （TSS） ポリシー サーバから LDAP サーバへの接続を設定する前に、このバックエンド セキュリティ オプションに関するオブジェクト クラス階層を理解し、LDAP ネーム
スペース内のポリシー サーバ レジストリにバックエンド関連のオブジェクト クラス
を追加します。 注： z/OS はメインフレーム コンピュータ用の IBM オペレーティング システムで
す。 第 3 章： CA LDAP Server for z/OS 31
CA Top Secret r12 （TSS）バックエンド セキュリティ オプション
CA Top Secret r12 （TSS）バックエンド セキュリティ オプション
CA LDAP Server for z/OS を保護するために TSS を使用している場合は、ポリ
シー サーバから CA LDAP サーバへの接続を設定する前に、以下の手順を実行
してください。 1. TSS オブジェクト クラス階層について理解します。 2. LDAP ネームスペースでポリシー サーバ レジストリに TSS オブジェクト クラス
を追加します。 TSS オブジェクト クラス階層
以下の図は、CA Top Secret ディレクトリ情報ツリー（DIT）内のオブジェクト クラス エントリの階層を示しています。 図の下に各オブジェクト クラスの説明がありま
す。 32 ディレクトリ設定ガイド
CA Top Secret r12 （TSS）バックエンド セキュリティ オプション
オブジェクト クラス host CA Top Secret データベースに関するオブジェクト クラス階層へのアクセスを
開始するために使用されるオブジェクト クラス。 オブジェクト クラス tsssysinfo host の下のオブジェクト クラス階層にブランチを作成するために使用される
オブジェクト クラス。 オブジェクト クラス tssadmingrp host の下のオブジェクト クラス階層にブランチを作成するために使用される
オブジェクト クラス。 値は以下のとおりです。 ■
acids ■
profiles ■
groups ■
departments ■
divisions ■
zones オブジェクト クラス tssacid すべてのユーザ タイプについて ACID レコード フィールドにアクセスするた
めに使用されるオブジェクト クラス。 オブジェクト クラス tssacidgrp acid の下のオブジェクト クラス階層にブランチを作成するために使用される
オブジェクト クラス。 ポリシー サーバ レジストリ エントリの TSS 用の設定
CA LDAP Server for z/OS には他の LDAP サーバとは異なるオブジェクト クラスが
含まれています。 ポリシー サーバから CA LDAP サーバへの接続を設定する前
に、LDAP ネームスペースで以下のポリシー サーバ レジストリ エントリに TSS オ
ブジェクト クラスを追加し、デフォルト値に対して以下の値を使用します。 registry_entry_home 以下のレジストリ エントリの場所を指定します。 HKEY_LOCAL_MACHINE¥SOFTWARE¥Netegrity¥SiteMinder¥CurrentVersion
¥ Ds. 第 3 章： CA LDAP Server for z/OS 33
CA Top Secret r12 （TSS）バックエンド セキュリティ オプション
default_value レジストリ エントリのデフォルト値を指定します。 replacement_value レジストリ エントリの TSS オブジェクト クラスが含まれる新しい値を指定しま
す。 ■
registry_entry_home¥ClassFilters class_filters_default_value: organization,organizationalUnit,groupOfNames,groupOfUniqueNames, group class_filters_replacement_value: class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp ■
registry_entry_home¥GroupClassFilters group_class_filters_default_value: groupOfNames,groupOfUniqueNames,group group_class_filters_replacement_value: group_class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp ■
registry_entry_home¥PolicyClassFilters policy_class_filters_default_value: organizationalPerson,inetOrgPerson,organization,organizationalUnit, groupOfNames,groupOfUniqueNames,group policy_class_filters_replacement_value: policy_class_filters_default_value,eTTSSAcidName,tssacidgrp,tssadmingrp ■
registry_entry_home¥PolicyResolution このレジストリ エントリに以下の TSS オブジェクト クラスを追加します。 TSS オブジェクト クラス レジストリ キー タイプ データ eTTSSAcidName REG_DWORD 0x00000001(1) tssacidgrp REG_DWORD 0x00000002(2) tssadmingrp REG_DWORD 0x00000003(3) 34 ディレクトリ設定ガイド
CA Top Secret r12 （TSS）バックエンド セキュリティ オプション
ポリシー サーバから CA LDAP Server for z/OS への接続の設定
ポリシー サーバから CA LDAP Server for z/OS への接続を設定するには、管理 UI に新規ユーザ ディレクトリ オブジェクトを作成します。 ポリシー サーバから CA LDAP サーバへの接続を設定する方法
1. ［インフラストラクチャ］‐［ディレクトリ］‐［ユーザ ディレクトリ］‐［ユーザ ディレク
トリの作成］をクリックします。 ［ユーザ ディレクトリの作成］ペインが表示されます。 注： フィールド、コントロール、およびそれぞれの要件については、［ヘル
プ］をクリックしてください。 2. ［一般］グループ ボックスのフィールドに、新規のユーザ ディレクトリ オブ
ジェクトの名前と説明を入力します。 3. ［ディレクトリのセットアップ］グループ ボックスで、［ネームスペース］リストか
ら［LDAP］を選択し、［サーバ］フィールドに IP アドレスとポート番号を入力し
ます。 注： 負荷分散とフェールオーバはこの LDAP サーバではサポートされていま
せん。 4. ［クレデンシャルが必要］チェック ボックスをオンにして、［管理者クレデン
シャル］グループ ボックスのフィールドに管理者のフル DN とパスワードを入
力し、ディレクトリ接続に SSL を使用するかどうかを指定します。 注： TSS ではユーザ ストアへの匿名のバインドが許可されないため、この手
順は必須です。 5. ［LDAP 検索］グループ ボックスで、［最大時間］フィールドに 100 秒の値を
指定します。 注： ポリシー サーバではこの LDAP サーバからのデータの取得により多くの
時間を費やすため、この手順は必須です。 6. ［LDAP ユーザ DN の検索］グループ ボックスのフィールドに値を入力しま
す。 7. （任意）［ユーザ属性］グループ ボックスの各フィールドに、SiteMinder 用に
予約されているユーザ ディレクトリ プロファイル属性を指定します。 第 3 章： CA LDAP Server for z/OS 35
CA Top Secret r12 （TSS）バックエンド セキュリティ オプション
8. （任意）［属性マッピング リスト］グループ ボックスで［作成］をクリックします。 ［属性マッピングの作成］ペインが開きます。 9. ［サブミット］をクリックします。 ユーザ ディレクトリの作成タスクが処理のためにサブミットされます。 CA LDAP Server for z/OS でサポートされていない SiteMinder 機能
CA LDAP Server for z/OS では、以下の SiteMinder 機能がサポートされていませ
ん。 匿名バインド CA Top Secret LDAP サーバをユーザ ストアとして設定する場合、［ユーザ ディレクトリの作成］ペインで［管理者クレデンシャル］グループ ボックスの
フィールドに値を指定する必要があります。 ユーザ名でサポートされていない文字 ユーザ名では以下の文字がサポートされていません。 ■
空白 ■
一重引用符 ■
左丸かっこ ■
右丸かっこ ■
カンマ ■
円記号 負荷分散およびフェイルオーバー 負荷分散とフェールオーバはサポートされていません。 パスワード サービス パスワード サービスはサポートされていません。 ユーザ グループとポリシー ユーザ グループをポリシーに追加し、そのグループ内のユーザの許可を試
行すると失敗します。 36 ディレクトリ設定ガイド
第 4 章： IBM DB2
このセクションには、以下のトピックが含まれています。 IBM DB2 データベースをデータ ストアとして設定する方法 (P. 37) 6.x セッション サーバのアップグレード (P. 51) 6.x ポリシー ストアをアップグレードする方法 (P. 52) IBM DB2 データベースをデータ ストアとして設定する方法
SiteMinder に用意されているスキーマ ファイルを使用して、IBM DB2 データ
ベースに、ポリシー、キー、監査データ、およびセッション データを格納するた
めのスキーマを作成することができます。 スキーマ ファイル（または SQL スクリプ
ト）は、ZIP ファイルで SiteMinder に用意されています。 IBM DB2 データベースをデータ ストアとして設定する方法は、以下の 4 段階の
プロセスです。 1. SiteMinder スキーマ ファイルをダウンロードします。 2. SiteMinder スキーマを含む DB2 データベースの作成 3. SiteMinder 用の DB2 Server データ ソースを設定します。 4. ポリシー サーバがそのデータベースを参照するようにします。 5. SiteMinder スーパーユーザ パスワードを設定します。 6. デフォルトのポリシー ストア オブジェクトをインポートします。 7. ポリシー ストア データ定義をインポートします。 8. 管理 UI の登録を準備します。 第 4 章： IBM DB2 37
IBM DB2 データベースをデータ ストアとして設定する方法
SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 SiteMinder スキーマを含む DB2 データベースの作成
DB2 データベースに SiteMinder スキーマを作成する方法
1. path¥ibmdb2 に移動します。 path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 2. テキスト エディタに以下のファイルを開き、ファイル全体の内容をコピーしま
す。 sm_db2_ps.sql DB2 データベース内のポリシー ストアまたはキー ストア用のスキーマを
指定します。 38 ディレクトリ設定ガイド
IBM DB2 データベースをデータ ストアとして設定する方法
3. クエリにファイルの内容を貼り付けて、クエリを実行します。 ポリシー ストアまたはキー ストアのスキーマが、DB2 データベースに作成さ
れます。 4. （任意）ステップ 2 と 3 を繰り返して、監査ログ、セッション サーバ、またはサ
ンプル ユーザ スキーマを DB2 データベースに作成します。 sm_db2_logs.sql DB2 データベース内の監査ログ ストア用のスキーマを指定します。 sm_db2_ss.sql DB2 データベース内のセッション サーバ用のスキーマを指定します。 smsampleusers_db2.sql DB2 データベース内のサンプル ユーザ用のスキーマを指定し、データ
ベースにサンプル ユーザを読み込みます。 対応する SiteMinder スキーマが DB2 データベースに作成されます。 注： 1 つの DB2 データベースに対して複数の SiteMinder スキーマを作成
するか、または別々のデータベースに各スキーマを作成し、必要に応じて
以下のストアを作成することができます。 ■
ポリシー ストア ■
キー ストア ■
監査ログ ストア ■
セッション ストア ■
サンプル ユーザ ストア 5. DB2 ホスト システムに以下の XPS スキーマ ファイルをコピーします。 path¥xps¥db¥DB2.sql path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 6. コマンド プロンプトを開き、以下のコマンドを実行します。 db2 -td@ [-v] -f path¥DB2.sql
path DB2 設定ファイルへのパスを指定します。 ポリシー ストア スキーマが作成されます。 第 4 章： IBM DB2 39
IBM DB2 データベースをデータ ストアとして設定する方法
SiteMinder に対する DB2 データ ソースの設定
ODBC を使用している場合は、DB2 ワイヤ プロトコル ドライバ用のデータ ソース
を設定する必要があります。 Windows システムでの DB2 データ ソースの作成
ODBC を使用している場合は、DB2 ワイヤ プロトコル ドライバ用の DB2 データ ソースを作成できます。 DB2 データ ソースを作成する方法
1. ［プログラム］‐［管理ツール］‐［データ ソース（ODBC）］を選択して、ODBC データ ソース アドミニストレータにアクセスします。 2. ［システム DSN］タブをクリックして、［追加］をクリックします。 3. 下にスクロールして［SiteMinder DB2 Wire Protocol］を選択し、［完了］をク
リックします。 4. ［ODBC DB2 Wire Protocol ドライバのセットアップ］ダイアログ ボックスの［全
般］タブで、以下の操作を行います。 a. ［データ ソース名］フィールドに、任意の名前を入力します。 例： SiteMinder DB2 Wire Data Source b. （省略可）［説明］フィールドに、DB2 ワイヤ プロトコル データ ソースの説
明を入力します。 c. ［IP アドレス］フィールドに、DB2 データベースがインストールされている
場所の IP アドレスを入力します。 d. ［Tcp ポート］フィールドに、DB2 が受信待機するマシン上のポート番号
を入力します。 e. ［接続のテスト］をクリックします。 接続がテストされます。 5. ［OK］をクリックします。 ［ODBC DB2 Wire Protocol ドライバのセットアップ］ダイアログ ボックスが閉じ
て、選択内容が保存されます。DB2 データ ソースが Windows システム上に
作成されます。 注： これで、作成したデータ ソースを使用するように SiteMinder を設定できま
す。 40 ディレクトリ設定ガイド
IBM DB2 データベースをデータ ストアとして設定する方法
UNIX システムでの DB2 データ ソースの作成
SiteMinder ODBC データ ソースは、system_odbc.ini ファイルを使用して設定し
ます。このファイルは、policy_server_home/db にある db2wire.ini の名前を system_odbc.ini に変更することによって作成できます。 この system_odbc.ini ファイルには、使用可能な ODBC データ ソースの名前すべてと、それらのデー
タ ソースと関連付けられた属性が含まれています。 このファイルは、サイトごとに
機能するようカスタマイズする必要があります。 また、SiteMinder 用のその他の ODBC ユーザ ディレクトリを定義するなど、このファイルに別のデータ ソースを追
加することもできます。 system_odbc.ini ファイルの最初のセクション [ODBC Data Sources] には、現在使
用可能なデータ ソースすべてのリストが含まれています。 「=」の前の名前は、個
別のデータ ソースそれぞれを説明する、ファイルの後続のセクションを示してい
ます。 「=」の後には、コメント フィールドがあります。 system_odbc.ini ファイル内には、各データ ソースの属性を記述するセクション
があります。 最初の属性は、このデータ ソースが SiteMinder で使用されるとき
にロードされる ODBC ドライバです。 残りの属性は、そのドライバに固有です。 DB2 データ ソースを追加するには、ファイルの［ODBC Data Sources］セクション
に新規データ ソース名を追加し、データ ソースと同じ名前を使用してデータ ソースを表すセクションを追加します。 新しいサービス名を作成したり、別のドラ
イバを使用する場合は、system_odbc.ini ファイルを変更する必要があります。 ［SiteMinder Data Source］の下に、DB2 ドライバのエントリが必要です。 すでに説明したように、DB2 データ ソースを設定するには、まず、
policy_server_home/db ディレクトリに system_odbc.ini ファイルを作成する必要
があります。 これを行うには、policy_server_home/db にある db2wire.ini の名前
を system_odbc.ini に変更する必要があります。 注： policy_server_home にはポリシー サーバのインストール パスを指定しま
す。 第 4 章： IBM DB2 41
IBM DB2 データベースをデータ ストアとして設定する方法
DB2 ワイヤ プロトコル ドライバの設定
以下の表に、DB2 データ ソースの設定パラメータを示します。 これらのパラメー
タを編集することで、キー、監査ログ、セッション、およびサンプル ユーザ デー
タベース別にデータ ソースを設定することができます。 パラメータ 説明 編集方法 データ ソース名 データ ソースの名前。 データ ソース名を角かっこで囲んで入
力します。 ドライバ SiteMinder DB2 ワイヤ プロトコ
ル ドライバの完全パス。 「nete_ps_root」を、SiteMinder のインス
トール ディレクトリに置き換えます。 説明 データ ソースの説明。 任意の希望する説明を入力します。 データベース DB2 UDB データベースの名前。 「nete_database」を、DB2 UDB サーバ上
に設定されたデータベースの名前に置
き換えます。 ログオン ID データベースにアクセスするた
めに必要なユーザ名。 「uid」を、DB2 UDB 管理者のユーザ名
に置き換えます。 パスワード データベースにアクセスするた
めに必要なパスワード。 「pwd」を、DB2 UDB 管理者のパスワード
に置き換えます。 IP アドレス DB2 UDB サーバの IP アドレスま 「nete_server_ip」を、DB2 UDB サーバの たはホスト名。 IP アドレスまたはホスト名に置き換えま
す。 TCP ポート DB2 UDB サーバの TCP ポート番 デフォルト値の 50000 を、DB2 UDB 号。 サーバの実際の TCP ポート番号に置き
換えます。 パッケージ 動的 SQL を処理するパッケージ 「nete_package」を、作成するパッケー
の名前。 ジの名前に置き換えます。 PackageOwner （任意）パッケージに割り当てら
れた AuthID。 GrantAuthid パッケージの実行権限が付与さ デフォルトは「PUBLIC」です。 パッケージ
れる AuthID。 の実行権限を制限したい場合は、必要
な AuthID を指定します。 42 ディレクトリ設定ガイド
デフォルトは空です。 この DB2 AuthID には、パッケージ内のすべての SQL を
実行するための権限が必要です。 IBM DB2 データベースをデータ ストアとして設定する方法
GrantExecute GrantAuthid にリストされている AuthID に実行権限を付与する
かどうかを指定します。 IsolationLevel システムがロックを獲得および解 デフォルトは CURSOR_STABILITY です。
放する方法。 DynamicSections DB2 Wire Protocol ドライバ パッ
ケージが 1 人のユーザに用意
できるステートメントの数。 1 または 0 のどちらかを指定できます。 デフォルトでは 0 に設定されます。 デフォルトは 100 です。 必要なステート
メント数を入力します。 ポリシー サーバに対する参照データベースの指定
ポリシー サーバがポリシー ストア内の SiteMinder データにアクセスできるように、
ポリシー サーバがデータベースを参照するようにします。 ポリシー サーバがデータ ストアを参照するようにする方法
1. ポリシー サーバ管理コンソールを開き、［データ］タブをクリックします。 データベース設定が表示されます。 2. ［ストレージ］リストから［ODBC］を選択します。 ODBC 設定が表示されます。 3. ［データベース］リストから［ポリシー ストア］を選択します。 4. ［データ ソース情報］フィールドにデータ ソースの名前を入力します。 ■
（Windows）このエントリは、データ ソースを作成したときに［データ ソー
ス名］フィールドに入力した名前と一致する必要があります。 ■
（UNIX）このエントリは、system_odbc.ini ファイルのデータ ソース エントリ
の最初の行と一致している必要があります。 デフォルトでは、このファイ
ルの最初の行は [SiteMinder Data Sources] です。 最初のエントリを変
更した場合は、正しい値を入力していることを確認します。 5. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権
限を持つデータベース アカウントのユーザ名およびパスワードを入力し確
認します。 6. SiteMinder に割り当てるデータベース接続の最大数を指定します。 注： 最適なパフォーマンスを得るためにデフォルトの 25 の接続を保持する
ことをお勧めします。 第 4 章： IBM DB2 43
IBM DB2 データベースをデータ ストアとして設定する方法
7. ［適用］をクリックします。 設定が保存されます。 8. ［データベース］リストから［キー ストア］を選択します。 データ ソース情報が表示されます。 9. ［ポリシー ストアを使用］チェック ボックスをオンにして、［適用］をクリックしま
す。 10. ［データベース］リストから［監査ログ］を選択します。 データ ソース設定が表示されます。 11. ［ポリシー ストアを使用］チェック ボックスをオンにして、［適用］をクリックしま
す。 12. ［接続のテスト］をクリックします。 SiteMinder によって、ポリシー サーバがデータ ストアにアクセスできるという
確認が返されます。 13. ［OK］をクリックします。 ポリシー サーバは、ポリシー ストア、キー ストア、およびログ データベースと
してそのデータベースを使用するように設定されます。 SiteMinder スーパーユーザ パスワードの設定
デフォルトの SiteMinder 管理者アカウントの名前は siteminder です。 このアカ
ウントは最大の権限を持っています。 その他の SiteMinder 管理者を作成できる
まで SiteMinder のユーザ インターフェースとユーティリティの管理に使用できる
ように、このアカウントのパスワードを設定します。 注： smreg ユーティリティは、ポリシー サーバ インストール キットの最上位レベ
ルにあります。 スーパーユーザのパスワードを設定する方法
1. smreg ユーティリティを policy_server_home¥bin にコピーします。 policy_server_home ポリシー サーバのインストール パスを指定します。 44 ディレクトリ設定ガイド
IBM DB2 データベースをデータ ストアとして設定する方法
2. 以下のコマンドを実行します。 smreg -su password
重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可
能ファイルを実行している場合は、管理者としてシステムにログインしている
場合でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細につい
ては、お使いの SiteMinder コンポーネントのリリース ノートを参照してくださ
い。 password デフォルトの SiteMinder 管理者のパスワードを指定します。 制限： –
パスワードは 6 文字以上、24 文字以下である必要があります。 –
パスワードには、アンパサンド（&）またはアスタリスク（*）を含むことはで
きません。 –
パスワードにスペースが含まれている場合は、引用符でパスフレーズを
囲みます。 注： パスワードは、Oracle ポリシー ストアに保管する場合を除き、大文字小
文字が区別されません。 3. policy_server_home¥bin から smreg ユーティリティを削除します。 smreg を
削除すると、既存のパスワードを把握していない限り、パスワードを変更する
ことはできなくなります。 デフォルトの SiteMinder 管理者アカウントのパスワードが設定されます。 注： 日常的な作業にはデフォルトのスーパーユーザを使用しないことをお勧め
します。 デフォルトのスーパーユーザは、以下の場合に使用してください。 ■
デフォルトのポリシー ストア オブジェクトをインポートする場合。 ■
FSS 管理 UI および 管理 UI に初めてアクセスする場合。 スーパーユーザ権
限を持つ別の管理者を作成することをお勧めします。 詳細情報： インストール メディアの検索 (P. 236) 第 4 章： IBM DB2 45
IBM DB2 データベースをデータ ストアとして設定する方法
デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI で使用する
ポリシー ストアがセットアップされます。 ポリシー ストアにポリシー情報を格納す
るには、デフォルトのポリシー ストア オブジェクトが必要です。 注： FIPS 専用モードでポリシー サーバをインストールした場合は、デフォルトの
ポリシー ストア オブジェクトをインポートするときに必ず ‐cf 引数を使用してくだ
さい。 デフォルトのポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥smpolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -v
引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport -i$NETE_PS_ROOT/db/smdif/smpolicy.smdif -d"SM Admin" -wPassword -v
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout 46 ディレクトリ設定ガイド
IBM DB2 データベースをデータ ストアとして設定する方法
‐cf （任意）FIPS 対応の暗号化を使用して機密データをインポートします。 注： この引数は、ポリシー サーバが FIPS 専用モードで動作している場
合にのみ必要です。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 オブジェクトは、適切な場所に自動的にインポートされます。 2. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 第 4 章： IBM DB2 47
IBM DB2 データベースをデータ ストアとして設定する方法
smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 こ
れらのオブジェクトは、適切な場所に自動的にインポートされます。 注： ampolicy.smdif をインポートすると、Federation セキュリティ サービス、
Web サービス変数、および eTelligent ルール機能が使用可能になります。
eTelligent ルール機能は、SiteMinder から別個にライセンスが提供されます。 この eTelligent ルール機能を使用する予定がある場合は、ライセンスの詳
細について、CA アカウント担当者に問い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 48 ディレクトリ設定ガイド
IBM DB2 データベースをデータ ストアとして設定する方法
3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 管理 UI 登録の準備
管理 UI に初めてログインする場合は、デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）を使用します。 初めてログインするときは、ポリシー サー
バに 管理 UI を登録する必要があります。これで、両方のコンポーネントの間に
信頼関係が作成されます。 XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパス
ワードを指定して、登録の準備をします。 ポリシー サーバは、これらの認証情報
を使用して、登録要求が有効であること、および信頼関係を確立できることを検
証します。 以下の点について考慮してください。 ■
認証情報を指定してから最初の 管理 UI ログインまでの時間は、24 時間に
制限されています。 24 時間以内に 管理 UI をインストールする予定がない
場合は、管理 UI をインストールする前に以下を実行します。 ■
（UNIX） XPSRegClient を使用する前に、SiteMinder 環境変数が設定されて
いることを確認してください。 環境変数が設定されていない場合は、手動で
設定します。 管理 UI 登録を準備する方法
1. ポリシー サーバ ホスト システムにログインします。 2. 以下のコマンドを実行します。 XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c
comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
第 4 章： IBM DB2 49
IBM DB2 データベースをデータ ストアとして設定する方法
passphrase デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）のパス
ワードを指定します。 注： パスフレーズを指定しないと、XPSRegClient により、パスフレーズの
入力とその確認を求めるプロンプトが表示されます。 ‐adminui–setup 管理 UI が初めてポリシー サーバに登録されていることを指定します。 ‐t timeout （任意）管理 UI をインストールしてから、ログインしてポリシー サーバと
の信頼関係を作成するまでの割り当て時間を指定します。 タイムアウト
値を超過すると、ポリシー サーバは登録リクエストを拒否します。 測定単位： 分 デフォルト： 240（4 時間） 最小制限： 1 最大制限： 1440（24 時間） ‐r retries （任意）管理 UI の登録時に許容される試行の失敗回数を指定します。 試行に失敗する原因としては、初めて 管理 UI にログインするときに間
違った SiteMinder 管理者クレデンシャルをサブミットしたことが考えられ
ます。 デフォルト： 1 最大制限： 5 ‐c comment （任意）指定されたコメントを情報目的で登録ログ ファイルに挿入しま
す。 注： コメントは引用符で囲んでください。 ‐cp （任意）登録ログ ファイルに複数行のコメントが含まれることを指定しま
す。 ユーティリティにより複数行のコメントが求められ、指定されたコメン
トが情報目的で登録ログ ファイルに挿入されます。 注： コメントは引用符で囲んでください。 50 ディレクトリ設定ガイド
6.x セッション サーバのアップグレード
‐l log path （任意）登録ログ ファイルをエクスポートする場所を指定します。 デフォルト： siteminder_home¥log siteminder_home ポリシー サーバのインストール パスを指定します。 ‐e error_path （任意）例外を指定されたパスに送信します。 デフォルト： stderr ‐vT （任意）詳細レベルを TRACE に設定します。 ‐vI （任意）詳細レベルを INFO に設定します。 ‐vW （任意）詳細レベルを WARNING に設定します。 ‐vE （任意）詳細レベルを ERROR に設定します。 ‐vF （任意）詳細レベルを FATAL に設定します。 3. Enter キーを押します。 XPSRegClient は、ポリシー サーバに管理者クレデンシャルを提供します。 ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認
するためにこれらのクレデンシャルを使用します。 6.x セッション サーバのアップグレード
6.x のセッション サーバがインストールされている場合は、r12.0 SP3 の機能を利
用するようにアップグレードすることができます。 注： r12.0 SP3 セッション サーバ スキーマは、r6.0 SP5 以降変わっていません。 r6.0 SP5 以降のセッション サーバがある場合、スキーマをアップグレードする必
要はありません。 第 4 章： IBM DB2 51
6.x ポリシー ストアをアップグレードする方法
既存のセッション ストア データベースに、以下のいずれかの SQL スキーマ スク
リプトをインポートします。 6.0、6.0 SP1、または 6.0 SP2 から r12.0 SP3 へのアップグレード dir_config_home¥ibmdb2¥sm_db2_ss_upgrade_60_60sp1or2_to_R12sp3.s
ql 6.0 SP3 または 6.0 SP4 から r12.0 SP3 へのアップグレード dir_config_home¥ibmdb2¥sm_db2_ss_upgrade_60sp3or4_to_R12sp3.sql dir_config_home ディレクトリ構成のインストール パスを指定します。 DB2 データベース セッション ストアが、6.x から r12.0 SP3 にアップグレードされ
て、新規の Expiry Data テーブルがセッション ストアに追加されます。 注： セッション ストア データベースへの SQL スクリプトのインポートの詳細につ
いては、「ポリシー サーバ インストール ガイド」を参照してください。 6.x ポリシー ストアをアップグレードする方法
r12.0 SP3 ポリシー ストアに、新規のディレクトリ サーバ インスタンスは必要ありま
せん。 既存のポリシー ストアを r12.0 SP3 にアップグレードできます。 ポリシー ストアをアップグレードするには、以下の手順を実行します。 1. ポリシー ストア スキーマを拡張します。 注：既存の r6.x ポリシー ストア スキーマは、変更されていません。 r12.0 SP3 の移行では、ポリシー ストア スキーマをアップグレードして、r12.0 SP3 に
よって必要とされるオブジェクトのポリシー ストアを拡張する必要がありま
す。 2. ベース ポリシー ストア オブジェクトをインポートします。 3. ポリシー ストア データ定義をインポートします。 注： サポート マトリックスにリストされているディレクトリ サーバまたはデータベー
スで、本書に記載されていないものをアップグレードする場合は、「SiteMinder アップグレード ガイド」を参照してください。 52 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
IBM DB2 ポリシー ストア スキーマの拡張
r12.0 SP3 によって導入されたオブジェクトを含めるように既存の 6.x ポリシー ス
トア スキーマを拡張することができます。 既存の 6.x ポリシー ストア スキーマに
加える変更はありません。 既存の IBM DB2 ポリシー ストア スキーマを拡張する方法
1. DB2 ホスト システムにログインします。 2. DB2 ホスト システムに以下の XPS スキーマ ファイルをコピーします。 path¥xps¥db¥DB2.sql path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 3. コマンド プロンプトを開き、以下のコマンドを実行します。 db2 -td@ [-v] -f path¥DB2.sql
path DB2 設定ファイルへのパスを指定します。 ポリシー ストア スキーマが拡張されます。 ベース ポリシー ストア オブジェクトのインポート
デフォルトの SiteMinder オブジェクトをインポートすると、管理 UI で使用するポ
リシー ストアがアップグレードされます。 デフォルトの SiteMinder オブジェクトは、
ポリシー ストアにポリシー情報を格納するために必要です。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 第 4 章： IBM DB2 53
6.x ポリシー ストアをアップグレードする方法
ベース ポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥upgrade_smdif_file_name
-dsiteminder_super_user_name -wsiteminder_super_user_password
-v -f
policy_server_home ポリシー サーバのインストール パスを指定します。 upgrade_smdif_file_name インポート ファイルの名前を指定します。 ■
r60 から r12.0 SP3: sm_upgrade_60_to_R12sp3.smdif ■
r60 SP1 から r12.0 SP3: sm_upgrade_60sp1_to_R12sp3.smdif ■
r60 SP2 から r12.0 SP3: sm_upgrade_60sp2_to_R12sp3.smdif ■
r60 SP3 から r12.0 SP3: sm_upgrade_60sp3_to_R12sp3.smdif ■
r60 SP4 から r12.0 SP3: sm_upgrade_60sp4_to_R12sp3.smdif ■
r60 SP5 から r12.0 SP3: sm_upgrade_60sp5_to_R12sp3.smdif ■
r60 SP6 から r12.0 SP3: sm_upgrade_60sp6_to_r12sp3.smdif ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト出力： stdout 54 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
‐f 重複するポリシー ストア オブジェクトを、r12.0 SP3 のもので上書きしま
す。 引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport ‐i$NETE_PS_ROOT/db/smdif/smpolicy.smdif ‐d"SM Admin" ‐wPassword ‐v ベース ポリシー ストア オブジェクトがインポートされます。 2. 以下のコマンドを実行します。 重要： ampolicy.smdif が以前にポリシー ストアにインポートされている場合
は再インポートしないでください。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐policy_server_home インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 第 4 章： IBM DB2 55
6.x ポリシー ストアをアップグレードする方法
‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 注： ampolicy.smdif をインポートすると、SiteMinder から別々にライセンスさ
れるフェデレーション セキュリティ サービス、Web サービス変数、および eTelligent ルール機能が使用可能になります。 eTelligent ルール機能を使
用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問
い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 56 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 第 4 章： IBM DB2 57
第 5 章： IBM Directory Server
このセクションには、以下のトピックが含まれています。 ポリシー ストアとしての IBM Directory Server (P. 59) 6.x ポリシー ストアをアップグレードする方法 (P. 73) ポリシー ストアとしての IBM Directory Server
Windows または UNIX システムのいずれかにインストールされたポリシー サー
バは、IBM Secureway/Directory Server をポリシー ストアとして使用することがで
きます。 以下のセクションでは、ポリシー ストアとしてディレクトリ サーバを設定する方法
について詳しく説明します。 IBM Directory Server
IBM Directory Server をポリシー ストアとして設定する前に、以下の前提条件を
満たしていることを確認してください。 1. V3 Matchingrules ファイルの編集 注： 必要に応じて、IBM Directory Server 構成ツールを使用して、サーバ サ
フィックスを作成またはロードします。 2. ディレクトリ エントリとルート ノードの作成 3. スキーマ ファイルを管理する SiteMinder スキーマ ファイルの追加 第 5 章： IBM Directory Server 59
ポリシー ストアとしての IBM Directory Server
V3 Matchingrules ファイルの編集
ディレクトリ サーバにデフォルトのポリシー ストア オブジェクトを作成する前に、
V3.matchingrulesR12sp3 ファイルを編集します。 ファイルを編集する方法
1. siteminder_home¥IBMDirectoryServer に移動します。 siteminder_home ポリシー サーバのインストール パスを指定します。 2. V3.matchingrulesR12sp3 ファイルを開きます。 3. 以下の行を追加します。 MatchingRules=(2.5.13.15 NAME
‘integerOrderingMatch’ SYNTAX 1.3.6.1.4.1.1466.115.121.1.27)
4. ファイルを保存します。 V3.matchingrulesR12sp3 ファイルが更新されて、デフォルトのポリシー ストア オブジェクトを安全に作成することができます。 ディレクトリ エントリとルート ノードの作成
IBM Tivoli Directory Server Web 管理ツールを使用して、ディレクトリ エントリと
ルート ノードを作成します。 ディレクトリ エントリとルート ノードを作成する方法
1. ポリシー サーバ データのルート DN に対する新規のディレクトリ エントリを作
成します。 例： ou=Nete 2. ou=Nete の下に、以下のルート ノードを作成します。 ou=Netegrity,ou=SiteMinder,ou=PolicySvr4,ou=XPS 60 ディレクトリ設定ガイド
ポリシー ストアとしての IBM Directory Server
スキーマ ファイルを管理する SiteMinder スキーマ ファイルの追加
IBM Directory Server 構成ツールを使用して、スキーマ ファイルを管理するため
の SiteMinder 提供のスキーマ ファイルを追加します。 SiteMinder スキーマ ファイルを追加する方法
1. siteminder_home¥IBMDirectoryServer に移動します。 siteminder_home ポリシー サーバのインストール パスを指定します。 2. IBM Directory Server V3.siteminderR12sp3 スキーマ ファイルを、スキーマ構
成の［Manage Schema Files］セクションに移動します。 3. IBM Directory Server を再起動します。 ファイルが追加され、スキーマ変更が有効になります。 ディレクトリ サーバ情報の収集
LDAP ディレクトリ サーバをポリシー ストアとして設定するか、または既存のポリ
シー ストアをアップグレードするには、特定のディレクトリ サーバ情報が必要で
す。 作業を始める前に、以下の情報を収集してください。 値を記録するために
ポリシー ストアのワークシートを使用できます。 注： ポリシー ストアおよびデータ ストアの各ワークシートが用意されているので、
SiteMinder データ ストアを設定またはアップグレードする前の情報の収集およ
び記録に使用することができます。 作業を始める前に、該当するワークシートを
印刷し、そのワークシートに必要な情報を記録しておくことができます。 ホスト情報 ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。 ポート情報 （任意）標準以外のポートを指定します。 デフォルト値： 636（SSL）および 389（SSL 以外） 管理 DN LDAP ツリー内のポリシー ストア ルート オブジェクトの下でオブジェクトの作
成、読み取り、変更、および削除を行う権限を持つユーザの LDAP ユーザ名
を指定します。 第 5 章： IBM Directory Server 61
ポリシー ストアとしての IBM Directory Server
管理パスワード 管理 DN のパスワードを指定します。 ポリシー サーバのルート DN ポリシー ストア オブジェクトを定義する、LDAP ツリー内のノードの識別名を
指定します。 SSL クライアント証明書 SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指
定します。 制限： SSL のみ ポリシー ストアを設定する方法
IBM Directory Server をポリシー ストアとして設定するには、以下の手順に従い
ます。 1. IBM Directory Server の前提条件を満たしていることを確認します。 2. 必要な情報を収集したことを確認します。 3. 以下の手順に従います。 a. ポリシー サーバからポリシー ストアへの参照の設定 b. SiteMinder スーパーユーザ パスワードの設定 注： SiteMinder スーパーユーザ パスワードがすでにある場合は、この
手順を実行する必要はありません。 c. ポリシー ストア スキーマの作成 d. デフォルトのポリシー ストア オブジェクトのインポート e. ポリシー ストア データ定義のインポート f.
ポリシー サーバの再起動 g. 管理 UI 登録の準備 62 ディレクトリ設定ガイド
ポリシー ストアとしての IBM Directory Server
ポリシー サーバからポリシー ストアへの参照の設定
ポリシー サーバからポリシー ストアへの参照を設定し、ポリシー サーバがポリ
シー ストアにアクセスできるようにします。 ポリシー サーバからポリシー ストアへの参照を設定する方法
1. ポリシー サーバ管理コンソールを開きます。 重要： Windows Server 2008 上でこのグラフィカル ユーザ インターフェース
にアクセスする場合は、管理者としてシステムにログインしている場合でも、
管理者権限でショートカットを開きます。 詳細については、お使いの SiteMinder コンポーネントのリリース ノートを参照してください。 2. ［データ］タブをクリックします。 データベース設定が表示されます。 3. ［データベース］リストから［ポリシー ストア］を選択します。 4. ［ストレージ］リストから［LDAP］を選択します。 5. ［LDAP ポリシー ストア］グループ ボックスで、以下を設定します。 ■
LDAP IP アドレス ■
管理者ユーザ名 ■
パスワード ■
パスワードの確認 ■
DN 注： フィールド、コントロール、およびそれぞれの要件については、［ヘル
プ］をクリックしてください。 6. ［適用］をクリックします。 ポリシー ストアの設定が保存されます。 7. ［LDAP 接続のテスト］をクリックします。 SiteMinder は、ポリシー サーバがポリシー ストアにアクセスできることを示す
確認を返します。 第 5 章： IBM Directory Server 63
ポリシー ストアとしての IBM Directory Server
ポリシー ストア スキーマの作成
ポリシー ストアおよびストア SiteMinder オブジェクトとしてディレクトリ サーバが
機能できるように、ポリシー ストア スキーマを作成します。 ポリシー ストア スキーマを作成する方法
1. 以下のコマンドを実行します。 smldapsetup ldgen -hhost -pport -dAdminDN -wAdminPW
-rroot -ssl1|0 -ccert -ffile_name
注： smldapsetup ツールの詳細については、「ポリシー サーバ管理ガイド」
を参照してください。 ‐hhost ディレクトリ サーバの IP アドレスを指定します。 例： 123.123.12.12 ‐pport ディレクトリ サーバが受信待機するポート番号を指定します。 例： 3500 ‐dAdminDN 新規の LDAP ルートを作成する権限を持つ LDAP ユーザ アカウントの名
前を指定します。 例： "cn=Directory Manager" ‐wAdminPW 新規の LDAP ルートを作成する権限を持つ LDAP ユーザ アカウントのパ
スワードを指定します。 例： MyPassword123 ‐rroot ディレクトリ サーバのルートを指定します。 例： c=domain、dc=com ‐ssl （任意）SSL 接続を指定します。 制限： 0=no または 1=yes デフォルト： 0 64 ディレクトリ設定ガイド
ポリシー ストアとしての IBM Directory Server
‐ccert （ssl が 1 に設定されている場合にのみ必須）SSL クライアント証明書
データベースの絶対パスを定義します。 ‐ffile_name ポリシー ストア用に作成するスキーマ ファイルの名前を指定します。 2. 以下のコマンドを実行します。 smldapsetup ldmod -ffile_name
‐ffile_name ポリシー ストア用に作成したスキーマ ファイルの名前を指定します。 3. policy_server_home¥xps¥db に移動し、以下のファイルを見つけます。次に、
IBM Directory Server 構成ツールを使用してスキーマ構成の［Manage Schema Files］セクションにそのファイルを追加します。 IBMDirectoryServer.ldif 4. IBM Directory Server を再起動します。 ポリシー ストア スキーマが作成されます。 SiteMinder スーパーユーザ パスワードの設定
デフォルトの SiteMinder 管理者アカウントの名前は siteminder です。 このアカ
ウントは最大の権限を持っています。 その他の SiteMinder 管理者を作成できる
まで SiteMinder のユーザ インターフェースとユーティリティの管理に使用できる
ように、このアカウントのパスワードを設定します。 注： smreg ユーティリティは、ポリシー サーバ インストール キットの最上位レベ
ルにあります。 スーパーユーザのパスワードを設定する方法
1. smreg ユーティリティを policy_server_home¥bin にコピーします。 policy_server_home ポリシー サーバのインストール パスを指定します。 第 5 章： IBM Directory Server 65
ポリシー ストアとしての IBM Directory Server
2. 以下のコマンドを実行します。 smreg -su password
重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可
能ファイルを実行している場合は、管理者としてシステムにログインしている
場合でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細につい
ては、お使いの SiteMinder コンポーネントのリリース ノートを参照してくださ
い。 password デフォルトの SiteMinder 管理者のパスワードを指定します。 制限： –
パスワードは 6 文字以上、24 文字以下である必要があります。 –
パスワードには、アンパサンド（&）またはアスタリスク（*）を含むことはで
きません。 –
パスワードにスペースが含まれている場合は、引用符でパスフレーズを
囲みます。 注： パスワードは、Oracle ポリシー ストアに保管する場合を除き、大文字小
文字が区別されません。 3. policy_server_home¥bin から smreg ユーティリティを削除します。 smreg を
削除すると、既存のパスワードを把握していない限り、パスワードを変更する
ことはできなくなります。 デフォルトの SiteMinder 管理者アカウントのパスワードが設定されます。 注： 日常的な作業にはデフォルトのスーパーユーザを使用しないことをお勧め
します。 デフォルトのスーパーユーザは、以下の場合に使用してください。 ■
デフォルトのポリシー ストア オブジェクトをインポートする場合。 ■
FSS 管理 UI および 管理 UI に初めてアクセスする場合。 スーパーユーザ権
限を持つ別の管理者を作成することをお勧めします。 詳細情報： インストール メディアの検索 (P. 236) 66 ディレクトリ設定ガイド
ポリシー ストアとしての IBM Directory Server
デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI で使用する
ポリシー ストアがセットアップされます。 ポリシー ストアにポリシー情報を格納す
るには、デフォルトのポリシー ストア オブジェクトが必要です。 注： FIPS 専用モードでポリシー サーバをインストールした場合は、デフォルトの
ポリシー ストア オブジェクトをインポートするときに必ず ‐cf 引数を使用してくだ
さい。 デフォルトのポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥smpolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -v
引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport -i$NETE_PS_ROOT/db/smdif/smpolicy.smdif -d"SM Admin" -wPassword -v
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout 第 5 章： IBM Directory Server 67
ポリシー ストアとしての IBM Directory Server
‐cf （任意）FIPS 対応の暗号化を使用して機密データをインポートします。 注： この引数は、ポリシー サーバが FIPS 専用モードで動作している場
合にのみ必要です。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 オブジェクトは、適切な場所に自動的にインポートされます。 2. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 68 ディレクトリ設定ガイド
ポリシー ストアとしての IBM Directory Server
smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 こ
れらのオブジェクトは、適切な場所に自動的にインポートされます。 注： ampolicy.smdif をインポートすると、Federation セキュリティ サービス、
Web サービス変数、および eTelligent ルール機能が使用可能になります。
eTelligent ルール機能は、SiteMinder から別個にライセンスが提供されます。 この eTelligent ルール機能を使用する予定がある場合は、ライセンスの詳
細について、CA アカウント担当者に問い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 第 5 章： IBM Directory Server 69
ポリシー ストアとしての IBM Directory Server
3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 ポリシー サーバの再起動
ポリシー ストアやその他のデータ ストアの設定を有効にするために、ポリシー サーバを再起動します。 注： UNIＸ システムでは、stop‐all コマンドの後に start‐all コマンドを使用すること
で、ポリシー サーバを再起動できます。 ポリシー サーバを再起動するには、以下の手順に従います。
1. ポリシー サーバ管理コンソールを開きます。 2. ［ステータス］タブをクリックし、［ポリシー サーバ］グループ ボックスで［停止］
をクリックします。 赤色の信号アイコンが表示されて、ポリシー サーバが停止します。 3. ［開始］をクリックします。 緑色の信号アイコンが表示されて、ポリシー サーバが起動します。 管理 UI 登録の準備
管理 UI に初めてログインする場合は、デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）を使用します。 初めてログインするときは、ポリシー サー
バに 管理 UI を登録する必要があります。これで、両方のコンポーネントの間に
信頼関係が作成されます。 XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパス
ワードを指定して、登録の準備をします。 ポリシー サーバは、これらの認証情報
を使用して、登録要求が有効であること、および信頼関係を確立できることを検
証します。 70 ディレクトリ設定ガイド
ポリシー ストアとしての IBM Directory Server
以下の点について考慮してください。 ■
認証情報を指定してから最初の 管理 UI ログインまでの時間は、24 時間に
制限されています。 24 時間以内に 管理 UI をインストールする予定がない
場合は、管理 UI をインストールする前に以下を実行します。 ■
（UNIX） XPSRegClient を使用する前に、SiteMinder 環境変数が設定されて
いることを確認してください。 環境変数が設定されていない場合は、手動で
設定します。 管理 UI 登録を準備する方法
1. ポリシー サーバ ホスト システムにログインします。 2. 以下のコマンドを実行します。 XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c
comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
passphrase デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）のパス
ワードを指定します。 注： パスフレーズを指定しないと、XPSRegClient により、パスフレーズの
入力とその確認を求めるプロンプトが表示されます。 ‐adminui–setup 管理 UI が初めてポリシー サーバに登録されていることを指定します。 ‐t timeout （任意）管理 UI をインストールしてから、ログインしてポリシー サーバと
の信頼関係を作成するまでの割り当て時間を指定します。 タイムアウト
値を超過すると、ポリシー サーバは登録リクエストを拒否します。 測定単位： 分 デフォルト： 240（4 時間） 最小制限： 1 最大制限： 1440（24 時間） 第 5 章： IBM Directory Server 71
ポリシー ストアとしての IBM Directory Server
‐r retries （任意）管理 UI の登録時に許容される試行の失敗回数を指定します。 試行に失敗する原因としては、初めて 管理 UI にログインするときに間
違った SiteMinder 管理者クレデンシャルをサブミットしたことが考えられ
ます。 デフォルト： 1 最大制限： 5 ‐c comment （任意）指定されたコメントを情報目的で登録ログ ファイルに挿入しま
す。 注： コメントは引用符で囲んでください。 ‐cp （任意）登録ログ ファイルに複数行のコメントが含まれることを指定しま
す。 ユーティリティにより複数行のコメントが求められ、指定されたコメン
トが情報目的で登録ログ ファイルに挿入されます。 注： コメントは引用符で囲んでください。 ‐l log path （任意）登録ログ ファイルをエクスポートする場所を指定します。 デフォルト： siteminder_home¥log siteminder_home ポリシー サーバのインストール パスを指定します。 ‐e error_path （任意）例外を指定されたパスに送信します。 デフォルト： stderr ‐vT （任意）詳細レベルを TRACE に設定します。 72 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
‐vI （任意）詳細レベルを INFO に設定します。 ‐vW （任意）詳細レベルを WARNING に設定します。 ‐vE （任意）詳細レベルを ERROR に設定します。 ‐vF （任意）詳細レベルを FATAL に設定します。 3. Enter キーを押します。 XPSRegClient は、ポリシー サーバに管理者クレデンシャルを提供します。 ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認
するためにこれらのクレデンシャルを使用します。 6.x ポリシー ストアをアップグレードする方法
r12.0 SP3 ポリシー ストアに、新規のディレクトリ サーバ インスタンスは必要ありま
せん。 既存のポリシー ストアを r12.0 SP3 にアップグレードできます。 ポリシー ストアをアップグレードするには、以下の手順を実行します。 1. ポリシー ストア スキーマを拡張します。 注：既存の r6.x ポリシー ストア スキーマは、変更されていません。 r12.0 SP3 の移行では、ポリシー ストア スキーマをアップグレードして、r12.0 SP3 に
よって必要とされるオブジェクトのポリシー ストアを拡張する必要がありま
す。 2. ベース ポリシー ストア オブジェクトをインポートします。 3. ポリシー ストア データ定義をインポートします。 注： サポート マトリックスにリストされているディレクトリ サーバまたはデータベー
スで、本書に記載されていないものをアップグレードする場合は、「SiteMinder アップグレード ガイド」を参照してください。 第 5 章： IBM Directory Server 73
6.x ポリシー ストアをアップグレードする方法
IBM Directory Server ポリシー ストア スキーマの拡張
r12.0 SP3 によって導入されたオブジェクトを含めるように既存の 6.x ポリシー ス
トア スキーマを拡張することができます。 既存の 6.x ポリシー ストア スキーマに
加える変更はありません。 IBM Directory Server ポリシー ストア スキーマを拡張する方法
1. IBM Tivoli Directory Server Web Administration Tool を使用してポリシー ス
トア ルート ノードを更新します。ou=PolicySvr4 の下に以下のルート ノードを
作成します。 ou=XPS 2. siteminder_home¥xps¥db に移動し、以下のファイルを見つけます。次に、
IBM Directory Server 構成ツールを使用してスキーマ構成の［Manage Schema Files］セクションにそのファイルを追加します。 IBMDirectoryServer.ldif siteminder_home ポリシー サーバのインストール パスを指定します。 3. IBM Directory Server を再起動します。 r12.0 SP3 によって導入されたオブジェクトを含めるようにポリシー ストア ス
キーマが拡張されます。 ベース ポリシー ストア オブジェクトのインポート
デフォルトの SiteMinder オブジェクトをインポートすると、管理 UI で使用するポ
リシー ストアがアップグレードされます。 デフォルトの SiteMinder オブジェクトは、
ポリシー ストアにポリシー情報を格納するために必要です。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 74 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
ベース ポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥upgrade_smdif_file_name
-dsiteminder_super_user_name -wsiteminder_super_user_password
-v -f
policy_server_home ポリシー サーバのインストール パスを指定します。 upgrade_smdif_file_name インポート ファイルの名前を指定します。 ■
r60 から r12.0 SP3: sm_upgrade_60_to_R12sp3.smdif ■
r60 SP1 から r12.0 SP3: sm_upgrade_60sp1_to_R12sp3.smdif ■
r60 SP2 から r12.0 SP3: sm_upgrade_60sp2_to_R12sp3.smdif ■
r60 SP3 から r12.0 SP3: sm_upgrade_60sp3_to_R12sp3.smdif ■
r60 SP4 から r12.0 SP3: sm_upgrade_60sp4_to_R12sp3.smdif ■
r60 SP5 から r12.0 SP3: sm_upgrade_60sp5_to_R12sp3.smdif ■
r60 SP6 から r12.0 SP3: sm_upgrade_60sp6_to_r12sp3.smdif ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト出力： stdout 第 5 章： IBM Directory Server 75
6.x ポリシー ストアをアップグレードする方法
‐f 重複するポリシー ストア オブジェクトを、r12.0 SP3 のもので上書きしま
す。 引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport ‐i$NETE_PS_ROOT/db/smdif/smpolicy.smdif ‐d"SM Admin" ‐wPassword ‐v ベース ポリシー ストア オブジェクトがインポートされます。 2. 以下のコマンドを実行します。 重要： ampolicy.smdif が以前にポリシー ストアにインポートされている場合
は再インポートしないでください。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐policy_server_home インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 76 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 注： ampolicy.smdif をインポートすると、SiteMinder から別々にライセンスさ
れるフェデレーション セキュリティ サービス、Web サービス変数、および eTelligent ルール機能が使用可能になります。 eTelligent ルール機能を使
用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問
い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 第 5 章： IBM Directory Server 77
6.x ポリシー ストアをアップグレードする方法
3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 78 ディレクトリ設定ガイド
第 6 章： MySQL サーバ
このセクションには、以下のトピックが含まれています。 ポリシー ストアとしての MySQL (P. 79) MySQL データ ストアの設定 (P. 96) MySQL ユーザ ストアを設定する方法 (P. 107) ポリシー ストアとしての MySQL
MySQL ポリシー ストアは以下として機能できます。 ■
キー ストア ■
監査ログ データベース 注： SiteMinder セッション情報は別のデータベースに格納される必要があり
ます。 セッション情報を格納するためにポリシー ストアを使用することはでき
ません。 単一のデータベースを使用すると管理タスクが簡略化されます。 後続のセク
ションでは、SiteMinder データを格納するように 1 つのデータベース サーバを
設定する方法について説明します。 データベース情報の収集
ポリシー ストアまたは他のタイプの SiteMinder データ ストアとして機能するよう
単一の MySQL Server データベースを設定するには、特定のデータベース情報
が必要です。 ポリシー ストアまたは他のタイプの SiteMinder データ ストアを設定する前に以
下の情報を収集します。 ■
データベース ホスト ‐‐ データベース ホスト システムの名前。 ■
データベース インスタンス名 ‐‐ ポリシー ストアまたはデータ ストアとして機
能するデータベース インスタンスの名前。 第 6 章： MySQL サーバ 79
ポリシー ストアとしての MySQL
■
ポート ‐‐ データベースがリスンするポート。 ■
管理者アカウント ‐‐ データベース内でオブジェクトを作成、読み取り、変更、
削除する権限を持つ管理者アカウントのログイン ID。 ■
管理者パスワード ‐‐ 管理者アカウントのパスワード。 詳細情報： キー情報を MySQL に格納する方法 (P. 97) 監査ログを MySQL に格納する方法 (P. 100) セッション情報を MySQL に格納する方法 (P. 103) ポリシー ストアを設定する方法
ポリシー ストアとして MySQL Server データベースを設定するには、以下の手順
に従います。 注： 開始する前に、必要なデータベース情報が収集されていることを確認してく
ださい。 以下の手順のうちのいくつかは、この情報を必要とします。 1. MySQL が必ずデフォルト文字セット（Latin1）を使用してインストールされて
いることを確認します。 MySQL がデフォルト文字セットを使用してインストー
ルされていない場合、SiteMinder データ ストアを設定する前に MySQL を再
インストールします。 2. ポリシー ストアとして機能する MySQL データベースにポリシー サーバ ホス
ト システムからアクセス可能であることを確認します。 3. ベンダー固有のユーザ インターフェースを使用して、SiteMinder データ ス
トア用のデータベース インスタンスを作成します。 4. SiteMinder スキーマ ファイルをダウンロードします。 5. SiteMinder スキーマを作成します。 6. SiteMinder 用の MySQL データ ソースを設定します。 ■
（Windows）MySQL データ ソースを作成します。 ■
（UNIX）UNIX システム上に MySQL データ ソースを作成します。 ■
（UNIX）MySQL ワイヤ プロトコル ドライバを設定します。 7. ポリシー サーバがそのデータベースを参照するようにします。 8. SiteMinder スーパーユーザ パスワードを設定します。 80 ディレクトリ設定ガイド
ポリシー ストアとしての MySQL
9. デフォルトの SiteMinder オブジェクトをインポートします。 10. ポリシー ストア データ定義をインポートします。 11. ポリシー サーバを再起動します。 12. 管理 UI の登録を準備します。 SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 第 6 章： MySQL サーバ 81
ポリシー ストアとしての MySQL
SiteMinder スキーマの作成
SiteMinder スキーマを作成することによって、MySQL データベースにポリシー、
キー、監査ログ情報を格納できるようにします。 MySQL データベースに SiteMinder スキーマを作成する方法
1. path¥MySQL に移動します。 path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 2. テキスト エディタに以下のファイルを開き、ファイル全体の内容をコピーしま
す。 sm_mysql_ps.sql 3. クエリにファイルの内容を貼り付けて、クエリを実行します。 ポリシーおよびキー ストアのスキーマが作成されます。 注： このスキーマ ファイルを使用してスタンドアロン キー ストアを作成できま
す。 4. （任意）手順 2 と 3 を繰り返して、監査ログまたはサンプル ユーザ用のス
キーマを作成します。 sm_mysql_logs.sql 監査ログ ストア用のスキーマを指定します。 smsampleusers_mysql.sql サンプル ユーザ用のスキーマを指定し、データベースにサンプル ユー
ザを読み込みます。 対応する SiteMinder スキーマが作成されます。 注： ポリシー ストアを使用してキー、監査、サンプル ユーザを格納すること
は任意です。 これらのタイプの SiteMinder データ ストアとして個別に機能
するよう別のデータベースを使用することができます。 5. path¥xps¥MySQL に移動します。 path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 82 ディレクトリ設定ガイド
ポリシー ストアとしての MySQL
6. テキスト エディタに以下のファイルを開き、ファイル全体の内容をコピーしま
す。 MySQL.sql 7. クエリにファイルの内容を貼り付けて、クエリを実行します。 ポリシー ストア スキーマが作成されます。 SiteMinder 用の MySQL データ ソースの設定
ポリシー サーバが SiteMinder データ ストアと通信できるようデータ ソースを設
定します。 詳細情報： キー情報を MySQL に格納する方法 (P. 97) 監査ログを MySQL に格納する方法 (P. 100) セッション情報を MySQL に格納する方法 (P. 103) MySQL ユーザ ストアを設定する方法 (P. 107) Windows での MySQL データ ソースの作成
MySQL ワイヤ プロトコル ドライバ用に MySQL データ ソースを作成します。 MySQL データ ソースを作成する方法
1. ポリシー サーバ ホスト システムにログインします。 2. ODBC データ ソース アドミニストレータが開きます。 3. ［システム DSN］をクリックします。 システム データ ソースのリストに利用可能なすべてのデータ ソースがリスト
表示されます。 4. ［追加］をクリックします。 ［データ ソースの新規作成］ダイアログ ボックスが表示されます。 5. 下にスクロールして SiteMinder MySQL Wire Protocol を選択し、［完了］をク
リックします。 ODBC MySQL Wire Protocol ドライバのセットアップ ダイアログ ボックスが表
示されます。 第 6 章： MySQL サーバ 83
ポリシー ストアとしての MySQL
6. ［全般］タブで以下のフィールドに入力します。 a. ［データ ソース名］フィールドにデータ ソース名を入力します。 例： SiteMinder MySQL Wire Data Source b. ［ホスト名］フィールドに MySQL データベース ホスト システムの名前を入
力します。 c. ［ポート番号］フィールドに MySQL データベースがリスンするポートを入
力します。 d. ［データベース名］フィールドに MySQL データベースの名前を入力しま
す。 7. ［接続のテスト］をクリックします。 接続設定がテストされます。 設定が有効な場合、接続に成功したことを伝え
るメッセージが表示されます。 8. ［OK］をクリックします。 データ ソースが作成され、システム データ ソースのリストに表示されます。 注： ポリシー サーバが SiteMinder データ ストアを参照するよう設定できます。 UNIX システムでの MySQL データ ソースの作成
SiteMinder ODBC データ ソースは、system_odbc.ini ファイルを使用して設定し
ます。このファイルを作成するには mysqlwire.ini の名前を system_odbc.ini に
変更します。 mysqlwire.ini ファイルは siteminder_home/db 内にあります。 siteminder_home ポリシー サーバのインストール パスを指定します。 この system_odbc.ini ファイルには、使用可能な ODBC データ ソースのすべて
の名前と、それらのデータ ソースに関連付けられている属性が含まれています。 このファイルは、サイトごとに機能するようカスタマイズする必要があります。 また、
このファイルにはデータ ソースを追加できます。たとえば、SiteMinder 用の追加
の ODBC ユーザ ディレクトリを定義できます。 system_odbc.ini ファイルの最初のセクション [ODBC Data Sources] には、現在使
用可能なデータ ソースすべてのリストが含まれています。 「=」の前の名前は、個
別のデータ ソースそれぞれを説明する、ファイルの後続のセクションを示してい
ます。 「=」の後には、コメント フィールドがあります。 84 ディレクトリ設定ガイド
ポリシー ストアとしての MySQL
注： データ ソース エントリの最初の行（[SiteMinder Data Source]）を変更する場
合、値を記録しておいてください。 この値は、データベースをポリシー ストアとし
て設定する場合に必要になります。 system_odbc.ini ファイル内には、各データ ソースの属性を記述するセクション
があります。 最初の属性は、SiteMinder でこのデータ ソースを使用するときに
ロードされる ODBC ドライバです。 残りの属性は、そのドライバに固有です。 MySQL データ ソースを追加すると以下が追加されます。 ■
ファイルの [ODBC Data Sources] セクションに新しいデータ ソース名を追加。 ■
データ ソースと同じ名前を使用してデータ ソースについて説明するセクショ
ンを追加。 新規サービス名を作成するか、別のドライバを使用する場合は、
system_odbc.ini ファイルを更新します。 [SiteMinder Data Source] の下に、
MySQL ドライバのエントリが必要です。 ここでも、MySQL データ ソースを設定するために、mysqlwire.ini の名前を system_odbc.ini に変更して system_odbc.ini ファイルを作成します。 MySQL ワイヤ プロトコル ドライバの作成
ワイヤ プロトコル ドライバを設定し、データベースに接続するために SiteMinder が使用する設定を指定します。 注： この手順は、ポリシー サーバが UNIX システムにインストールされる場合に
のみ、適用されます。 以下のいずれかのファイルをコピーし、名前を
「system_odbc.ini」に変更します（まだ行っていない場合）。 名前を変更するファ
イルは、SiteMinder データ ストアとして設定しているデータベース ベンダーに
よって異なります。 ■
sqlserverwire.ini ■
oraclewire.ini ■
mysqlwire.ini これらのファイルは siteminder_home/db にあります。 第 6 章： MySQL サーバ 85
ポリシー ストアとしての MySQL
system_odbc.ini ファイルは、以下のセクションで構成されています。 設定してい
るデータ ソースにより、編集するセクションが決定されます。 [SiteMinder Data Source] ポリシー ストアとして機能するデータベースに接続するために、SiteMinder が使用する設定を指定します。 [SiteMinder Logs Data Source] 監査ログ データベースとして機能するデータベースに接続するために、
SiteMinder が使用する設定を指定します。 [SiteMinder Keys Data Source] キー ストアとして機能するデータベースに接続するために、SiteMinder が
使用する設定を指定します。 [SiteMinder Session Data Source] セッション ストアとして機能するデータベースに接続するために、SiteMinder が使用する設定を指定します。 [SmSampleUsers Data Source] サンプル ユーザ データ ストアとして機能するデータベースに接続するため
に、SiteMinder が使用する設定を指定します。 ワイヤ プロトコル ドライバを設定する方法
1. system_odbc.ini ファイルを開きます。 2. [ODBC Data Sources] の下に、以下を入力します。 SiteMinder Data Source=DataDirect 6.0 MySQL Wire Protocol.
3. 設定するデータ ソースに応じて、以下の情報を使用して 1 つ以上のデータ ソース セクションを編集します。 Driver=nete_ps_root/odbc/lib/NSmysql24.so
Description=DataDirect 6.0 MySQL Wire Protocol
Database=database_name
HostName=host_name
LogonID=root_user
Password=root_user_password
PortNumber=mysql_port
注： データ ソース情報を編集する場合は、番号記号（#）を使用しないでく
ださい。 番号記号（#）を入力すると、その情報はコメント化され、値が切り捨
てられます。 値が切り捨てられると、ODBC 接続に失敗する場合があります。 86 ディレクトリ設定ガイド
ポリシー ストアとしての MySQL
nete_ps_root ポリシー サーバのインストール パスを指定します。 この値は、環境変数
を使用せず、明示的なパスとして入力します。 例： /export/smuser/siteminder database_name SiteMinder データ ストアとして機能する MySQL データベースの名前を
指定します。 host_name MySQL データベース ホスト システムの名前を指定します。 root_user MySQL root ユーザのログイン ID を指定します。 root_user_password MySQL root ユーザのパスワードを指定します。 mysql_port MySQL データベースがリスンするポートを指定します。 4. ファイルを保存します。 ワイヤ プロトコル ドライバが設定されます。 ポリシー サーバに対する参照データベースの指定
ポリシー サーバがポリシー ストア内の SiteMinder データにアクセスできるように、
ポリシー サーバがデータベースを参照するようにします。 ポリシー サーバがデータ ストアを参照するようにする方法
1. ポリシー サーバ管理コンソールを開き、［データ］タブをクリックします。 データベース設定が表示されます。 2. ［ストレージ］リストから［ODBC］を選択します。 ODBC 設定が表示されます。 3. ［データベース］リストから［ポリシー ストア］を選択します。 第 6 章： MySQL サーバ 87
ポリシー ストアとしての MySQL
4. ［データ ソース情報］フィールドにデータ ソースの名前を入力します。 ■
（Windows）このエントリは、データ ソースを作成したときに［データ ソー
ス名］フィールドに入力した名前と一致する必要があります。 ■
（UNIX）このエントリは、system_odbc.ini ファイルのデータ ソース エントリ
の最初の行と一致している必要があります。 デフォルトでは、このファイ
ルの最初の行は [SiteMinder Data Sources] です。 最初のエントリを変
更した場合は、正しい値を入力していることを確認します。 5. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権
限を持つデータベース アカウントのユーザ名およびパスワードを入力し確
認します。 6. SiteMinder に割り当てるデータベース接続の最大数を指定します。 注： 最適なパフォーマンスを得るためにデフォルトの 25 の接続を保持する
ことをお勧めします。 7. ［適用］をクリックします。 設定が保存されます。 8. ［データベース］リストから［キー ストア］を選択します。 データ ソース情報が表示されます。 9. ［ポリシー ストアを使用］チェック ボックスをオンにして、［適用］をクリックしま
す。 10. ［データベース］リストから［監査ログ］を選択します。 データ ソース設定が表示されます。 11. ［ポリシー ストアを使用］チェック ボックスをオンにして、［適用］をクリックしま
す。 12. ［接続のテスト］をクリックします。 SiteMinder によって、ポリシー サーバがデータ ストアにアクセスできるという
確認が返されます。 13. ［OK］をクリックします。 ポリシー サーバは、ポリシー ストア、キー ストア、およびログ データベースと
してそのデータベースを使用するように設定されます。 88 ディレクトリ設定ガイド
ポリシー ストアとしての MySQL
SiteMinder スーパーユーザ パスワードの設定
デフォルトの SiteMinder 管理者アカウントの名前は siteminder です。 このアカ
ウントは最大の権限を持っています。 その他の SiteMinder 管理者を作成できる
まで SiteMinder のユーザ インターフェースとユーティリティの管理に使用できる
ように、このアカウントのパスワードを設定します。 注： smreg ユーティリティは、ポリシー サーバ インストール キットの最上位レベ
ルにあります。 スーパーユーザのパスワードを設定する方法
1. smreg ユーティリティを policy_server_home¥bin にコピーします。 policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 smreg -su password
重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可
能ファイルを実行している場合は、管理者としてシステムにログインしている
場合でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細につい
ては、お使いの SiteMinder コンポーネントのリリース ノートを参照してくださ
い。 password デフォルトの SiteMinder 管理者のパスワードを指定します。 制限： –
パスワードは 6 文字以上、24 文字以下である必要があります。 –
パスワードには、アンパサンド（&）またはアスタリスク（*）を含むことはで
きません。 –
パスワードにスペースが含まれている場合は、引用符でパスフレーズを
囲みます。 注： パスワードは、Oracle ポリシー ストアに保管する場合を除き、大文字小
文字が区別されません。 3. policy_server_home¥bin から smreg ユーティリティを削除します。 smreg を
削除すると、既存のパスワードを把握していない限り、パスワードを変更する
ことはできなくなります。 デフォルトの SiteMinder 管理者アカウントのパスワードが設定されます。 第 6 章： MySQL サーバ 89
ポリシー ストアとしての MySQL
注： 日常的な作業にはデフォルトのスーパーユーザを使用しないことをお勧め
します。 デフォルトのスーパーユーザは、以下の場合に使用してください。 ■
デフォルトのポリシー ストア オブジェクトをインポートする場合。 ■
FSS 管理 UI および 管理 UI に初めてアクセスする場合。 スーパーユーザ権
限を持つ別の管理者を作成することをお勧めします。 詳細情報： インストール メディアの検索 (P. 236) デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI で使用する
ポリシー ストアがセットアップされます。 ポリシー ストアにポリシー情報を格納す
るには、デフォルトのポリシー ストア オブジェクトが必要です。 注： FIPS 専用モードでポリシー サーバをインストールした場合は、デフォルトの
ポリシー ストア オブジェクトをインポートするときに必ず ‐cf 引数を使用してくだ
さい。 デフォルトのポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥smpolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -v
引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport -i$NETE_PS_ROOT/db/smdif/smpolicy.smdif -d"SM Admin" -wPassword -v
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder 90 ディレクトリ設定ガイド
ポリシー ストアとしての MySQL
‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐cf （任意）FIPS 対応の暗号化を使用して機密データをインポートします。 注： この引数は、ポリシー サーバが FIPS 専用モードで動作している場
合にのみ必要です。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 オブジェクトは、適切な場所に自動的にインポートされます。 2. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout 第 6 章： MySQL サーバ 91
ポリシー ストアとしての MySQL
‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 こ
れらのオブジェクトは、適切な場所に自動的にインポートされます。 注： ampolicy.smdif をインポートすると、Federation セキュリティ サービス、
Web サービス変数、および eTelligent ルール機能が使用可能になります。
eTelligent ルール機能は、SiteMinder から別個にライセンスが提供されます。 この eTelligent ルール機能を使用する予定がある場合は、ライセンスの詳
細について、CA アカウント担当者に問い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 92 ディレクトリ設定ガイド
ポリシー ストアとしての MySQL
2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 ポリシー サーバの再起動
ポリシー ストアやその他のデータ ストアの設定を有効にするために、ポリシー サーバを再起動します。 注： UNIＸ システムでは、stop‐all コマンドの後に start‐all コマンドを使用すること
で、ポリシー サーバを再起動できます。 ポリシー サーバを再起動するには、以下の手順に従います。
1. ポリシー サーバ管理コンソールを開きます。 2. ［ステータス］タブをクリックし、［ポリシー サーバ］グループ ボックスで［停止］
をクリックします。 赤色の信号アイコンが表示されて、ポリシー サーバが停止します。 3. ［開始］をクリックします。 緑色の信号アイコンが表示されて、ポリシー サーバが起動します。 第 6 章： MySQL サーバ 93
ポリシー ストアとしての MySQL
管理 UI 登録の準備
管理 UI に初めてログインする場合は、デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）を使用します。 初めてログインするときは、ポリシー サー
バに 管理 UI を登録する必要があります。これで、両方のコンポーネントの間に
信頼関係が作成されます。 XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパス
ワードを指定して、登録の準備をします。 ポリシー サーバは、これらの認証情報
を使用して、登録要求が有効であること、および信頼関係を確立できることを検
証します。 以下の点について考慮してください。 ■
認証情報を指定してから最初の 管理 UI ログインまでの時間は、24 時間に
制限されています。 24 時間以内に 管理 UI をインストールする予定がない
場合は、管理 UI をインストールする前に以下を実行します。 ■
（UNIX） XPSRegClient を使用する前に、SiteMinder 環境変数が設定されて
いることを確認してください。 環境変数が設定されていない場合は、手動で
設定します。 管理 UI 登録を準備する方法
1. ポリシー サーバ ホスト システムにログインします。 2. 以下のコマンドを実行します。 XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c
comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
passphrase デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）のパス
ワードを指定します。 注： パスフレーズを指定しないと、XPSRegClient により、パスフレーズの
入力とその確認を求めるプロンプトが表示されます。 ‐adminui–setup 管理 UI が初めてポリシー サーバに登録されていることを指定します。 94 ディレクトリ設定ガイド
ポリシー ストアとしての MySQL
‐t timeout （任意）管理 UI をインストールしてから、ログインしてポリシー サーバと
の信頼関係を作成するまでの割り当て時間を指定します。 タイムアウト
値を超過すると、ポリシー サーバは登録リクエストを拒否します。 測定単位： 分 デフォルト： 240（4 時間） 最小制限： 1 最大制限： 1440（24 時間） ‐r retries （任意）管理 UI の登録時に許容される試行の失敗回数を指定します。 試行に失敗する原因としては、初めて 管理 UI にログインするときに間
違った SiteMinder 管理者クレデンシャルをサブミットしたことが考えられ
ます。 デフォルト： 1 最大制限： 5 ‐c comment （任意）指定されたコメントを情報目的で登録ログ ファイルに挿入しま
す。 注： コメントは引用符で囲んでください。 ‐cp （任意）登録ログ ファイルに複数行のコメントが含まれることを指定しま
す。 ユーティリティにより複数行のコメントが求められ、指定されたコメン
トが情報目的で登録ログ ファイルに挿入されます。 注： コメントは引用符で囲んでください。 ‐l log path （任意）登録ログ ファイルをエクスポートする場所を指定します。 デフォルト： siteminder_home¥log siteminder_home ポリシー サーバのインストール パスを指定します。 ‐e error_path （任意）例外を指定されたパスに送信します。 デフォルト： stderr 第 6 章： MySQL サーバ 95
MySQL データ ストアの設定
‐vT （任意）詳細レベルを TRACE に設定します。 ‐vI （任意）詳細レベルを INFO に設定します。 ‐vW （任意）詳細レベルを WARNING に設定します。 ‐vE （任意）詳細レベルを ERROR に設定します。 ‐vF （任意）詳細レベルを FATAL に設定します。 3. Enter キーを押します。 XPSRegClient は、ポリシー サーバに管理者クレデンシャルを提供します。 ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認
するためにこれらのクレデンシャルを使用します。 MySQL データ ストアの設定
SiteMinder キーおよび SiteMinder 監査情報はそれぞれ別のデータベースに格
納できます。 以下の点について考慮してください。 ■
シングル サイン オン機能を実装するために、個別のデータベース内にキー
を格納することが必要となる場合があります。 キー管理の詳細については、
「ポリシー サーバ管理ガイド」を参照してください。 ■
SiteMinder セッション情報は別のデータベースに格納される必要があります。 セッション情報を格納するためにポリシー ストアを使用することはできませ
ん。 以下のセクションでは、個別のデータ ストアを設定する方法について詳しく説明
します。 96 ディレクトリ設定ガイド
MySQL データ ストアの設定
キー情報を MySQL に格納する方法
MySQL をスタンドアロン キーストアとして設定するには、以下の手順に従いま
す。 1. MySQL が必ずデフォルト文字セット（Latin1）を使用してインストールされて
いることを確認します。 MySQL がデフォルト文字セットを使用してインストー
ルされていない場合、SiteMinder データ ストアを設定する前に MySQL を再
インストールします。 2. SiteMinder スキーマ ファイルをダウンロードします。 3. データベース情報を収集します。 4. キー ストア スキーマを作成します。 5. SiteMinder 用の MySQL データ ソースを設定します。 6. ポリシー サーバがそのデータベースを参照するようにします。 7. ポリシー サーバを再起動します。 詳細情報： データベース情報の収集 (P. 79) SiteMinder 用の MySQL データ ソースの設定 (P. 83) SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 第 6 章： MySQL サーバ 97
MySQL データ ストアの設定
6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 キー ストア スキーマの作成
MySQL データベースがキー情報を格納できるように、キー ストア スキーマを作
成します。 キー ストア スキーマを作成する方法
1. path¥MySQL に移動します。 path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 2. テキスト エディタに以下のファイルを開き、ファイル全体の内容をコピーしま
す。 sm_mysql_ps.sql 注： ポリシー ストア スキーマ ファイルは、スタンドアロン キー ストアを作成す
るために使用されます。 3. クエリにファイルの内容を貼り付けて、クエリを実行します。 キー ストア スキーマが作成されます。 ポリシー サーバに対する参照データベースの指定
ポリシー サーバが、キー情報を読み取りおよび保存できるように、ポリシー サー
バに、参照するデータベースを指定します。 ポリシー サーバがデータ ストアを参照するようにする方法
1. ポリシー サーバ管理コンソールを開き、［データ］タブをクリックします。 データベース設定が表示されます。 2. ［ストレージ］リストから［ODBC］を選択します。 ODBC 設定が表示されます。 98 ディレクトリ設定ガイド
MySQL データ ストアの設定
3. ［データベース］リストから［キー ストア］を選択し、［ポリシーストアを使用］
チェック ボックスをオフにします。 データ ソース設定がアクティブになります。 4. ［データ ソース情報］フィールドにデータ ソースの名前を入力します。 ■
（Windows）このエントリは、データ ソースを作成したときに［データ ソー
ス名］フィールドに入力した名前と一致する必要があります。 ■
（UNIX）このエントリは、system_odbc.ini ファイルのデータ ソース エントリ
の最初の行と一致している必要があります。 デフォルトでは、このファイ
ルの最初の行は [SiteMinder Data Sources] です。 最初のエントリを変
更した場合は、正しい値を入力していることを確認します。 5. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権
限を持つデータベース アカウントのユーザ名およびパスワードを入力し確
認します。 6. SiteMinder に割り当てるデータベース接続の最大数を指定します。 注： 最適なパフォーマンスを得るためにデフォルトの設定を保持することを
推奨します。 7. ［適用］をクリックします。 設定が保存されます。 8. ［接続のテスト］をクリックします。 SiteMinder によって、ポリシー サーバがデータ ストアにアクセスできるという
確認が返されます。 9. ［OK］をクリックします。 ポリシー サーバはキー ストアとしてそのデータベースを使用するように設定
されます。 ポリシー サーバの再起動
ポリシー ストアやその他のデータ ストアの設定を有効にするために、ポリシー サーバを再起動します。 注： UNIＸ システムでは、stop‐all コマンドの後に start‐all コマンドを使用すること
で、ポリシー サーバを再起動できます。 第 6 章： MySQL サーバ 99
MySQL データ ストアの設定
ポリシー サーバを再起動するには、以下の手順に従います。
1. ポリシー サーバ管理コンソールを開きます。 2. ［ステータス］タブをクリックし、［ポリシー サーバ］グループ ボックスで［停止］
をクリックします。 赤色の信号アイコンが表示されて、ポリシー サーバが停止します。 3. ［開始］をクリックします。 緑色の信号アイコンが表示されて、ポリシー サーバが起動します。 監査ログを MySQL に格納する方法
MySQL をスタンドアロン監査ログ ストアとして設定するには、以下の手順に従い
ます。 1. MySQL が必ずデフォルト文字セット（Latin1）を使用してインストールされて
いることを確認します。 MySQL がデフォルト文字セットを使用してインストー
ルされていない場合、SiteMinder データ ストアを設定する前に MySQL を再
インストールします。 2. SiteMinder スキーマ ファイルをダウンロードします。 3. データベース情報を収集します。 4. 監査ログスキーマを作成します。 5. SiteMinder 用の MySQL データ ソースを設定します。 6. ポリシー サーバがそのデータベースを参照するようにします。 7. ポリシー サーバを再起動します。 詳細情報： データベース情報の収集 (P. 79) SiteMinder 用の MySQL データ ソースの設定 (P. 83) 100 ディレクトリ設定ガイド
MySQL データ ストアの設定
SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 監査ログスキーマの作成
MySQL データベースが監査ログを格納できるように、監査ログ スキーマを作成
します。 監査ログ スキーマを作成する方法
1. path¥MySQL に移動します。 path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 2. テキスト エディタに以下のファイルを開き、ファイル全体の内容をコピーしま
す。 sm_mysql_logs.sql 3. クエリにファイルの内容を貼り付けて、クエリを実行します。 監査ログ スキーマが作成されます。 第 6 章： MySQL サーバ 101
MySQL データ ストアの設定
ポリシー サーバに対する参照データベースの指定
ポリシー サーバが、監査ログを読み取りおよび保存できるように、ポリシー サー
バに、参照するデータベースを指定します。 ポリシー サーバがデータ ストアを参照するようにする方法
1. ポリシー サーバ管理コンソールを開き、［データ］タブをクリックします。 データベース設定が表示されます。 2. ［ストレージ］リストから［ODBC］を選択します。 ODBC 設定が表示されます。 3. ［データベース］リストから［監査ログ］を選択します。 4. ［ストレージ］リストから［ODBC］を選択します。 データ ソース設定がアクティブになります。 5. ［データ ソース情報］フィールドにデータ ソースの名前を入力します。 ■
（Windows）このエントリは、データ ソースを作成したときに［データ ソー
ス名］フィールドに入力した名前と一致する必要があります。 ■
（UNIX）このエントリは、system_odbc.ini ファイルのデータ ソース エントリ
の最初の行と一致している必要があります。 デフォルトでは、このファイ
ルの最初の行は [SiteMinder Data Sources] です。 最初のエントリを変
更した場合は、正しい値を入力していることを確認します。 6. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権
限を持つデータベース アカウントのユーザ名およびパスワードを入力し確
認します。 7. SiteMinder に割り当てるデータベース接続の最大数を指定します。 注： 最適なパフォーマンスを得るためにデフォルトの設定を保持することを
推奨します。 8. ［適用］をクリックします。 設定が保存されます。 102 ディレクトリ設定ガイド
MySQL データ ストアの設定
9. ［接続のテスト］をクリックします。 SiteMinder によって、ポリシー サーバがデータ ストアにアクセスできるという
確認が返されます。 10. ［OK］をクリックします。 ポリシー サーバは監査ログ データベースとしてそのデータベースを使用す
るように設定されます。 ポリシー サーバの再起動
ポリシー ストアやその他のデータ ストアの設定を有効にするために、ポリシー サーバを再起動します。 注： UNIＸ システムでは、stop‐all コマンドの後に start‐all コマンドを使用すること
で、ポリシー サーバを再起動できます。 ポリシー サーバを再起動するには、以下の手順に従います。
1. ポリシー サーバ管理コンソールを開きます。 2. ［ステータス］タブをクリックし、［ポリシー サーバ］グループ ボックスで［停止］
をクリックします。 赤色の信号アイコンが表示されて、ポリシー サーバが停止します。 3. ［開始］をクリックします。 緑色の信号アイコンが表示されて、ポリシー サーバが起動します。 セッション情報を MySQL に格納する方法
MySQL をスタンドアロン セッション ストアとして設定するには、以下の手順に従
います。 1. MySQL が必ずデフォルト文字セット（Latin1）を使用してインストールされて
いることを確認します。 MySQL がデフォルト文字セットを使用してインストー
ルされていない場合、SiteMinder データ ストアを設定する前に MySQL を再
インストールします。 2. SiteMinder スキーマ ファイルをダウンロードします。 3. データベース情報を収集します。 4. セッション ストア スキーマを作成します。 5. SiteMinder 用の MySQL データ ソースを設定します。 第 6 章： MySQL サーバ 103
MySQL データ ストアの設定
6. ポリシー サーバがそのデータベースを参照するようにします。 7. ポリシー サーバを再起動します。 詳細情報： データベース情報の収集 (P. 79) SiteMinder 用の MySQL データ ソースの設定 (P. 83) SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 104 ディレクトリ設定ガイド
MySQL データ ストアの設定
セッション ストア スキーマの作成
MySQL データベースがセッション情報を格納できるように、セッション ストア ス
キーマを作成します。 監査ログ スキーマを作成する方法
1. path¥MySQL に移動します。 path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 2. テキスト エディタに以下のファイルを開き、ファイル全体の内容をコピーしま
す。 sm_mysql_ss.sql 3. クエリにファイルの内容を貼り付けて、クエリを実行します。 セッション ストア スキーマが作成されます。 ポリシー サーバに対する参照データベースの指定
ポリシー サーバが、セッション情報を読み取りおよび保存できるように、ポリシー サーバに、参照するデータベースを指定します。 ポリシー サーバがデータ ストアを参照するようにする方法
1. ポリシー サーバ管理コンソールを開き、［データ］タブをクリックします。 データベース設定が表示されます。 2. ［データベース］リストからセッション サーバを選択します。 データ ソース設定がアクティブになります。 3. ［データ ソース情報］フィールドにデータ ソースの名前を入力します。 ■
（Windows）このエントリは、データ ソースを作成したときに［データ ソー
ス名］フィールドに入力した名前と一致する必要があります。 ■
（UNIX）このエントリは、system_odbc.ini ファイルのデータ ソース エントリ
の最初の行と一致している必要があります。 デフォルトでは、このファイ
ルの最初の行は [SiteMinder Data Sources] です。 最初のエントリを変
更した場合は、正しい値を入力していることを確認します。 第 6 章： MySQL サーバ 105
MySQL データ ストアの設定
4. それぞれのフィールド内にデータベース インスタンスへのフル アクセス権
限を持つデータベース アカウントのユーザ名およびパスワードを入力し確
認します。 5. SiteMinder に割り当てるデータベース接続の最大数を指定します。 注： 最適なパフォーマンスを得るためにデフォルトの設定を保持することを
推奨します。 6. ［適用］をクリックします。 設定が保存されます。 7. ［接続のテスト］をクリックします。 SiteMinder によって、ポリシー サーバがデータ ストアにアクセスできるという
確認が返されます。 8. ［OK］をクリックします。 ポリシー サーバはセッション ストアとしてそのデータベースを使用するように
設定されます。 ポリシー サーバの再起動
ポリシー ストアやその他のデータ ストアの設定を有効にするために、ポリシー サーバを再起動します。 注： UNIＸ システムでは、stop‐all コマンドの後に start‐all コマンドを使用すること
で、ポリシー サーバを再起動できます。 ポリシー サーバを再起動するには、以下の手順に従います。
1. ポリシー サーバ管理コンソールを開きます。 2. ［ステータス］タブをクリックし、［ポリシー サーバ］グループ ボックスで［停止］
をクリックします。 赤色の信号アイコンが表示されて、ポリシー サーバが停止します。 3. ［開始］をクリックします。 緑色の信号アイコンが表示されて、ポリシー サーバが起動します。 106 ディレクトリ設定ガイド
MySQL ユーザ ストアを設定する方法
MySQL ユーザ ストアを設定する方法
MySQL をユーザ ストアとして設定するには、以下の手順に従います。 1. （任意）SiteMinder サンプル ユーザをインポートします。 2. SiteMinder の MySQL データ ソースを作成します。 3. ユーザ ディレクトリ接続を設定します。 詳細情報： SiteMinder 用の MySQL データ ソースの設定 (P. 83) SiteMinder サンプル ユーザのインポート
SiteMinder サンプル ユーザのインポートは任意です。 これらのユーザをイン
ポートすると、データベースに架空の SiteMinder ユーザが入力されます。 SiteMinder サンプル ユーザをインポートする方法
1. path¥MySQL に移動します。 path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 2. テキスト エディタに以下のファイルを開き、ファイル全体の内容をコピーしま
す。 smsampleusers_mysql.sql 3. クエリにファイルの内容を貼り付けて、クエリを実行します。 サンプル ユーザがデータベースにインポートされます。 MySQL サーバ ディレクトリ接続の設定
ポリシー サーバから MySQL サーバ ユーザ ストアへの接続を設定するには、新
規のユーザ ディレクトリ オブジェクトを作成します。 ポリシー サーバから MySQL サーバ ユーザ ストアへの接続を設定する方法
1. ［インフラストラクチャ］‐［ディレクトリ］をクリックします。 第 6 章： MySQL サーバ 107
MySQL ユーザ ストアを設定する方法
2. ［ユーザ ディレクトリ］、［ユーザ ディレクトリの作成］をクリックします。 ［ユーザ ディレクトリの作成］ペインが表示されます。 注： このペインで、ユーザ ディレクトリのプロパティを指定できます。 フィー
ルド、設定、およびオプションの詳細については、［ヘルプ］をクリックしてく
ださい。 3. ［一般］グループ ボックスのフィールドに、新規のユーザ ディレクトリ オブ
ジェクトの名前と説明を入力します。 4. ［ネームスペース］リストから［ODBC］を選択し、［ディレクトリのセットアップ］グ
ループ ボックスの［データ ソース］フィールドに、データ ソース名を入力しま
す。 5. ［認証情報が必要］チェック ボックスをオンにし、［管理者認証情報］グルー
プ ボックスのフィールドに管理者の完全 DN とパスワードを入力します。 6. ［SQL クエリ方式］グループ ボックスの［SQL クエリ方式］リストから、クエリ方式
を選択します。 7. （省略可）［ユーザ属性］グループ ボックスのフィールドに入力します。 a. ［ユニバーサル ID］フィールドにユニバーサル ID を入力します。 属性タイプ： 文字列 b. ［無効フラグ］フィールドに、無効なユーザを追跡するフラグを入力しま
す。 属性タイプ： 文字列 c. ［パスワード］フィールドに、ユーザ パスワードのロケーションを入力しま
す。 属性タイプ： バイナリ d. ［パスワード データ］フィールドに、ユーザ パスワード履歴のロケーショ
ンを入力します。 属性タイプ： バイナリ 注： この属性は、パスワード サービスに必要です。 e. ［匿名 ID］フィールドに、ユーザの匿名 ID を入力します。 属性タイプ： 文字列 f.
［電子メール］フィールドは空のままにしておきます。 注： 電子メール機能は、SiteMinder の現行バージョンには実装されて
いません。 108 ディレクトリ設定ガイド
MySQL ユーザ ストアを設定する方法
g. ［チャレンジ/レスポンス］フィールドに、レスポンスを入力します。 属性タイプ： 文字列 注： この文字列は、各チャレンジ後にユーザに送信されます。 8. （省略可）［属性マッピング リスト］グループ ボックスで［作成］をクリックしま
す。 ［属性マッピングの作成］ペインが開きます。 注： ユーザ属性マッピングの詳細については、「ポリシー サーバ設定ガイ
ド」を参照してください。 9. ［サブミット］をクリックします。 ユーザ ディレクトリの作成タスクが処理のためにサブミットされます。 第 6 章： MySQL サーバ 109
第 7 章： Novell eDirectory
このセクションには、以下のトピックが含まれています。 ポリシー ストアとしての Novell eDirectory (P. 111) 6.x ポリシー ストアをアップグレードする方法 (P. 125) ポリシー ストアとしての Novell eDirectory
Windows または UNIX システムのいずれかにインストールされたポリシー サー
バは、Novell eDirectory をポリシー ストアとして使用することができます。 作業を始める前に、以下がインストールされていることを確認してください。 ■
Novell eDirectory ■
Novell Windows Login Client ■
Novell ConsoleOne for Windows、UNIX、および Netware システム 以下のセクションでは、ポリシー ストアとしてディレクトリ サーバを設定する方法
について詳しく説明します。 ディレクトリ サーバ情報の収集
LDAP ディレクトリ サーバをポリシー ストアとして設定するか、または既存のポリ
シー ストアをアップグレードするには、特定のディレクトリ サーバ情報が必要で
す。 作業を始める前に、以下の情報を収集してください。 値を記録するために
ポリシー ストアのワークシートを使用できます。 注： ポリシー ストアおよびデータ ストアの各ワークシートが用意されているので、
SiteMinder データ ストアを設定またはアップグレードする前の情報の収集およ
び記録に使用することができます。 作業を始める前に、該当するワークシートを
印刷し、そのワークシートに必要な情報を記録しておくことができます。 ホスト情報 ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。 第 7 章： Novell eDirectory 111
ポリシー ストアとしての Novell eDirectory
ポート情報 （任意）標準以外のポートを指定します。 デフォルト値： 636（SSL）および 389（SSL 以外） 管理 DN LDAP ツリー内のポリシー ストア ルート オブジェクトの下でオブジェクトの作
成、読み取り、変更、および削除を行う権限を持つユーザの LDAP ユーザ名
を指定します。 管理パスワード 管理 DN のパスワードを指定します。 ポリシー サーバのルート DN ポリシー ストア オブジェクトを定義する、LDAP ツリー内のノードの識別名を
指定します。 SSL クライアント証明書 SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指
定します。 制限： SSL のみ ポリシー ストアを設定する方法
Novell eDirectory をポリシー ストアとして設定するには、以下の手順に従いま
す。 1. ポリシー ストア スキーマ ファイルの編集 2. Novell XPS スキーマ ファイルの編集 3. ポリシー サーバからポリシー ストアへの参照の設定 4. SiteMinder スーパーユーザ パスワードの設定 注： SiteMinder スーパーユーザ パスワードがすでにある場合は、この手順
を実行する必要はありません。 5. ポリシー ストア スキーマの作成 6. デフォルトのポリシー ストア オブジェクトのインポート 7. ポリシー ストア データ定義のインポート 112 ディレクトリ設定ガイド
ポリシー ストアとしての Novell eDirectory
8. LDAP サーバのリフレッシュ 9. ポリシー サーバの再起動 10. 管理 UI 登録の準備 ポリシー ストア スキーマ ファイルの編集
Novell サーバ DN 情報を格納するように、Novell ポリシー ストア スキーマ ファイ
ルを編集します。 Novell Client から、Novell ポリシー ストア スキーマ ファイルを
編集します。 ポリシー ストア スキーマ ファイルを編集する方法
1. ポリシー サーバ ホスト システム上の policy_server_home¥bin に移動しま
す。 policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 ldapsearch -hhost -pport -bcontainer -ssub -dAdminDN -wAdminPW
objectclass=ncpServer dn
例： ldapsearch -h192.168.1.47 -p389 -bo=nwqa47container -ssub
-dcn=admin,o=nwqa47container -wpassword objectclass=ncpServer dn
Novell サーバ DN が表示されます。 3. Novell ポリシー ストア スキーマ ファイルを開きます。 policy_server_home¥novell¥Novell_ADD_SMR12sp3.ldif 4. 各 NCP_Server 変数を、手順 2 で確認した Novell サーバ DN の値に置き換
えることによって、開いている LDIF ファイルを手動で編集します。 例： Novell サーバ DN の値が cn=servername,o=servercontainer の場合は、
NCP_Server の各インスタンスを cn=servername,o=servercontainer に置き換
えます。 5. LDIF ファイルを保存して閉じます。 Novell ポリシー ストア スキーマ ファイルに、Novell サーバ DN 情報が格納さ
れます。 第 7 章： Novell eDirectory 113
ポリシー ストアとしての Novell eDirectory
Novell XPS スキーマ ファイルの編集
Novell サーバ DN の適切な情報を格納するように、Novell XPS スキーマ ファイル Novell.ldif を編集します。 Novell Client から Novell XPS スキーマ ファイルを編集
します。 Novell XPS スキーマ ファイルを編集する方法
1. ポリシー サーバがインストールされているマシン上の、
policy_server_home¥bin または policy_server_home/bin に移動します。 policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 ldapsearch -hhost -pport -bcontainer -ssub -dAdminDN -wAdminPW
objectclass=ncpServer dn
例： ldapsearch -h192.168.1.47 -p389 -bo=nwqa47container -ssub
-dcn=admin,o=nwqa47container -wpassword objectclass=ncpServer dn
Novell サーバ DN が表示されます。 3. Novell XPS スキーマ ファイルを開きます。 policy_server_home¥xps¥db¥Novell.ldif 4. 各 NCP_Server 変数を、手順 2 で確認した Novell サーバ DN の値に置き換
えることによって、開いている XPS ファイルを手動で編集します。 例： Novell サーバ DN の値が cn=servername,o=servercontainer の場合は、
NCP_Server の各インスタンスを cn=servername,o=servercontainer に置き換
えます。 5. XPS ファイルを保存して閉じます。 Novell XPS スキーマ ファイルに、Novell サーバ DN の情報が格納されます。 114 ディレクトリ設定ガイド
ポリシー ストアとしての Novell eDirectory
ポリシー サーバからポリシー ストアへの参照の設定
ポリシー サーバからポリシー ストアへの参照を設定し、ポリシー サーバがポリ
シー ストアにアクセスできるようにします。 ポリシー サーバからポリシー ストアへの参照を設定する方法
1. ポリシー サーバ管理コンソールを開きます。 重要： Windows Server 2008 上でこのグラフィカル ユーザ インターフェース
にアクセスする場合は、管理者としてシステムにログインしている場合でも、
管理者権限でショートカットを開きます。 詳細については、お使いの SiteMinder コンポーネントのリリース ノートを参照してください。 2. ［データ］タブをクリックします。 データベース設定が表示されます。 3. ［データベース］リストから［ポリシー ストア］を選択します。 4. ［ストレージ］リストから［LDAP］を選択します。 5. ［LDAP ポリシー ストア］グループ ボックスで、以下を設定します。 ■
LDAP IP アドレス ■
管理者ユーザ名 ■
パスワード ■
パスワードの確認 ■
DN 注： フィールド、コントロール、およびそれぞれの要件については、［ヘル
プ］をクリックしてください。 6. ［適用］をクリックします。 ポリシー ストアの設定が保存されます。 7. ［LDAP 接続のテスト］をクリックします。 SiteMinder は、ポリシー サーバがポリシー ストアにアクセスできることを示す
確認を返します。 第 7 章： Novell eDirectory 115
ポリシー ストアとしての Novell eDirectory
ポリシー ストア スキーマの作成
ポリシー ストアおよびストア SiteMinder オブジェクトとしてディレクトリ サーバが
機能できるように、ポリシー ストア スキーマを作成します。 smldapsetup ツール
を使用して、ポリシー ストア スキーマを追加します。 ポリシー ストア スキーマを作成する方法 1. コマンド プロンプトを開き、policy_server_home¥bin または policy_server_home/bin に移動します。 policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 smldapsetup ldmod -v
-fpolicy_server_home/novell/Novell_Add_SMR12sp3.ldif
‐v トレースをオンにして、エラー メッセージ、警告メッセージ、およびコメン
ト メッセージを出力します。 ‐f r12.0 SP3 で提供されるスキーマ ファイルの名前を指定します。 3. 以下のコマンドを実行します。 smldapsetup ldmod -v -fpolicy_server_home¥xps¥db¥Novell.ldif
‐f r12.0 SP3 で提供される XPS スキーマ ファイルのパスおよび名前を指定
します。 r12.0 SP3 に対するポリシー ストア スキーマが作成されます。 116 ディレクトリ設定ガイド
ポリシー ストアとしての Novell eDirectory
SiteMinder スーパーユーザ パスワードの設定
デフォルトの SiteMinder 管理者アカウントの名前は siteminder です。 このアカ
ウントは最大の権限を持っています。 その他の SiteMinder 管理者を作成できる
まで SiteMinder のユーザ インターフェースとユーティリティの管理に使用できる
ように、このアカウントのパスワードを設定します。 注： smreg ユーティリティは、ポリシー サーバ インストール キットの最上位レベ
ルにあります。 スーパーユーザのパスワードを設定する方法
1. smreg ユーティリティを policy_server_home¥bin にコピーします。 policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 smreg -su password
重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可
能ファイルを実行している場合は、管理者としてシステムにログインしている
場合でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細につい
ては、お使いの SiteMinder コンポーネントのリリース ノートを参照してくださ
い。 password デフォルトの SiteMinder 管理者のパスワードを指定します。 制限： –
パスワードは 6 文字以上、24 文字以下である必要があります。 –
パスワードには、アンパサンド（&）またはアスタリスク（*）を含むことはで
きません。 –
パスワードにスペースが含まれている場合は、引用符でパスフレーズを
囲みます。 注： パスワードは、Oracle ポリシー ストアに保管する場合を除き、大文字小
文字が区別されません。 3. policy_server_home¥bin から smreg ユーティリティを削除します。 smreg を
削除すると、既存のパスワードを把握していない限り、パスワードを変更する
ことはできなくなります。 デフォルトの SiteMinder 管理者アカウントのパスワードが設定されます。 第 7 章： Novell eDirectory 117
ポリシー ストアとしての Novell eDirectory
注： 日常的な作業にはデフォルトのスーパーユーザを使用しないことをお勧め
します。 デフォルトのスーパーユーザは、以下の場合に使用してください。 ■
デフォルトのポリシー ストア オブジェクトをインポートする場合。 ■
FSS 管理 UI および 管理 UI に初めてアクセスする場合。 スーパーユーザ権
限を持つ別の管理者を作成することをお勧めします。 詳細情報： インストール メディアの検索 (P. 236) デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI で使用する
ポリシー ストアがセットアップされます。 ポリシー ストアにポリシー情報を格納す
るには、デフォルトのポリシー ストア オブジェクトが必要です。 注： FIPS 専用モードでポリシー サーバをインストールした場合は、デフォルトの
ポリシー ストア オブジェクトをインポートするときに必ず ‐cf 引数を使用してくだ
さい。 デフォルトのポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥smpolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -v
引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport -i$NETE_PS_ROOT/db/smdif/smpolicy.smdif -d"SM Admin" -wPassword -v
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder 118 ディレクトリ設定ガイド
ポリシー ストアとしての Novell eDirectory
‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐cf （任意）FIPS 対応の暗号化を使用して機密データをインポートします。 注： この引数は、ポリシー サーバが FIPS 専用モードで動作している場
合にのみ必要です。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 オブジェクトは、適切な場所に自動的にインポートされます。 2. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout 第 7 章： Novell eDirectory 119
ポリシー ストアとしての Novell eDirectory
‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 こ
れらのオブジェクトは、適切な場所に自動的にインポートされます。 注： ampolicy.smdif をインポートすると、Federation セキュリティ サービス、
Web サービス変数、および eTelligent ルール機能が使用可能になります。
eTelligent ルール機能は、SiteMinder から別個にライセンスが提供されます。 この eTelligent ルール機能を使用する予定がある場合は、ライセンスの詳
細について、CA アカウント担当者に問い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 120 ディレクトリ設定ガイド
ポリシー ストアとしての Novell eDirectory
2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 LDAP サーバのリフレッシュ
変更が Novell eDirectory で有効になるように、LDAP サーバをリフレッシュします。 LDAP サーバをリフレッシュするには、Novell Client を使用します。 LDAP サーバをリフレッシュする方法
1. ConsoleOne を開きます。 2. ディレクトリ ツリーで LDAP サーバをダブルクリックします。 3. ［LDAP サーバを今すぐリフレッシュ］をクリックします。 LDAP サーバがリフレッシュされます。 第 7 章： Novell eDirectory 121
ポリシー ストアとしての Novell eDirectory
ポリシー サーバの再起動
ポリシー ストアやその他のデータ ストアの設定を有効にするために、ポリシー サーバを再起動します。 注： UNIＸ システムでは、stop‐all コマンドの後に start‐all コマンドを使用すること
で、ポリシー サーバを再起動できます。 ポリシー サーバを再起動するには、以下の手順に従います。
1. ポリシー サーバ管理コンソールを開きます。 2. ［ステータス］タブをクリックし、［ポリシー サーバ］グループ ボックスで［停止］
をクリックします。 赤色の信号アイコンが表示されて、ポリシー サーバが停止します。 3. ［開始］をクリックします。 緑色の信号アイコンが表示されて、ポリシー サーバが起動します。 管理 UI 登録の準備
管理 UI に初めてログインする場合は、デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）を使用します。 初めてログインするときは、ポリシー サー
バに 管理 UI を登録する必要があります。これで、両方のコンポーネントの間に
信頼関係が作成されます。 XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパス
ワードを指定して、登録の準備をします。 ポリシー サーバは、これらの認証情報
を使用して、登録要求が有効であること、および信頼関係を確立できることを検
証します。 以下の点について考慮してください。 ■
認証情報を指定してから最初の 管理 UI ログインまでの時間は、24 時間に
制限されています。 24 時間以内に 管理 UI をインストールする予定がない
場合は、管理 UI をインストールする前に以下を実行します。 ■
（UNIX） XPSRegClient を使用する前に、SiteMinder 環境変数が設定されて
いることを確認してください。 環境変数が設定されていない場合は、手動で
設定します。 122 ディレクトリ設定ガイド
ポリシー ストアとしての Novell eDirectory
管理 UI 登録を準備する方法
1. ポリシー サーバ ホスト システムにログインします。 2. 以下のコマンドを実行します。 XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c
comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
passphrase デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）のパス
ワードを指定します。 注： パスフレーズを指定しないと、XPSRegClient により、パスフレーズの
入力とその確認を求めるプロンプトが表示されます。 ‐adminui–setup 管理 UI が初めてポリシー サーバに登録されていることを指定します。 ‐t timeout （任意）管理 UI をインストールしてから、ログインしてポリシー サーバと
の信頼関係を作成するまでの割り当て時間を指定します。 タイムアウト
値を超過すると、ポリシー サーバは登録リクエストを拒否します。 測定単位： 分 デフォルト： 240（4 時間） 最小制限： 1 最大制限： 1440（24 時間） ‐r retries （任意）管理 UI の登録時に許容される試行の失敗回数を指定します。 試行に失敗する原因としては、初めて 管理 UI にログインするときに間
違った SiteMinder 管理者クレデンシャルをサブミットしたことが考えられ
ます。 デフォルト： 1 最大制限： 5 ‐c comment （任意）指定されたコメントを情報目的で登録ログ ファイルに挿入しま
す。 注： コメントは引用符で囲んでください。 第 7 章： Novell eDirectory 123
ポリシー ストアとしての Novell eDirectory
‐cp （任意）登録ログ ファイルに複数行のコメントが含まれることを指定しま
す。 ユーティリティにより複数行のコメントが求められ、指定されたコメン
トが情報目的で登録ログ ファイルに挿入されます。 注： コメントは引用符で囲んでください。 ‐l log path （任意）登録ログ ファイルをエクスポートする場所を指定します。 デフォルト： siteminder_home¥log siteminder_home ポリシー サーバのインストール パスを指定します。 ‐e error_path （任意）例外を指定されたパスに送信します。 デフォルト： stderr ‐vT （任意）詳細レベルを TRACE に設定します。 ‐vI （任意）詳細レベルを INFO に設定します。 ‐vW （任意）詳細レベルを WARNING に設定します。 ‐vE （任意）詳細レベルを ERROR に設定します。 ‐vF （任意）詳細レベルを FATAL に設定します。 3. Enter キーを押します。 XPSRegClient は、ポリシー サーバに管理者クレデンシャルを提供します。 ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認
するためにこれらのクレデンシャルを使用します。 124 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
Novell eDirectory でのポリシー ストア オブジェクトの制限
Novell eDirectory でポリシー ストア オブジェクトを使用する場合は、以下の点を
考慮してください。 ■
ポリシー ストアが Novell eDirectory にある場合、eDirectory では属性を 64 文字を超える値に設定できないため、ポリシー ストア オブジェクトに 64 文
字より長い名前を付けることはできません。 これは、特に証明書マップに影
響します。通常、証明書マップには意図的に長い名前が付けられていま
す。 ■
ポリシー サーバは、Novell eDirectory にあるポリシー ストアの LDAP リフェラ
ルをサポートしていません。 6.x ポリシー ストアをアップグレードする方法
r12.0 SP3 ポリシー ストアに、新規のディレクトリ サーバ インスタンスは必要ありま
せん。 既存のポリシー ストアを r12.0 SP3 にアップグレードできます。 サポートされている LDAP またはリレーショナル データベースのポリシー ストアを
アップグレードするには、以下の手順に従います。 1. Novell XPS スキーマ ファイルを編集します。 2. ポリシー ストア スキーマを拡張します。 注：既存の r6.x ポリシー ストア スキーマは、変更されていません。 r12.0 SP3 の移行では、ポリシー ストア スキーマをアップグレードして、r12.0 SP3 に
よって必要とされるオブジェクトのポリシー ストアを拡張する必要がありま
す。 3. ベース ポリシー ストア オブジェクトをインポートします。 4. ポリシー ストア データ定義をインポートします。 注： 本書には記載されていないけれども、サポート マトリックスにはリストされて
いるディレクトリ サーバまたはデータベースをアップグレードする場合は、以下
の該当するガイドを参照してください。 ■
ポリシー サーバ設定ガイド ■
ポリシー サーバ インストール ガイド ■
アップグレード ガイド 第 7 章： Novell eDirectory 125
6.x ポリシー ストアをアップグレードする方法
Novell XPS スキーマ ファイルの編集
Novell サーバ DN の適切な情報を格納するように、Novell XPS スキーマ ファイル Novell.ldif を編集します。 Novell Client から Novell XPS スキーマ ファイルを編集
します。 Novell XPS スキーマ ファイルを編集する方法
1. ポリシー サーバがインストールされているマシン上の、
policy_server_home¥bin または policy_server_home/bin に移動します。 policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 ldapsearch -hhost -pport -bcontainer -ssub -dAdminDN -wAdminPW
objectclass=ncpServer dn
例： ldapsearch -h192.168.1.47 -p389 -bo=nwqa47container -ssub
-dcn=admin,o=nwqa47container -wpassword objectclass=ncpServer dn
Novell サーバ DN が表示されます。 3. Novell XPS スキーマ ファイルを開きます。 policy_server_home¥xps¥db¥Novell.ldif 4. 各 NCP_Server 変数を、手順 2 で確認した Novell サーバ DN の値に置き換
えることによって、開いている XPS ファイルを手動で編集します。 例： Novell サーバ DN の値が cn=servername,o=servercontainer の場合は、
NCP_Server の各インスタンスを cn=servername,o=servercontainer に置き換
えます。 5. XPS ファイルを保存して閉じます。 Novell XPS スキーマ ファイルに、Novell サーバ DN の情報が格納されます。 126 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
Novell ポリシー ストア スキーマの拡張
r12.0 SP3 によって導入されたオブジェクトを含めるように Novell 6.0 ポリシー スト
ア スキーマを拡張することができます。 既存の 6.0 ポリシー ストア スキーマまた
はデータに加える変更はありません。 Novell ポリシー ストア スキーマを拡張する方法
以下のコマンドを実行します。 smldapsetup ldmod -fpolicy_server_home/xps/db/Novell.ldif
‐f r12.0 SP3 で提供される XPS スキーマ ファイルのパスおよび名前を指定しま
す。 policy_server_home ポリシー サーバのインストール パスを指定します。 r12.0 SP3 によって導入されたオブジェクトを含めるようにポリシー ストア スキー
マが拡張されます。 注： これで、ポリシー ストア データ定義をインポートできます。 ベース ポリシー ストア オブジェクトのインポート
デフォルトの SiteMinder オブジェクトをインポートすると、管理 UI で使用するポ
リシー ストアがアップグレードされます。 デフォルトの SiteMinder オブジェクトは、
ポリシー ストアにポリシー情報を格納するために必要です。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥upgrade_smdif_file_name
-dsiteminder_super_user_name -wsiteminder_super_user_password
-v -f
policy_server_home ポリシー サーバのインストール パスを指定します。 第 7 章： Novell eDirectory 127
6.x ポリシー ストアをアップグレードする方法
upgrade_smdif_file_name インポート ファイルの名前を指定します。 ■
r60 から r12.0 SP3: sm_upgrade_60_to_R12sp3.smdif ■
r60 SP1 から r12.0 SP3: sm_upgrade_60sp1_to_R12sp3.smdif ■
r60 SP2 から r12.0 SP3: sm_upgrade_60sp2_to_R12sp3.smdif ■
r60 SP3 から r12.0 SP3: sm_upgrade_60sp3_to_R12sp3.smdif ■
r60 SP4 から r12.0 SP3: sm_upgrade_60sp4_to_R12sp3.smdif ■
r60 SP5 から r12.0 SP3: sm_upgrade_60sp5_to_R12sp3.smdif ■
r60 SP6 から r12.0 SP3: sm_upgrade_60sp6_to_r12sp3.smdif ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト出力： stdout ‐f 重複するポリシー ストア オブジェクトを、r12.0 SP3 のもので上書きしま
す。 引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport ‐i$NETE_PS_ROOT/db/smdif/smpolicy.smdif ‐d"SM Admin" ‐wPassword ‐v ベース ポリシー ストア オブジェクトがインポートされます。 128 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
2. 以下のコマンドを実行します。 重要： ampolicy.smdif が以前にポリシー ストアにインポートされている場合
は再インポートしないでください。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐policy_server_home インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 注： ampolicy.smdif をインポートすると、SiteMinder から別々にライセンスさ
れるフェデレーション セキュリティ サービス、Web サービス変数、および eTelligent ルール機能が使用可能になります。 eTelligent ルール機能を使
用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問
い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 第 7 章： Novell eDirectory 129
6.x ポリシー ストアをアップグレードする方法
ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 130 ディレクトリ設定ガイド
第 8 章： Oracle Internet Directory Server
このセクションには、以下のトピックが含まれています。 ポリシー ストアとしての Oracle Internet Directory (P. 131) 6.x ポリシー ストアをアップグレードする方法 (P. 145) ポリシー ストアとしての Oracle Internet Directory
Windows および UNIX システムにインストールされたポリシー サーバは、Oracle Internet Directory（OID）をポリシー ストアとして使用することができます。 以下の
セクションで、OID をポリシー ストアとして設定する方法を詳しく説明します。 ディレクトリ サーバ情報の収集
LDAP ディレクトリ サーバをポリシー ストアとして設定するか、または既存のポリ
シー ストアをアップグレードするには、特定のディレクトリ サーバ情報が必要で
す。 作業を始める前に、以下の情報を収集してください。 値を記録するために
ポリシー ストアのワークシートを使用できます。 注： ポリシー ストアおよびデータ ストアの各ワークシートが用意されているので、
SiteMinder データ ストアを設定またはアップグレードする前の情報の収集およ
び記録に使用することができます。 作業を始める前に、該当するワークシートを
印刷し、そのワークシートに必要な情報を記録しておくことができます。 ホスト情報 ディレクトリ サーバの完全修飾ホスト名または IP アドレスを指定します。 ポート情報 （任意）標準以外のポートを指定します。 デフォルト値： 636（SSL）および 389（SSL 以外） 管理 DN LDAP ツリー内のポリシー ストア ルート オブジェクトの下でオブジェクトの作
成、読み取り、変更、および削除を行う権限を持つユーザの LDAP ユーザ名
を指定します。 第 8 章： Oracle Internet Directory Server 131
ポリシー ストアとしての Oracle Internet Directory
管理パスワード 管理 DN のパスワードを指定します。 ポリシー サーバのルート DN ポリシー ストア オブジェクトを定義する、LDAP ツリー内のノードの識別名を
指定します。 SSL クライアント証明書 SSL クライアント証明書データベース ファイルがあるディレクトリのパス名を指
定します。 制限： SSL のみ ポリシー サーバを設定する方法
OID をポリシー ストアとして設定するには、以下の手順に従います。 1. SiteMinder スキーマ ファイルをダウンロードします。 2. Oracle Internet Directory でドメインを設定します。 3. ディレクトリ サーバにポリシー サーバを示します。 4. ポリシー ストア スキーマを作成します。 5. SiteMinder スーパーユーザ パスワードを設定します。 注： SiteMinder スーパーユーザ パスワードがすでにある場合は、この手順
を実行する必要はありません。 6. デフォルトのポリシー ストア オブジェクトをインポートします。 7. ポリシー ストア データ定義をインポートします。 8. ポリシー サーバを再起動します。 9. 管理 UI の登録を準備します。 132 ディレクトリ設定ガイド
ポリシー ストアとしての Oracle Internet Directory
SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 Oracle Internet Directory でのドメインの設定
OID をポリシー ストアとして設定するには、まず OID にドメインを作成します。 Oracle Internet Directory にドメインを設定する方法
1. Oracle Data Manager（ODM）を開きます。 2. ［Entry Management］を右クリックし、［Create］を選択します。 ［Distinguished Name］ダイアログ ボックスが開きます。 3. 識別名の値として dc=dcbok を入力します。 4. dc の値として dc を入力します。 5. 組織単位を作成します。 6. 組織単位を選択します。 第 8 章： Oracle Internet Directory Server 133
ポリシー ストアとしての Oracle Internet Directory
7. 識別名の値として ou=bok、dc=dcbok を入力します。 8. ou の値として bok を入力します。 OID ドメインが設定されます。 ポリシー サーバからディレクトリ サーバへの参照の設定
ポリシー サーバが、ポリシー ストアに対して情報の読み取りおよび書き込みを
行うために必要なシステム情報と管理権限を持つことができるように、ポリシー サーバから LDAP ディレクトリ サーバへの参照を設定します。 ポリシー サーバからディレクトリ サーバへの参照を設定する方法 1. ポリシー サーバ ホスト システムから以下コマンドを実行します。 smldapsetup status -hhost -pport -dAdminDN
-wAdminPW -rroot -ssl1/0 -ccert
‐hhost LDAP サーバのホスト システムの IP アドレスを指定します。 ‐pport LDAP サーバが受信待機するポートを指定します。 ‐dAdminDN LDAP ディレクトリ サーバに LDAP スキーマを作成する権限を持つ LDAP ユーザの名前を指定します。 ADAM または AD LDS： guid 値を含め、ディレクトリ サーバ管理者の完
全なドメイン名を指定します。 例： CN=user1,CN=People,CN=Configuration,CN,{guid} ‐wAdminPW LDAP ディレクトリ サーバに LDAP スキーマを作成する権限を持つ LDAP ユーザのパスワードを指定します。 ‐rroot LDAP ディレクトリ内の SiteMinder データの DN ロケーションを指定しま
す。 ADAM または AD LDS： ポリシー ストア スキーマ データを置く、ADAM ま
たは AD LDS サーバ内のアプリケーション パーティションの既存のルート DN ロケーションを指定します。 134 ディレクトリ設定ガイド
ポリシー ストアとしての Oracle Internet Directory
‐ssl1|0 SSL 接続を指定します。 制限： 0=no | 1=yes デフォルト： 0 ‐ccert （ssl 値が 1 の場合にのみ必須）SSL クライアント証明書データベース ファイル（cert7.db）があるディレクトリのパスを指定します。 LDAP ポリシー ストア接続パラメータの設定が適正かどうかが検証されます。 2. 以下のコマンドを実行します。 smldapsetup reg -hhost -pport -dAdminDN
-wAdminPW -rroot -ssl1/0 -ccert
LDAP ディレクトリ サーバの接続がテストされ、サーバが SiteMinder ポリシー ストアとして設定されます。 ポリシー ストア スキーマの作成
r12.0 SP3 によって導入されたオブジェクトを含めるためのポリシー ストア スキー
マを作成することができます。 ポリシー ストア スキーマを作成する方法 1. 以下のコマンドを実行します。 smldapsetup ldgen -ffile_name.ldif
‐f 作成するスキーマ ファイルの名前を指定します。 2. 以下のコマンドを実行します。 smldapsetup ldmod -ffile_name.ldif
‐f 作成したスキーマ ファイルの名前を指定します。 第 8 章： Oracle Internet Directory Server 135
ポリシー ストアとしての Oracle Internet Directory
3. 以下のコマンドを実行します。 ldapmodify -hhost -pport -dAdminDN -wAdminPW
-c -fpath/xps/oid_10g/OID_10g.ldif
-Z -Pcert
注： スキーマ ファイルはバージョンに固有ですが、このファイルを使用して 、
サポートされる OID のすべてのバージョンのポリシー ストア スキーマをイン
ポートすることができます。 ‐hhost LDAP ディレクトリ サーバの IP アドレスを指定します。 例： 123.123.12.12 ‐pport LDAP ディレクトリ サーバのポート番号を指定します。 例： 3500 ‐dAdminDN LDAP ディレクトリ サーバに新規の LDAP スキーマを作成するために必
要な権限を持つ LDAP ユーザの名前を指定します。 ‐wAdminPW ‐d オプションで指定された管理者のパスワードを指定します。 ‐c 連続モードを指定します（エラーで停止しません）。 ‐fpath Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 ‐Z SSL 暗号化接続を指定します。 136 ディレクトリ設定ガイド
ポリシー ストアとしての Oracle Internet Directory
‐Pcert SSL クライアント証明書データベース ファイル（cert7.db）のパスを指定し
ます。 例： cert7.db が app/siteminder/ssl に存在する場合は、以下を指定します。 -Papp/siteminder/ssl
r12.0 SP3 に対するポリシー ストア スキーマが作成されます。 SiteMinder スーパーユーザ パスワードの設定
デフォルトの SiteMinder 管理者アカウントの名前は siteminder です。 このアカ
ウントは最大の権限を持っています。 その他の SiteMinder 管理者を作成できる
まで SiteMinder のユーザ インターフェースとユーティリティの管理に使用できる
ように、このアカウントのパスワードを設定します。 注： smreg ユーティリティは、ポリシー サーバ インストール キットの最上位レベ
ルにあります。 スーパーユーザのパスワードを設定する方法
1. smreg ユーティリティを policy_server_home¥bin にコピーします。 policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 smreg -su password
重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可
能ファイルを実行している場合は、管理者としてシステムにログインしている
場合でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細につい
ては、お使いの SiteMinder コンポーネントのリリース ノートを参照してくださ
い。 password デフォルトの SiteMinder 管理者のパスワードを指定します。 第 8 章： Oracle Internet Directory Server 137
ポリシー ストアとしての Oracle Internet Directory
制限： –
パスワードは 6 文字以上、24 文字以下である必要があります。 –
パスワードには、アンパサンド（&）またはアスタリスク（*）を含むことはで
きません。 –
パスワードにスペースが含まれている場合は、引用符でパスフレーズを
囲みます。 注： パスワードは、Oracle ポリシー ストアに保管する場合を除き、大文字小
文字が区別されません。 3. policy_server_home¥bin から smreg ユーティリティを削除します。 smreg を
削除すると、既存のパスワードを把握していない限り、パスワードを変更する
ことはできなくなります。 デフォルトの SiteMinder 管理者アカウントのパスワードが設定されます。 注： 日常的な作業にはデフォルトのスーパーユーザを使用しないことをお勧め
します。 デフォルトのスーパーユーザは、以下の場合に使用してください。 ■
デフォルトのポリシー ストア オブジェクトをインポートする場合。 ■
FSS 管理 UI および 管理 UI に初めてアクセスする場合。 スーパーユーザ権
限を持つ別の管理者を作成することをお勧めします。 詳細情報： インストール メディアの検索 (P. 236) 138 ディレクトリ設定ガイド
ポリシー ストアとしての Oracle Internet Directory
デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI で使用する
ポリシー ストアがセットアップされます。 ポリシー ストアにポリシー情報を格納す
るには、デフォルトのポリシー ストア オブジェクトが必要です。 注： FIPS 専用モードでポリシー サーバをインストールした場合は、デフォルトの
ポリシー ストア オブジェクトをインポートするときに必ず ‐cf 引数を使用してくだ
さい。 デフォルトのポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥smpolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -v
引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport -i$NETE_PS_ROOT/db/smdif/smpolicy.smdif -d"SM Admin" -wPassword -v
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout 第 8 章： Oracle Internet Directory Server 139
ポリシー ストアとしての Oracle Internet Directory
‐cf （任意）FIPS 対応の暗号化を使用して機密データをインポートします。 注： この引数は、ポリシー サーバが FIPS 専用モードで動作している場
合にのみ必要です。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 オブジェクトは、適切な場所に自動的にインポートされます。 2. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 140 ディレクトリ設定ガイド
ポリシー ストアとしての Oracle Internet Directory
smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 こ
れらのオブジェクトは、適切な場所に自動的にインポートされます。 注： ampolicy.smdif をインポートすると、Federation セキュリティ サービス、
Web サービス変数、および eTelligent ルール機能が使用可能になります。
eTelligent ルール機能は、SiteMinder から別個にライセンスが提供されます。 この eTelligent ルール機能を使用する予定がある場合は、ライセンスの詳
細について、CA アカウント担当者に問い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 第 8 章： Oracle Internet Directory Server 141
ポリシー ストアとしての Oracle Internet Directory
3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 ポリシー サーバの再起動
ポリシー ストアやその他のデータ ストアの設定を有効にするために、ポリシー サーバを再起動します。 注： UNIＸ システムでは、stop‐all コマンドの後に start‐all コマンドを使用すること
で、ポリシー サーバを再起動できます。 ポリシー サーバを再起動するには、以下の手順に従います。
1. ポリシー サーバ管理コンソールを開きます。 2. ［ステータス］タブをクリックし、［ポリシー サーバ］グループ ボックスで［停止］
をクリックします。 赤色の信号アイコンが表示されて、ポリシー サーバが停止します。 3. ［開始］をクリックします。 緑色の信号アイコンが表示されて、ポリシー サーバが起動します。 管理 UI 登録の準備
管理 UI に初めてログインする場合は、デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）を使用します。 初めてログインするときは、ポリシー サー
バに 管理 UI を登録する必要があります。これで、両方のコンポーネントの間に
信頼関係が作成されます。 XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパス
ワードを指定して、登録の準備をします。 ポリシー サーバは、これらの認証情報
を使用して、登録要求が有効であること、および信頼関係を確立できることを検
証します。 142 ディレクトリ設定ガイド
ポリシー ストアとしての Oracle Internet Directory
以下の点について考慮してください。 ■
認証情報を指定してから最初の 管理 UI ログインまでの時間は、24 時間に
制限されています。 24 時間以内に 管理 UI をインストールする予定がない
場合は、管理 UI をインストールする前に以下を実行します。 ■
（UNIX） XPSRegClient を使用する前に、SiteMinder 環境変数が設定されて
いることを確認してください。 環境変数が設定されていない場合は、手動で
設定します。 管理 UI 登録を準備する方法
1. ポリシー サーバ ホスト システムにログインします。 2. 以下のコマンドを実行します。 XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c
comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
passphrase デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）のパス
ワードを指定します。 注： パスフレーズを指定しないと、XPSRegClient により、パスフレーズの
入力とその確認を求めるプロンプトが表示されます。 ‐adminui–setup 管理 UI が初めてポリシー サーバに登録されていることを指定します。 ‐t timeout （任意）管理 UI をインストールしてから、ログインしてポリシー サーバと
の信頼関係を作成するまでの割り当て時間を指定します。 タイムアウト
値を超過すると、ポリシー サーバは登録リクエストを拒否します。 測定単位： 分 デフォルト： 240（4 時間） 最小制限： 1 最大制限： 1440（24 時間） 第 8 章： Oracle Internet Directory Server 143
ポリシー ストアとしての Oracle Internet Directory
‐r retries （任意）管理 UI の登録時に許容される試行の失敗回数を指定します。 試行に失敗する原因としては、初めて 管理 UI にログインするときに間
違った SiteMinder 管理者クレデンシャルをサブミットしたことが考えられ
ます。 デフォルト： 1 最大制限： 5 ‐c comment （任意）指定されたコメントを情報目的で登録ログ ファイルに挿入しま
す。 注： コメントは引用符で囲んでください。 ‐cp （任意）登録ログ ファイルに複数行のコメントが含まれることを指定しま
す。 ユーティリティにより複数行のコメントが求められ、指定されたコメン
トが情報目的で登録ログ ファイルに挿入されます。 注： コメントは引用符で囲んでください。 ‐l log path （任意）登録ログ ファイルをエクスポートする場所を指定します。 デフォルト： siteminder_home¥log siteminder_home ポリシー サーバのインストール パスを指定します。 ‐e error_path （任意）例外を指定されたパスに送信します。 デフォルト： stderr ‐vT （任意）詳細レベルを TRACE に設定します。 144 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
‐vI （任意）詳細レベルを INFO に設定します。 ‐vW （任意）詳細レベルを WARNING に設定します。 ‐vE （任意）詳細レベルを ERROR に設定します。 ‐vF （任意）詳細レベルを FATAL に設定します。 3. Enter キーを押します。 XPSRegClient は、ポリシー サーバに管理者クレデンシャルを提供します。 ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認
するためにこれらのクレデンシャルを使用します。 6.x ポリシー ストアをアップグレードする方法
r12.0 SP3 ポリシー ストアに、新規のディレクトリ サーバ インスタンスは必要ありま
せん。 既存のポリシー ストアを r12.0 SP3 にアップグレードできます。 ポリシー ストアをアップグレードするには、以下の手順を実行します。 1. ポリシー ストア スキーマを拡張します。 注：既存の r6.x ポリシー ストア スキーマは、変更されていません。 r12.0 SP3 の移行では、ポリシー ストア スキーマをアップグレードして、r12.0 SP3 に
よって必要とされるオブジェクトのポリシー ストアを拡張する必要がありま
す。 2. ベース ポリシー ストア オブジェクトをインポートします。 3. ポリシー ストア データ定義をインポートします。 注： サポート マトリックスにリストされているディレクトリ サーバまたはデータベー
スで、本書に記載されていないものをアップグレードする場合は、「SiteMinder アップグレード ガイド」を参照してください。 第 8 章： Oracle Internet Directory Server 145
6.x ポリシー ストアをアップグレードする方法
Oracle Internet Directory ポリシー ストア スキーマの拡張
r12.0 SP3 によって導入されたオブジェクトを含めるように 6.x ポリシー ストア ス
キーマを拡張することができます。 既存の 6.x ポリシー ストア スキーマに加える
変更はありません。 Oracle Internet Directory ポリシー ストア スキーマを拡張する方法
1. policy_server_home/bin または policy_server_home¥bin に移動します。 policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 ldapmodify -hhost -pport -dAdminDN -wAdminPW
-c -fpath/xps/oid_10g/OID_10g.ldif
-Z -Pcert
‐hhost LDAP ディレクトリ サーバの IP アドレスを指定します。 例： 123.123.12.12 ‐pport LDAP ディレクトリ サーバのポート番号を指定します。 例： 3500 ‐dAdminDN LDAP ディレクトリ サーバに新規の LDAP スキーマを作成するために必
要な権限を持つ LDAP ユーザの名前を指定します。 ‐wAdminPW ‐d オプションで指定された管理者のパスワードを指定します。 ‐c 連続モードを指定します（エラーで停止しません）。 ‐fpath Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 ‐Z SSL 暗号化接続を指定します。 146 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
‐Pcert SSL クライアント証明書データベースファイル（cert7.db）があるディレクト
リのパスを指定します。 例： cert7.db が app/siteminder/ssl に存在する場合は、以下を指定します。 -Papp/siteminder/ssl
r12.0 SP3 によって導入されたオブジェクトを含めるようにポリシー ストア ス
キーマが拡張されます。 ベース ポリシー ストア オブジェクトのインポート
デフォルトの SiteMinder オブジェクトをインポートすると、管理 UI で使用するポ
リシー ストアがアップグレードされます。 デフォルトの SiteMinder オブジェクトは、
ポリシー ストアにポリシー情報を格納するために必要です。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥upgrade_smdif_file_name
-dsiteminder_super_user_name -wsiteminder_super_user_password
-v -f
policy_server_home ポリシー サーバのインストール パスを指定します。 upgrade_smdif_file_name インポート ファイルの名前を指定します。 ■
r60 から r12.0 SP3: sm_upgrade_60_to_R12sp3.smdif ■
r60 SP1 から r12.0 SP3: sm_upgrade_60sp1_to_R12sp3.smdif ■
r60 SP2 から r12.0 SP3: sm_upgrade_60sp2_to_R12sp3.smdif ■
r60 SP3 から r12.0 SP3: sm_upgrade_60sp3_to_R12sp3.smdif ■
r60 SP4 から r12.0 SP3: sm_upgrade_60sp4_to_R12sp3.smdif 第 8 章： Oracle Internet Directory Server 147
6.x ポリシー ストアをアップグレードする方法
■
r60 SP5 から r12.0 SP3: sm_upgrade_60sp5_to_R12sp3.smdif ■
r60 SP6 から r12.0 SP3: sm_upgrade_60sp6_to_r12sp3.smdif ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト出力： stdout ‐f 重複するポリシー ストア オブジェクトを、r12.0 SP3 のもので上書きしま
す。 引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport ‐i$NETE_PS_ROOT/db/smdif/smpolicy.smdif ‐d"SM Admin" ‐wPassword ‐v ベース ポリシー ストア オブジェクトがインポートされます。 2. 以下のコマンドを実行します。 重要： ampolicy.smdif が以前にポリシー ストアにインポートされている場合
は再インポートしないでください。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐policy_server_home インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 148 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 注： ampolicy.smdif をインポートすると、SiteMinder から別々にライセンスさ
れるフェデレーション セキュリティ サービス、Web サービス変数、および eTelligent ルール機能が使用可能になります。 eTelligent ルール機能を使
用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問
い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 第 8 章： Oracle Internet Directory Server 149
6.x ポリシー ストアをアップグレードする方法
2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 150 ディレクトリ設定ガイド
第 9 章： OpenLDAP サーバ
このセクションには、以下のトピックが含まれています。 SiteMinder スキーマ ファイルのダウンロード (P. 151) Slapd 構成ファイルを設定する方法 (P. 152) データベースを作成する方法 (P. 156) ディレクトリ サーバをポリシー ストアとして設定する方法 (P. 158) ディレクトリ サーバをユーザ ストアとして設定する方法 (P. 165) ポリシー ストアに対する SSL の設定 (P. 168) 6.x ポリシー ストアをアップグレードする方法 (P. 169) OpenLDAP のトラブルシューティング (P. 174) SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 第 9 章： OpenLDAP サーバ 151
Slapd 構成ファイルを設定する方法
Slapd 構成ファイルを設定する方法
OpenLDAP ディレクトリ サーバをポリシー ストアとして使用できるようにするには、
事前に OpenLDAP ディレクトリ サーバで追加設定を行っておく必要があります。 設定手順は以下のとおりです。 1. SiteMinder スキーマ ファイルを指定します。 2. 認証を有効にします。 3. データベース ディレクティブを指定します。 4. 構成ファイルをテストします。 5. OpenLDAP サーバのを起動します。 SiteMinder スキーマ ファイルの指定
slapd 構成ファイル（slapd.conf）の include セクションにスキーマ ファイルを指定
することによって、slapd プロセス（LDAP ディレクトリ サーバ デーモン）は追加の
構成情報を読み取ることができます。 含めるファイルは、適切な slapd 設定ファ
イル形式に従う必要があります。 スキーマ ファイルを指定する方法
1. OpenLDAP インストール ディレクトリ内のスキーマ フォルダに、以下のスキー
マ ファイルをコピーします。 ■
path/openldap/openldap_attribute.schema ■
path/openldap/openldap_object.schema ■
path/xps/openldap/openldap_attribute_XPS.schema ■
path/xps/openldap/openldap_object_XPS.schema path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 2. slapd 構成ファイルの include セクションに、以下を入力します。 ....
.....
include /usr/local/etc/openldap/schema/openldap_attribute.schema
include /usr/local/etc/openldap/schema/openldap_object.schema
152 ディレクトリ設定ガイド
Slapd 構成ファイルを設定する方法
include /usr/local/etc/openldap/schema/openldap_attribute_XPS.schema
include /usr/local/etc/openldap/schema/openldap_object_XPS.schema
注： この手順は、OpenLDAP サーバが /usr/local/etc/openldap にあり、ス
キーマ ファイルが schema サブディレクトリにあることを前提としています。 r12.0 SP3 に対するポリシー ストア スキーマが作成されます。 ユーザ認証の有効化
ユーザ認証を有効にすることにより、サポートされた認証方式でリソースを保護
することができます。 ユーザ認証を有効にするには、slapd 設定ファイルに以下の行を追加します。 access to attr=userpassword
by self write
by anonymous auth
by * none
データベース ディレクティブの指定
slapd 設定ファイルには、さらにデータベース ディレクティブの値が必要です。 ディレクティブを指定するには、以下を編集します。 database 任意のサポートされているバックエンド タイプを指定します。 例： bdb suffix データベースのサフィックスを指定します。 例： dc=example、dc=com rootdn ルートの DN を指定します。 例： cn=Manager、dc=example、dc=com rootpw ルートのパスワードを指定します。 第 9 章： OpenLDAP サーバ 153
Slapd 構成ファイルを設定する方法
directory データベース ディレクトリのパスを指定します。 例： /usr/local/var/openldap‐data 注： データベース ディレクトリは、slapd を実行する前に存在していることが
必要です。slapd プロセスにアクセス可能である必要があるのは、このディレ
クトリのみです。 クライアント サイドの並べ替えのサポート
サポートされている LDAP ディレクトリで、サーバ サイドの並べ替えをサポートし
ていないのは OpenLDAP のみです。 代わりに、OpenLDAP では、すべての並べ
替えをクライアント サイドで実行する必要があります。 このために、すべての XPS オブジェクトは、サーバ サイドのページングを使用して起動時に取得されます。 クライアント サイドの並べ替えをサポートするには、OpenLDAP ディレクトリの管
理者が、slapd.conf ファイルで以下の設定を行う必要があります。 ■
ルート DSE の読み取りを有効にします。 この設定により、XPS クライアントは OpenLDAP ディレクトリのタイプおよび機
能を読み取ることが可能になります。 ■
検索操作から返すことのできる項目の最大数を 500 以上に設定します。 この設定により、サーバ サイドのページングによって 500 個単位で取得され
る XPS オブジェクトに対応します。 ■
シンプル V2 バインドを許可します。 この設定により、smconsole はシンプル V2 バインドを使用して LDAP 接続を
テストすることが可能になります。 154 ディレクトリ設定ガイド
Slapd 構成ファイルを設定する方法
クライアント サイドの並べ替えをサポートする方法
1. slapd.conf ファイルに、以下の行を追加します。 access to *
by users read
by anonymous read
access to dn.base=ACL by users read
ACL アクセス制御リストまたは権限のリストを指定します。 注： ACL を指定する方法の詳細については、
http://www.openldap.org/doc/admin24/access‐control.html を参照してく
ださい。 2. slapd.conf ファイルで sizelimit ディレクティブによって指定された値が 500 以上であることを確認します。 sizelimit 500
注： sizelimit のデフォルト値は 500 です。 詳細については、
http://www.openldap.org/doc/admin24/slapdconfig.html を参照してくださ
い。 3. slapd.conf ファイルに、以下の行を追加します。 allow bind_v2
slapd.conf ファイルが、クライアント サイドの並べ替えをサポートするように設定
されます。 設定ファイルのテスト
設定ファイルをテストすることで、ファイルを正しい形式にすることができます。 設定ファイルをテストする方法 1. OpenLDAP サーバ ディレクトリに移動します。 第 9 章： OpenLDAP サーバ 155
データベースを作成する方法
2. 以下のコマンドを実行します。 ./slapd
注： レベル 0 を含め、デバッグ レベルが指定されていない限り、slapd は自
動的にフォークして、制御端末から自身を切り離し、バックグラウンドで実行
します。 3. 以下のコマンドを実行します。 ./slapd -Tt
slapd 設定ファイルがテストされます。 OpenLDAP サーバの再起動
OpenLDAP ディレクトリ サーバを再起動すると、SiteMinder スキーマがロードさ
れます。 ディレクトリ サーバをポリシー ストアとして使用できるように、ポリシー サーバは、事前に SiteMinder スキーマをロードしておくことを必要とします。 ディレクトリ サーバを再起動する方法 1. 以下のコマンドを使用して、ディレクトリ サーバを停止します。 kill ?INT 'cat path_of_var/run_directory/slapd.pid'
path_of_var/run_directory データベース ディレクトリのパスを指定します。 例： kill ?INT 'cat /usr/local/var/run/slapd.pid' 2. 以下のコマンドを使用して、ディレクトリ サーバを起動します。 ./slapd
データベースを作成する方法
以下のプロセスに、ポリシー ストア用のディレクトリ サーバ データベースを作成
するための手順を示します。 1. ベース ツリー構造を作成します。 2. エントリを追加します。 156 ディレクトリ設定ガイド
データベースを作成する方法
ベース ツリー構造の作成
ポリシー ストアにベース ツリー構造を作成することができます。 ルート DN の下に、以下を指定します。 ou=Netegrity,ou=SiteMinder,ou=PolicySvr4,ou=XPS
ベース ツリー構造がポリシー ストアに作成されます。 エントリの追加
SiteMinder が必要な組織情報および組織ロール情報を保持するように、ディレ
クトリ サーバにエントリを追加します。 データベース エントリを追加する方法
1. LDIF ファイルを作成します。 例： 以下の例には、entries.ldif の組織エントリおよび組織ロール エントリが
含まれます。 # Organization for example.com
dn: root_DN (example.com)
objectClass: dcObject
objectClass: organization
dc: example
o: Example Corporation
# Organizational Role for Directory Manager
dn: cn=Manager,root_DN
objectClass: organizationalRole
objectClass: top
cn: Manager
description: Directory Manager
2. 以下のコマンドを使用して、エントリを追加します。 ldapadd -<file_name.ldif>
-D "cn=Manager,dc=example,dc=com" -w<password>
第 9 章： OpenLDAP サーバ 157
ディレクトリ サーバをポリシー ストアとして設定する方法
ディレクトリ サーバをポリシー ストアとして設定する方法
ポリシー サーバ管理コンソールおよび 管理 UI を使用して、ディレクトリ サーバ
をポリシー ストアとして設定することができます。 以下に、ディレクトリ サーバを
ポリシー ストアとして使用するための手順を示します。 1. ポリシー ストアを作成 2. ポリシー ストアに接続 ポリシー サーバからディレクトリ サーバへの参照の設定
ポリシー サーバが、ポリシー ストアに対して情報の読み取りおよび書き込みを
行うために必要なシステム情報と管理権限を持つことができるように、ポリシー サーバから LDAP ディレクトリ サーバへの参照を設定します。 ポリシー サーバからディレクトリ サーバへの参照を設定する方法 1. ポリシー サーバ ホスト システムから以下コマンドを実行します。 smldapsetup status -hhost -pport -dAdminDN
-wAdminPW -rroot -ssl1/0 -ccert
‐hhost LDAP サーバのホスト システムの IP アドレスを指定します。 ‐pport LDAP サーバが受信待機するポートを指定します。 ‐dAdminDN LDAP ディレクトリ サーバに LDAP スキーマを作成する権限を持つ LDAP ユーザの名前を指定します。 ADAM または AD LDS： guid 値を含め、ディレクトリ サーバ管理者の完
全なドメイン名を指定します。 例： CN=user1,CN=People,CN=Configuration,CN,{guid} ‐wAdminPW LDAP ディレクトリ サーバに LDAP スキーマを作成する権限を持つ LDAP ユーザのパスワードを指定します。 158 ディレクトリ設定ガイド
ディレクトリ サーバをポリシー ストアとして設定する方法
‐rroot LDAP ディレクトリ内の SiteMinder データの DN ロケーションを指定しま
す。 ADAM または AD LDS： ポリシー ストア スキーマ データを置く、ADAM ま
たは AD LDS サーバ内のアプリケーション パーティションの既存のルート DN ロケーションを指定します。 ‐ssl1|0 SSL 接続を指定します。 制限： 0=no | 1=yes デフォルト： 0 ‐ccert （ssl 値が 1 の場合にのみ必須）SSL クライアント証明書データベース ファイル（cert7.db）があるディレクトリのパスを指定します。 LDAP ポリシー ストア接続パラメータの設定が適正かどうかが検証されます。 2. 以下のコマンドを実行します。 smldapsetup reg -hhost -pport -dAdminDN
-wAdminPW -rroot -ssl1/0 -ccert
LDAP ディレクトリ サーバの接続がテストされ、サーバが SiteMinder ポリシー ストアとして設定されます。 ポリシー ストアの作成
OpenLDAP ディレクトリ サーバをポリシー ストアとして設定するには、ベース ポリ
シー ストア データをインポートします。 ポリシー ストアを作成する方法
1. ポリシーサーバー管理コンソールを起動します。 2. ［データ］タブをクリックします。 3. ［ルート DN］フィールドにルート DN を入力し、［OK］をクリックします。 ルート DN が保存されます。 4. policy_server_home/bin に移動します。 policy_server_home ポリシー サーバのインストール パスを指定します。 第 9 章： OpenLDAP サーバ 159
ディレクトリ サーバをポリシー ストアとして設定する方法
5. 以下のコマンドを実行します。 smreg -su adminPW
管理者のパスワードが保存されます。 6. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥smpolicy.smdif -dAdminDN -wAdminPW -v
‐i インポート ファイルの名前を指定します。 ‐dAdminDN LDAP ディレクトリに新規の LDAP スキーマを作成する権限を持つ LDAP ユーザの名前を指定します。 ‐wAdminPW LDAP ディレクトリに新規の LDAP スキーマを作成する権限を持つ LDAP ユーザのパスワードを指定します。 ‐v トレースをオンにして、エラー メッセージ、警告メッセージ、およびコメン
ト メッセージを出力します。 ベース ポリシー ストア データを、ファイル smpolicy.smdif からインポートしま
す。 7. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐f 重複するオブジェクトをオーバーライドします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout 160 ディレクトリ設定ガイド
ディレクトリ サーバをポリシー ストアとして設定する方法
‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 こ
れらのオブジェクトは、適切な場所に自動的にインポートされます。 注： ampolicy.smdif をインポートすると、Federation セキュリティ サービス、
Web サービス変数、および eTelligent ルール機能が使用可能になります。
eTelligent ルール機能は、SiteMinder から別個にライセンスが提供されます。 この eTelligent ルール機能を使用する予定がある場合は、ライセンスの詳
細について、CA アカウント担当者に問い合わせてください。 注： これで、ポリシー ストア データ定義をインポートできます。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 第 9 章： OpenLDAP サーバ 161
ディレクトリ サーバをポリシー ストアとして設定する方法
2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 管理 UI 登録の準備
管理 UI に初めてログインする場合は、デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）を使用します。 初めてログインするときは、ポリシー サー
バに 管理 UI を登録する必要があります。これで、両方のコンポーネントの間に
信頼関係が作成されます。 XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパス
ワードを指定して、登録の準備をします。 ポリシー サーバは、これらの認証情報
を使用して、登録要求が有効であること、および信頼関係を確立できることを検
証します。 162 ディレクトリ設定ガイド
ディレクトリ サーバをポリシー ストアとして設定する方法
以下の点について考慮してください。 ■
認証情報を指定してから最初の 管理 UI ログインまでの時間は、24 時間に
制限されています。 24 時間以内に 管理 UI をインストールする予定がない
場合は、管理 UI をインストールする前に以下を実行します。 ■
（UNIX） XPSRegClient を使用する前に、SiteMinder 環境変数が設定されて
いることを確認してください。 環境変数が設定されていない場合は、手動で
設定します。 管理 UI 登録を準備する方法
1. ポリシー サーバ ホスト システムにログインします。 2. 以下のコマンドを実行します。 XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c
comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
passphrase デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）のパス
ワードを指定します。 注： パスフレーズを指定しないと、XPSRegClient により、パスフレーズの
入力とその確認を求めるプロンプトが表示されます。 ‐adminui–setup 管理 UI が初めてポリシー サーバに登録されていることを指定します。 ‐t timeout （任意）管理 UI をインストールしてから、ログインしてポリシー サーバと
の信頼関係を作成するまでの割り当て時間を指定します。 タイムアウト
値を超過すると、ポリシー サーバは登録リクエストを拒否します。 測定単位： 分 デフォルト： 240（4 時間） 最小制限： 1 最大制限： 1440（24 時間） 第 9 章： OpenLDAP サーバ 163
ディレクトリ サーバをポリシー ストアとして設定する方法
‐r retries （任意）管理 UI の登録時に許容される試行の失敗回数を指定します。 試行に失敗する原因としては、初めて 管理 UI にログインするときに間
違った SiteMinder 管理者クレデンシャルをサブミットしたことが考えられ
ます。 デフォルト： 1 最大制限： 5 ‐c comment （任意）指定されたコメントを情報目的で登録ログ ファイルに挿入しま
す。 注： コメントは引用符で囲んでください。 ‐cp （任意）登録ログ ファイルに複数行のコメントが含まれることを指定しま
す。 ユーティリティにより複数行のコメントが求められ、指定されたコメン
トが情報目的で登録ログ ファイルに挿入されます。 注： コメントは引用符で囲んでください。 ‐l log path （任意）登録ログ ファイルをエクスポートする場所を指定します。 デフォルト： siteminder_home¥log siteminder_home ポリシー サーバのインストール パスを指定します。 ‐e error_path （任意）例外を指定されたパスに送信します。 デフォルト： stderr ‐vT （任意）詳細レベルを TRACE に設定します。 164 ディレクトリ設定ガイド
ディレクトリ サーバをユーザ ストアとして設定する方法
‐vI （任意）詳細レベルを INFO に設定します。 ‐vW （任意）詳細レベルを WARNING に設定します。 ‐vE （任意）詳細レベルを ERROR に設定します。 ‐vF （任意）詳細レベルを FATAL に設定します。 3. Enter キーを押します。 XPSRegClient は、ポリシー サーバに管理者クレデンシャルを提供します。 ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認
するためにこれらのクレデンシャルを使用します。 ディレクトリ サーバをユーザ ストアとして設定する方法
OpenLDAP ディレクトリ サーバをユーザ ストアとして使用することができます。 以
下に、ディレクトリ サーバをユーザ ストアとして使用するための手順を示します。 1. ユーザ ストアを作成 2. ユーザ ストアに接続 ユーザ ストアの作成
OpenLDAP ディレクトリ サーバをユーザ ストアとして使用することができます。 ユーザ ストアを作成する方法
1. LDIF ファイルを使用して、ルート DN の下に ou=People を作成します。 2. 組織単位の下にユーザを作成します。 第 9 章： OpenLDAP サーバ 165
ディレクトリ サーバをユーザ ストアとして設定する方法
ポリシー サーバから OpenLDAP ユーザ ストアへの接続の設定
ポリシー サーバから OpenLDAP ユーザ ストアへの接続を設定するには、新規の
ユーザ ディレクトリ オブジェクトを作成します。 ポリシー サーバから OpenLDAP ユーザ ストアへの接続を設定する方法
1. ［インフラストラクチャ］‐［ディレクトリ］をクリックします。 2. ［ユーザ ディレクトリ］、［ユーザ ディレクトリの作成］をクリックします。 ［ユーザ ディレクトリの作成］ペインが表示されます。 注： このペインで、ユーザ ディレクトリのプロパティを指定できます。 フィー
ルド、設定、およびオプションの詳細については、［ヘルプ］をクリックしてく
ださい。 3. ［一般］グループ ボックスのフィールドに、新規のユーザ ディレクトリ オブ
ジェクトの名前と説明を入力します。 4. ［ネームスペース］リストから［LDAP］が選択されていることを確認し、［ディレ
クトリのセットアップ］グループ ボックスの［サーバ］フィールドに、IP アドレス
とポート番号を入力します。 注： ポリシー サーバが FIPS モードで動作し、ユーザ ディレクトリ接続が安全
な SSL 接続である場合、ポリシー サーバとディレクトリ ストアが使用する証明
書は FIPS 準拠である必要があります。 5. ［認証情報が必要］チェック ボックスをオンにし、［管理者認証情報］グルー
プ ボックスのフィールドに管理者の完全 DN とパスワードを入力します。 6. ［LDAP 検索］グループ ボックスのフィールドに、ルート ノードと検索パラメー
タを入力します。 7. ［LDAP ユーザ DN の検索］グループ ボックスのフィールドに、先頭テキスト
文字列と終端テキスト文字列を入力します。 注： 先頭テキスト文字列、ユーザ名、および終端テキスト文字列を組み合わ
せて、ユーザ ディレクトリ ツリーを検索する場合に使用する文字列を作成し
ます。 8. （任意）［ユーザ属性］グループ ボックスのフィールドに入力します。 a. ［ユニバーサル ID］フィールドにユニバーサル ID を入力します。 属性タイプ： 文字列 166 ディレクトリ設定ガイド
ディレクトリ サーバをユーザ ストアとして設定する方法
b. ［無効フラグ］フィールドに、無効なユーザを追跡するフラグを入力しま
す。 属性タイプ： 文字列 c. ［パスワード］フィールドに、ユーザ パスワードのロケーションを入力しま
す。 属性タイプ： バイナリ d. ［パスワード データ］フィールドに、ユーザ パスワード履歴のロケーショ
ンを入力します。 属性タイプ： バイナリ 注： この属性は、パスワード サービスに必要です。 e. ［匿名 ID］フィールドに、ユーザの匿名 ID を入力します。 属性タイプ： 文字列 f.
［電子メール］フィールドは空のままにしておきます。 注： 電子メール機能は、SiteMinder の現行バージョンには実装されて
いません。 g. ［チャレンジ/レスポンス］フィールドに、レスポンスを入力します。 属性タイプ： 文字列 注： この文字列は、各チャレンジ後にユーザに送信されます。 9. （任意）［属性マッピング リスト］グループ ボックスで［作成］をクリックします。 ［属性マッピングの作成］ペインが開きます。 注： ユーザ属性マッピングの詳細については、「ポリシー サーバ設定ガイ
ド」を参照してください。 10. ［サブミット］をクリックします。 ユーザ ディレクトリの作成タスクが処理のためにサブミットされます。 詳細情報： SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法 (P. 223) 第 9 章： OpenLDAP サーバ 167
ポリシー ストアに対する SSL の設定
ポリシー ストアに対する SSL の設定
ポリシー ストアは Secure Socket Layer（SSL）をサポートしています。 ポリシー サーバ管理コンソールから、SSL に対応するようにポリシー ストアを設定します。 この手順では、以下を前提としています。 ■
OpenLDAP 環境が SSL 対応に設定されています。 ■
証明機関（CA）のルート証明書（cacert.pem）が、SSL を使用してディレクトリ サーバと通信する各マシン上の Netscape cert7.db データベースにインス
トールされています。 ■
key3.db ファイルが作成されています。 注： SiteMinder では、ルート証明書が Netscape ファイル形式に準拠してい
る必要があります。 証明書のインストールに Microsoft IE を使用することは
できません。 ポリシー ストアに対して SSL を設定する方法
1. ポリシーサーバー管理コンソールを起動します。 2. ［データ］タブをクリックします。 ［データ］タブが開きます。 3. ［SSL を使用］を選択します。 4. Netscape 証明書データベース ファイルのフィールドに、cert7.db の絶対パ
スを入力します。 注： 以下の点を考慮してください。 –
既知の制限により、ファイル名をパスに含める必要があります。 完全な
絶対パスを提供すると、この問題を解決することができます。 レジストリ
の CertDbPath 変数で最後のサブストリング（cert7.db）を削除することに
より、パスを修正します。 –
key3.db ファイルも、cert7.db ファイルと同じディレクトリに必要です。 5. ［OK］をクリックします。 SSL がポリシー ストアに対して有効になります。 168 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
6.x ポリシー ストアをアップグレードする方法
r12.0 SP3 ポリシー ストアに、新規のディレクトリ サーバ インスタンスは必要ありま
せん。 既存のポリシー ストアを r12.0 SP3 にアップグレードできます。 ポリシー ストアをアップグレードするには、以下の手順を実行します。 1. ポリシー ストア スキーマを拡張します。 注：既存の r6.x ポリシー ストア スキーマは、変更されていません。 r12.0 SP3 の移行では、ポリシー ストア スキーマをアップグレードして、r12.0 SP3 に
よって必要とされるオブジェクトのポリシー ストアを拡張する必要がありま
す。 2. ベース ポリシー ストア オブジェクトをインポートします。 3. ポリシー ストア データ定義をインポートします。 注： サポート マトリックスにリストされているディレクトリ サーバまたはデータベー
スで、本書に記載されていないものをアップグレードする場合は、「SiteMinder アップグレード ガイド」を参照してください。 OpenLDAP ポリシー ストア スキーマの拡張
slapd 設定ファイル（slapd.conf）の include セクションにスキーマ ファイルを指定
することにより、r12.0 SP3 によって導入されたオブジェクトを含めるように既存の 6.x ポリシー ストア スキーマを拡張することができます。 これで、slapd プロセス
（LDAP ディレクトリ サーバ デーモン）は追加の設定情報を読み取ることができま
す。 含めるファイルは、適切な slapd 設定ファイル形式に従う必要があります。 既存の 6.x ポリシー ストア スキーマに加える変更はありません。 第 9 章： OpenLDAP サーバ 169
6.x ポリシー ストアをアップグレードする方法
既存の OpenLDAP ポリシー ストア スキーマを拡張する方法
1. ou=Netegrity,ou=SiteMinder,ou=PolicySvr4 に以下のルート ノードを追加し
ます。 ou=XPS 2. 以下のスキーマ ファイルを、path¥xps¥openldap から OpenLDAP インストー
ル ディレクトリ内のスキーマ フォルダにコピーします。 ■
openldap_attribute_XPS.schema ■
openldap_object_XPS.schema path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 3. slapd 構成ファイルの include セクションに、以下を入力します。 ....
.....
include /usr/local/etc/openldap/schema/openldap_attribute_XPS.schema
include /usr/local/etc/openldap/schema/openldap_object_XPS.schema
注： この手順は、OpenLDAP サーバが /usr/local/etc/openldap にあり、ス
キーマ ファイルが schema サブディレクトリにあることを前提としています。 r12.0 SP3 によって導入されたオブジェクトを含めるようにポリシー ストア ス
キーマが拡張されます。 ベース ポリシー ストア オブジェクトのインポート
デフォルトの SiteMinder オブジェクトをインポートすると、管理 UI で使用するポ
リシー ストアがアップグレードされます。 デフォルトの SiteMinder オブジェクトは、
ポリシー ストアにポリシー情報を格納するために必要です。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 170 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
ベース ポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥upgrade_smdif_file_name
-dsiteminder_super_user_name -wsiteminder_super_user_password
-v -f
policy_server_home ポリシー サーバのインストール パスを指定します。 upgrade_smdif_file_name インポート ファイルの名前を指定します。 ■
r60 から r12.0 SP3: sm_upgrade_60_to_R12sp3.smdif ■
r60 SP1 から r12.0 SP3: sm_upgrade_60sp1_to_R12sp3.smdif ■
r60 SP2 から r12.0 SP3: sm_upgrade_60sp2_to_R12sp3.smdif ■
r60 SP3 から r12.0 SP3: sm_upgrade_60sp3_to_R12sp3.smdif ■
r60 SP4 から r12.0 SP3: sm_upgrade_60sp4_to_R12sp3.smdif ■
r60 SP5 から r12.0 SP3: sm_upgrade_60sp5_to_R12sp3.smdif ■
r60 SP6 から r12.0 SP3: sm_upgrade_60sp6_to_r12sp3.smdif ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト出力： stdout 第 9 章： OpenLDAP サーバ 171
6.x ポリシー ストアをアップグレードする方法
‐f 重複するポリシー ストア オブジェクトを、r12.0 SP3 のもので上書きしま
す。 引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport ‐i$NETE_PS_ROOT/db/smdif/smpolicy.smdif ‐d"SM Admin" ‐wPassword ‐v ベース ポリシー ストア オブジェクトがインポートされます。 2. 以下のコマンドを実行します。 重要： ampolicy.smdif が以前にポリシー ストアにインポートされている場合
は再インポートしないでください。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐policy_server_home インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 172 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 注： ampolicy.smdif をインポートすると、SiteMinder から別々にライセンスさ
れるフェデレーション セキュリティ サービス、Web サービス変数、および eTelligent ルール機能が使用可能になります。 eTelligent ルール機能を使
用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問
い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 第 9 章： OpenLDAP サーバ 173
OpenLDAP のトラブルシューティング
3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 OpenLDAP のトラブルシューティング
OpenLDAP のトラブルシューティングについては、以下のトピックを参照してくだ
さい。 ■
Cyrus SASL のインストール ■
Berkeley データベース バージョン不一致エラー ■
openSSL のビルドおよびインストール Cyrus SASL のインストール
症状： Cyrus SASL をインストールするときに、コンパイル問題が発生しました。 解決方法： Cyrus SASL インストール問題のトラブルシューティングの詳細については、以下
を参照してください。 http://marc.theaimsgroup.com/?l=cyrus‐sasl&m=111835942621184&w=2 174 ディレクトリ設定ガイド
OpenLDAP のトラブルシューティング
Berkeley データベース バージョン不一致エラー
症状： Berkeley データベース バージョン不一致エラーが発生しました。 解決方法： Berkeley データベース バージョン不一致エラーの詳細については、以下を参
照してください。 http://www.openldap.org/faq/data/cache/1113.html openSSL のビルドおよびインストール
症状： openSSL をビルドおよびインストールする際に問題が発生しました。 解決方法： openSSL のビルドおよびインストールの詳細については、以下を参照してくださ
い。 http://www.proscrutiny.com/howtos/OpenLDAP.html#confssl‐co 第 9 章： OpenLDAP サーバ 175
第 10 章： Red Hat Directory Server
このセクションには、以下のトピックが含まれています。 ポリシー サーバから Red Hat ユーザ ストアへの接続の設定 (P. 177) Red Hat Directory Server をポリシー ストアとして設定する方法 (P. 179) Red Hat Directory Server への安全な接続を設定する方法 (P. 189) ポリシー サーバから Red Hat ユーザ ストアへの接続の設定
ポリシー サーバから Red Hat ユーザ ストアへの接続を設定するには、
SiteMinder 管理 UI でユーザ ディレクトリ オブジェクトを作成します。 ポリシー サーバから Red Hat ユーザ ストアへの接続を設定する方法
1. ［インフラストラクチャ］‐［ディレクトリ］をクリックします。 2. ［ユーザ ディレクトリ］、［ユーザ ディレクトリの作成］をクリックします。 ［ユーザ ディレクトリの作成］ペインが表示されます。 注： このペインで、ユーザ ディレクトリのプロパティを指定できます。 フィー
ルド、設定、およびオプションの詳細については、［ヘルプ］をクリックしてく
ださい。 3. ［一般］グループ ボックスのフィールドに、新規のユーザ ディレクトリ オブ
ジェクトの名前と説明を入力します。 4. ［ネームスペース］リストから［LDAP］が選択されていることを確認し、［ディレ
クトリのセットアップ］グループ ボックスの［サーバ］フィールドに、IP アドレス
とポート番号を入力します。 5. ［認証情報が必要］チェック ボックスをオンにし、［管理者認証情報］グルー
プ ボックスのフィールドに管理者の完全 DN とパスワードを入力します。 6. ［LDAP 検索］グループ ボックスのフィールドに、ルート ノードと検索パラメー
タを入力します。 7. ［LDAP ユーザ DN の検索］グループ ボックスのフィールドに、先頭テキスト
文字列と終端テキスト文字列を入力します。 注： 先頭テキスト文字列、ユーザ名、および終端テキスト文字列を組み合わ
せて、ユーザ ディレクトリ ツリーを検索する場合に使用する文字列を作成し
ます。 第 10 章： Red Hat Directory Server 177
ポリシー サーバから Red Hat ユーザ ストアへの接続の設定
8. （省略可）［ユーザ属性］グループ ボックスのフィールドに入力します。 a. ［ユニバーサル ID］フィールドにユニバーサル ID を入力します。 属性タイプ： 文字列 b. ［無効フラグ］フィールドに、無効なユーザを追跡するフラグを入力しま
す。 属性タイプ： 文字列 c. ［パスワード］フィールドに、ユーザ パスワードのロケーションを入力しま
す。 属性タイプ： バイナリ d. ［パスワード データ］フィールドに、ユーザ パスワード履歴のロケーショ
ンを入力します。 属性タイプ： バイナリ 注： この情報は、パスワード サービスに必要です。 e. ［匿名 ID］フィールドに、ユーザの匿名 ID を入力します。 属性タイプ： 文字列 f.
［電子メール］フィールドは空のままにしておきます。 注： 電子メール機能は、SiteMinder の現行バージョンには実装されて
いません。 g. ［チャレンジ/レスポンス］フィールドに、レスポンスを入力します。 属性タイプ： 文字列 注： この文字列は、各チャレンジ後にユーザに送信されます。 9. （省略可）［属性マッピング リスト］グループ ボックスで［作成］をクリックしま
す。 ［属性マッピングの作成］ペインが開きます。 注： ユーザ属性マッピングの詳細については、「ポリシー サーバ設定ガイ
ド」を参照してください。 10. ［サブミット］をクリックします。 ユーザ ディレクトリの作成タスクが処理のためにサブミットされます。 178 ディレクトリ設定ガイド
Red Hat Directory Server をポリシー ストアとして設定する方法
Red Hat Directory Server をポリシー ストアとして設定する方法
Red Hat Directory Server をポリシー ストアとして設定する方法は、7 段階のプロ
セスです。 1. ポリシー サーバがポリシー ストア（Red Hat Directory Server）を参照するよう
設定します。 2. Red Hat Directory Server に、ポリシー ストア スキーマを作成します。 3. SiteMinder スーパーユーザ パスワードを設定します。 4. デフォルトのポリシー ストア オブジェクトをインポートします。 5. ポリシー ストア データ定義をインポートします。 6. ポリシー サーバを再起動します。 7. 管理 UI の登録準備をします。 SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 第 10 章： Red Hat Directory Server 179
Red Hat Directory Server をポリシー ストアとして設定する方法
ポリシー サーバからポリシー ストアへの参照の設定
ポリシー サーバからポリシー ストアへの参照を設定し、ポリシー サーバがポリ
シー ストアにアクセスできるようにします。 ポリシー サーバからポリシー ストアへの参照を設定する方法
1. ポリシー サーバ管理コンソールを開きます。 重要： Windows Server 2008 上でこのグラフィカル ユーザ インターフェース
にアクセスする場合は、管理者としてシステムにログインしている場合でも、
管理者権限でショートカットを開きます。 詳細については、お使いの SiteMinder コンポーネントのリリース ノートを参照してください。 2. ［データ］タブをクリックします。 データベース設定が表示されます。 3. ［データベース］リストから［ポリシー ストア］を選択します。 4. ［ストレージ］リストから［LDAP］を選択します。 5. ［LDAP ポリシー ストア］グループ ボックスで、以下を設定します。 ■
LDAP IP アドレス ■
管理者ユーザ名 ■
パスワード ■
パスワードの確認 ■
DN 注： フィールド、コントロール、およびそれぞれの要件については、［ヘル
プ］をクリックしてください。 6. ［適用］をクリックします。 ポリシー ストアの設定が保存されます。 7. ［LDAP 接続のテスト］をクリックします。 SiteMinder は、ポリシー サーバがポリシー ストアにアクセスできることを示す
確認を返します。 180 ディレクトリ設定ガイド
Red Hat Directory Server をポリシー ストアとして設定する方法
Red Hat Directory Server でのポリシー ストア スキーマの作成
Red Hat Directory Server に、ポリシー ストア スキーマを作成することができま
す。 Red Hat Directory Server にポリシー ストア スキーマを作成する方法
1. コマンド ウィンドウで policy_server_home/bin に移動します。 policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 smldapsetup ldgen -fschema_file
schema_file 作成する LDIF ファイルの名前を指定します。 LDIF ファイルが、ポリシー ストア スキーマを使用して作成されます。 3. 以下のコマンドを実行します。 smldapsetup ldmod -fschema_file
schema_file 作成した LDIF ファイルの名前を指定します。 ポリシー ストア スキーマが、LDIF ファイルから Red Hat Directory Server にイ
ンポートされます。 4. 以下のコマンドを実行します。 smldapsetup ldmod
-fpath/xps/redhat/RedHat_7_1.ldif
path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 ポリシー ストア スキーマが、Red Hat Directory Server で XPS 向けに拡張さ
れます。 ポリシー ストア スキーマが、Red Hat Directory Server に作成されます。 第 10 章： Red Hat Directory Server 181
Red Hat Directory Server をポリシー ストアとして設定する方法
SiteMinder スーパーユーザ パスワードの設定
デフォルトの SiteMinder 管理者アカウントの名前は siteminder です。 このアカ
ウントは最大の権限を持っています。 その他の SiteMinder 管理者を作成できる
まで SiteMinder のユーザ インターフェースとユーティリティの管理に使用できる
ように、このアカウントのパスワードを設定します。 注： smreg ユーティリティは、ポリシー サーバ インストール キットの最上位レベ
ルにあります。 スーパーユーザのパスワードを設定する方法
1. smreg ユーティリティを policy_server_home¥bin にコピーします。 policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 smreg -su password
重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可
能ファイルを実行している場合は、管理者としてシステムにログインしている
場合でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細につい
ては、お使いの SiteMinder コンポーネントのリリース ノートを参照してくださ
い。 password デフォルトの SiteMinder 管理者のパスワードを指定します。 制限： –
パスワードは 6 文字以上、24 文字以下である必要があります。 –
パスワードには、アンパサンド（&）またはアスタリスク（*）を含むことはで
きません。 –
パスワードにスペースが含まれている場合は、引用符でパスフレーズを
囲みます。 注： パスワードは、Oracle ポリシー ストアに保管する場合を除き、大文字小
文字が区別されません。 3. policy_server_home¥bin から smreg ユーティリティを削除します。 smreg を
削除すると、既存のパスワードを把握していない限り、パスワードを変更する
ことはできなくなります。 デフォルトの SiteMinder 管理者アカウントのパスワードが設定されます。 182 ディレクトリ設定ガイド
Red Hat Directory Server をポリシー ストアとして設定する方法
注： 日常的な作業にはデフォルトのスーパーユーザを使用しないことをお勧め
します。 デフォルトのスーパーユーザは、以下の場合に使用してください。 ■
デフォルトのポリシー ストア オブジェクトをインポートする場合。 ■
FSS 管理 UI および 管理 UI に初めてアクセスする場合。 スーパーユーザ権
限を持つ別の管理者を作成することをお勧めします。 詳細情報： インストール メディアの検索 (P. 236) デフォルトのポリシー ストア オブジェクトのインポート
デフォルトのポリシー ストア オブジェクトをインポートすると、管理 UI で使用する
ポリシー ストアがセットアップされます。 ポリシー ストアにポリシー情報を格納す
るには、デフォルトのポリシー ストア オブジェクトが必要です。 注： FIPS 専用モードでポリシー サーバをインストールした場合は、デフォルトの
ポリシー ストア オブジェクトをインポートするときに必ず ‐cf 引数を使用してくだ
さい。 デフォルトのポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥smpolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -v
引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport -i$NETE_PS_ROOT/db/smdif/smpolicy.smdif -d"SM Admin" -wPassword -v
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder 第 10 章： Red Hat Directory Server 183
Red Hat Directory Server をポリシー ストアとして設定する方法
‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐cf （任意）FIPS 対応の暗号化を使用して機密データをインポートします。 注： この引数は、ポリシー サーバが FIPS 専用モードで動作している場
合にのみ必要です。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 オブジェクトは、適切な場所に自動的にインポートされます。 2. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
policy_server_home ポリシー サーバのインストール パスを指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 デフォルト： siteminder ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout 184 ディレクトリ設定ガイド
Red Hat Directory Server をポリシー ストアとして設定する方法
‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 こ
れらのオブジェクトは、適切な場所に自動的にインポートされます。 注： ampolicy.smdif をインポートすると、Federation セキュリティ サービス、
Web サービス変数、および eTelligent ルール機能が使用可能になります。
eTelligent ルール機能は、SiteMinder から別個にライセンスが提供されます。 この eTelligent ルール機能を使用する予定がある場合は、ライセンスの詳
細について、CA アカウント担当者に問い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 第 10 章： Red Hat Directory Server 185
Red Hat Directory Server をポリシー ストアとして設定する方法
2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 ポリシー サーバの再起動
ポリシー ストアやその他のデータ ストアの設定を有効にするために、ポリシー サーバを再起動します。 注： UNIＸ システムでは、stop‐all コマンドの後に start‐all コマンドを使用すること
で、ポリシー サーバを再起動できます。 ポリシー サーバを再起動するには、以下の手順に従います。
1. ポリシー サーバ管理コンソールを開きます。 2. ［ステータス］タブをクリックし、［ポリシー サーバ］グループ ボックスで［停止］
をクリックします。 赤色の信号アイコンが表示されて、ポリシー サーバが停止します。 3. ［開始］をクリックします。 緑色の信号アイコンが表示されて、ポリシー サーバが起動します。 186 ディレクトリ設定ガイド
Red Hat Directory Server をポリシー ストアとして設定する方法
管理 UI 登録の準備
管理 UI に初めてログインする場合は、デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）を使用します。 初めてログインするときは、ポリシー サー
バに 管理 UI を登録する必要があります。これで、両方のコンポーネントの間に
信頼関係が作成されます。 XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパス
ワードを指定して、登録の準備をします。 ポリシー サーバは、これらの認証情報
を使用して、登録要求が有効であること、および信頼関係を確立できることを検
証します。 以下の点について考慮してください。 ■
認証情報を指定してから最初の 管理 UI ログインまでの時間は、24 時間に
制限されています。 24 時間以内に 管理 UI をインストールする予定がない
場合は、管理 UI をインストールする前に以下を実行します。 ■
（UNIX） XPSRegClient を使用する前に、SiteMinder 環境変数が設定されて
いることを確認してください。 環境変数が設定されていない場合は、手動で
設定します。 管理 UI 登録を準備する方法
1. ポリシー サーバ ホスト システムにログインします。 2. 以下のコマンドを実行します。 XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c
comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
passphrase デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）のパス
ワードを指定します。 注： パスフレーズを指定しないと、XPSRegClient により、パスフレーズの
入力とその確認を求めるプロンプトが表示されます。 ‐adminui–setup 管理 UI が初めてポリシー サーバに登録されていることを指定します。 第 10 章： Red Hat Directory Server 187
Red Hat Directory Server をポリシー ストアとして設定する方法
‐t timeout （任意）管理 UI をインストールしてから、ログインしてポリシー サーバと
の信頼関係を作成するまでの割り当て時間を指定します。 タイムアウト
値を超過すると、ポリシー サーバは登録リクエストを拒否します。 測定単位： 分 デフォルト： 240（4 時間） 最小制限： 1 最大制限： 1440（24 時間） ‐r retries （任意）管理 UI の登録時に許容される試行の失敗回数を指定します。 試行に失敗する原因としては、初めて 管理 UI にログインするときに間
違った SiteMinder 管理者クレデンシャルをサブミットしたことが考えられ
ます。 デフォルト： 1 最大制限： 5 ‐c comment （任意）指定されたコメントを情報目的で登録ログ ファイルに挿入しま
す。 注： コメントは引用符で囲んでください。 ‐cp （任意）登録ログ ファイルに複数行のコメントが含まれることを指定しま
す。 ユーティリティにより複数行のコメントが求められ、指定されたコメン
トが情報目的で登録ログ ファイルに挿入されます。 注： コメントは引用符で囲んでください。 ‐l log path （任意）登録ログ ファイルをエクスポートする場所を指定します。 デフォルト： siteminder_home¥log siteminder_home ポリシー サーバのインストール パスを指定します。 ‐e error_path （任意）例外を指定されたパスに送信します。 デフォルト： stderr 188 ディレクトリ設定ガイド
Red Hat Directory Server への安全な接続を設定する方法
‐vT （任意）詳細レベルを TRACE に設定します。 ‐vI （任意）詳細レベルを INFO に設定します。 ‐vW （任意）詳細レベルを WARNING に設定します。 ‐vE （任意）詳細レベルを ERROR に設定します。 ‐vF （任意）詳細レベルを FATAL に設定します。 3. Enter キーを押します。 XPSRegClient は、ポリシー サーバに管理者クレデンシャルを提供します。 ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認
するためにこれらのクレデンシャルを使用します。 Red Hat Directory Server への安全な接続を設定する方法
ポリシー サーバから Red Hat ユーザ ストアまたはポリシー ストアへの安全な接
続を設定することができます。 第 10 章： Red Hat Directory Server 189
Red Hat Directory Server への安全な接続を設定する方法
ポリシー サーバから Red Hat ユーザ ストアへの安全な接続の設定
ポリシー サーバから Red Hat ユーザ ストアへの安全な接続を設定することがで
きます。 注： ポリシー サーバが FIPS モードで動作し、ディレクトリ接続が安全な SSL 接続
である場合、ポリシー サーバとディレクトリ サーバが使用する証明書は FIPS 準
拠である必要があります。 ポリシー サーバから Red Hat ユーザ ストアへの安全な接続を設定する方法
1. SSL を使用して Red Hat ユーザ ストアと通信する各コンピュータ上の Netscape cert7.db データベースに、証明機関のルート証明書をインストー
ルします。 注： ポリシー サーバでは、ルート証明書を Netscape cert7.db 形式にする必
要があります。 証明書のインストールに Microsoft Internet Explorer を使用
しないでください。 2. SiteMinder 管理 UI で、［インフラストラクチャ］‐［ディレクトリ］をクリックしま
す。 3. ［ユーザ ディレクトリ］‐［ユーザ ディレクトリの変更］をクリックします。 ［ユーザ ディレクトリの変更］ペインが開きます。 4. 検索条件を指定して［検索］をクリックします。 検索条件と一致するユーザ ディレクトリのリストが開きます。 注： すべてのユーザ ディレクトリを表示するには、検索フィールドを空のまま
にして、［検索］をクリックします。 5. リストから Red Hat ユーザ ディレクトリを選択し、［OK］をクリックします。 ［ユーザ ディレクトリの変更： 名前］ペインが開きます。 6. ［ディレクトリのセットアップ］グループ ボックスの［安全な接続］チェック ボッ
クスをオンにして、［サブミット］をクリックします。 ポリシー サーバから Red Hat ユーザ ストアの間に、安全な接続が設定されま
す。 190 ディレクトリ設定ガイド
Red Hat Directory Server への安全な接続を設定する方法
ポリシー サーバから Red Hat ポリシー ストアへの安全な接続の設定
ポリシー サーバから Red Hat ポリシー ストアへの安全な接続を設定することが
できます。 注： ポリシー サーバが FIPS モードで動作し、ディレクトリ接続が安全な SSL 接続
である場合、ポリシー サーバとディレクトリ サーバが使用する証明書は FIPS 準
拠である必要があります。 ポリシー サーバから Red Hat ポリシー ストアへの安全な接続を設定する方法
1. SSL を使用して Red Hat ポリシー ストアと通信する各コンピュータ上の Netscape cert7.db データベースに、証明機関のルート証明書をインストー
ルします。 注： ポリシー サーバでは、ルート証明書を Netscape cert7.db 形式にする必
要があります。 証明書のインストールに Microsoft Internet Explorer を使用
しないでください。 2. ポリシー サーバがインストールされているサーバで、ポリシー サーバ管理コ
ンソールを開き、［データ］タブを選択します。 3. ［データ］タブで、以下の手順を実行します。 a. ［SSL を使用］チェック ボックスをオンにします。 b. Netscape 証明書データベース ファイルのフィールドに、cert7.db ファイ
ルのパスを入力します。 4. ［適用］をクリックします。 ポリシー サーバから Red Hat ポリシー ストアの間に、安全な接続が設定されま
す。 第 10 章： Red Hat Directory Server 191
第 11 章： Siemens DirX 6.0 D00 Directory
Server
このセクションには、以下のトピックが含まれています。 SiteMinder スキーマ ファイルのダウンロード (P. 193) ポリシー ストアとしての DirX 6.0 D00 Directory Server の設定 (P. 194) ポリシー ストア データ定義のインポート (P. 198) 管理 UI 登録の準備 (P. 199) ユーザ ディレクトリの設定例 ‐ Siemens DirX 6.0 (P. 201) 6.x ポリシー ストアをアップグレードする方法 (P. 202) SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 第 11 章： Siemens DirX 6.0 D00 Directory Server 193
ポリシー ストアとしての DirX 6.0 D00 Directory Server の設定
ポリシー ストアとしての DirX 6.0 D00 Directory Server の設定
Siemens DirX 6.0 D00 Directory Server を SiteMinder r12.0 SP3 ポリシー ストアと
して設定することができます。 Siemens DirX 6.0 D00 Directory Server をポリシー ストアとして設定する方法
1. DirX 6.0 D00 をインストールします。インストールする際は、デフォルトをすべ
て受け入れます。 注： 既存のデータベースがない場合は、サンプル データベースをインス
トールしてください。 2. 以下のファイルを、path¥dirx から DirX_install_path¥scripts¥security¥Netegrity¥SiteMinder にコピーします。 ■
dirxabbr‐ext.SiteMinderR12sp3 ■
schema_ext_for_SiteMinderR12sp3.adm ■
subschema_ext_for_SiteMinderR12sp3.cp ■
bind.tcl ■
l‐bind.cp ■
_setup.bat ■
setup.bat ■
GlobalVar.tcl 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可
能ファイルを実行している場合は、管理者としてシステムにログインしている
場合でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細につい
ては、お使いの SiteMinder コンポーネントのリリース ノートを参照してくださ
い。 path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 DirX_install_path DirX のインストール パスを指定します。 例： C:¥program files¥siemens¥dirx 194 ディレクトリ設定ガイド
ポリシー ストアとしての DirX 6.0 D00 Directory Server の設定
3. 以下のファイルを、path¥xps¥dirx から DirX_install_path¥scripts¥security¥Netegrity¥SiteMinder にコピーします。 ■
dirxabbr‐ext.XPS ■
schema_ext_for_XPS.adm ■
subschema_ext_for_XPS.cp 4. 以下のファイルの名前を変更します。 ■
schema_ext_for_SiteMinderR12sp3.adm から schema_ext_for_SiteMinder.adm に変更します。 ■
subschema_ext_for_SiteMinderR12sp3.cp から subschema_ext_for_SiteMinder.cp に変更します。 5. 以下のファイルを、DirX_install_path¥client¥conf にコピーします。 ■
dirxabbr‐ext.SiteMinderR12sp3 ■
dirxabbr‐ext.XPS 6. dirxabbr‐ext.SiteMinderR12sp3 の名前を dirxabbr‐ext.SiteMinder に変更し
ます。 7. DirX サービスを停止し、再起動します。 8. GlobalVar.tcl を編集して、DirX スクリプトが参照するグローバル変数を更新
します。 デフォルト値： ■
LDAP ポート： 389 ■
ルート DN： o=pqr ■
管理者ユーザ名： cn=admin、o=pqr ■
管理者パスワード： dirx 9. setup.bat を実行し、生成されたログ ファイル（setup.log）でエラーを確認し
ます。 10. DirXmanage ツールを使用して、DSA に再バインドします。 注： エラーに注意してください。 第 11 章： Siemens DirX 6.0 D00 Directory Server 195
ポリシー ストアとしての DirX 6.0 D00 Directory Server の設定
11. DirXmanage ツールを使用して、ベース ツリー構造を作成します。 a. o=PQR の下に、ou=Netegrity を作成します。 b. ou=Netegrity の下に、 ou=SiteMinder を作成します。 c. ou=SiteMinder の下に、ou=PolicySvr4 を作成します。 d. ou=PolicySvr4 の下に ou=XPS を作成します。 r12.0 SP3 に対するポリシー ストア スキーマが作成されます。 12. ポリシー サーバ管理コンソールの［データ］タブを使用して、ポリシー サー
バが DirX Directory Server を参照するようにします。 サンプル値： ■
LDAP IP アドレス： 123.456.7.8 ■
ルート DN： o=pqr ■
管理者ユーザ名： cn=admin、o=pqr ■
管理者パスワード： ******** 13. 以下のコマンドを実行します。 smreg -su password
SiteMinder スーパーユーザ パスワードが設定されます。 14. policy_server_hom/bin に移動します。 policy_server_home ポリシー サーバのインストール パスを指定します。 15. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥smpolicy.smdif -v
-dsiteminder_super_user_name -wsiteminder_super_user_password
‐i インポート ファイルのパスと名前を指定します。 ‐v トレースをオンにして、エラー メッセージ、警告メッセージ、およびコメン
ト メッセージを出力します。 注： ログ ファイルに出力して、エラーを確認することができます。 ベース ポリシー ストア データを、ファイル smpolicy.smdif からインポートしま
す。 196 ディレクトリ設定ガイド
ポリシー ストアとしての DirX 6.0 D00 Directory Server の設定
16. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐i インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 ‐f 重複するオブジェクトをオーバーライドします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 smobjimport によって、ポリシー ストア オブジェクトがインポートされます。 こ
れらのオブジェクトは、適切な場所に自動的にインポートされます。 注： ampolicy.smdif をインポートすると、Federation セキュリティ サービス、
Web サービス変数、および eTelligent ルール機能が使用可能になります。
eTelligent ルール機能は、SiteMinder から別個にライセンスが提供されます。 この eTelligent ルール機能を使用する予定がある場合は、ライセンスの詳
細について、CA アカウント担当者に問い合わせてください。 DirX Directory Server がポリシー ストアとして設定されます。 注： これで、ポリシー ストア データ定義をインポートできます。 第 11 章： Siemens DirX 6.0 D00 Directory Server 197
ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 198 ディレクトリ設定ガイド
管理 UI 登録の準備
管理 UI 登録の準備
管理 UI に初めてログインする場合は、デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）を使用します。 初めてログインするときは、ポリシー サー
バに 管理 UI を登録する必要があります。これで、両方のコンポーネントの間に
信頼関係が作成されます。 XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパス
ワードを指定して、登録の準備をします。 ポリシー サーバは、これらの認証情報
を使用して、登録要求が有効であること、および信頼関係を確立できることを検
証します。 以下の点について考慮してください。 ■
認証情報を指定してから最初の 管理 UI ログインまでの時間は、24 時間に
制限されています。 24 時間以内に 管理 UI をインストールする予定がない
場合は、管理 UI をインストールする前に以下を実行します。 ■
（UNIX） XPSRegClient を使用する前に、SiteMinder 環境変数が設定されて
いることを確認してください。 環境変数が設定されていない場合は、手動で
設定します。 管理 UI 登録を準備する方法
1. ポリシー サーバ ホスト システムにログインします。 2. 以下のコマンドを実行します。 XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c
comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
passphrase デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）のパス
ワードを指定します。 注： パスフレーズを指定しないと、XPSRegClient により、パスフレーズの
入力とその確認を求めるプロンプトが表示されます。 ‐adminui–setup 管理 UI が初めてポリシー サーバに登録されていることを指定します。 第 11 章： Siemens DirX 6.0 D00 Directory Server 199
管理 UI 登録の準備
‐t timeout （任意）管理 UI をインストールしてから、ログインしてポリシー サーバと
の信頼関係を作成するまでの割り当て時間を指定します。 タイムアウト
値を超過すると、ポリシー サーバは登録リクエストを拒否します。 測定単位： 分 デフォルト： 240（4 時間） 最小制限： 1 最大制限： 1440（24 時間） ‐r retries （任意）管理 UI の登録時に許容される試行の失敗回数を指定します。 試行に失敗する原因としては、初めて 管理 UI にログインするときに間
違った SiteMinder 管理者クレデンシャルをサブミットしたことが考えられ
ます。 デフォルト： 1 最大制限： 5 ‐c comment （任意）指定されたコメントを情報目的で登録ログ ファイルに挿入しま
す。 注： コメントは引用符で囲んでください。 ‐cp （任意）登録ログ ファイルに複数行のコメントが含まれることを指定しま
す。 ユーティリティにより複数行のコメントが求められ、指定されたコメン
トが情報目的で登録ログ ファイルに挿入されます。 注： コメントは引用符で囲んでください。 ‐l log path （任意）登録ログ ファイルをエクスポートする場所を指定します。 デフォルト： siteminder_home¥log siteminder_home ポリシー サーバのインストール パスを指定します。 ‐e error_path （任意）例外を指定されたパスに送信します。 デフォルト： stderr 200 ディレクトリ設定ガイド
ユーザ ディレクトリの設定例 - Siemens DirX 6.0
‐vT （任意）詳細レベルを TRACE に設定します。 ‐vI （任意）詳細レベルを INFO に設定します。 ‐vW （任意）詳細レベルを WARNING に設定します。 ‐vE （任意）詳細レベルを ERROR に設定します。 ‐vF （任意）詳細レベルを FATAL に設定します。 3. Enter キーを押します。 XPSRegClient は、ポリシー サーバに管理者クレデンシャルを提供します。 ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認
するためにこれらのクレデンシャルを使用します。 ユーザ ディレクトリの設定例 - Siemens DirX 6.0
以下に、ユーザ ディレクトリの設定例を示します。 ディレクトリのセットアップ ■
ネームスペース： LDAP ■
サーバ： 123.456.7.8 ■
ルート： o=pqr ■
DN 検索の先頭文字列： (cn=) ■
DN 検索の終端文字列： ) 認証情報と接続 ■
管理者ユーザ名： cn=admin、o=pqr ■
管理者パスワード： dirx 第 11 章： Siemens DirX 6.0 D00 Directory Server 201
6.x ポリシー ストアをアップグレードする方法
ユーザ属性 ■
ユニバーサル ID (R)： cn ■
無効フラグ (RW)： description ■
パスワードの属性 (RW)： userpassword ■
パスワード データ (RW)： audio ■
チャレンジ/レスポンス (RW)： jpegPhoto 注： 前述のユーザ属性は、DirX でユーザ オブジェクトに追加せずに使用するこ
とができます。 注： DMS のユーザ属性名に大文字小文字の区別があるかどうかは、属性単位
で異なります。 6.x ポリシー ストアをアップグレードする方法
r12.0 SP3 ポリシー ストアに、新規のディレクトリ サーバ インスタンスは必要ありま
せん。 既存のポリシー ストアを r12.0 SP3 にアップグレードできます。 ポリシー ストアをアップグレードするには、以下の手順を実行します。 1. ポリシー ストア スキーマを拡張します。 注：既存の r6.x ポリシー ストア スキーマは、変更されていません。 r12.0 SP3 の移行では、ポリシー ストア スキーマをアップグレードして、r12.0 SP3 に
よって必要とされるオブジェクトのポリシー ストアを拡張する必要がありま
す。 2. ベース ポリシー ストア オブジェクトをインポートします。 3. ポリシー ストア データ定義をインポートします。 注： サポート マトリックスにリストされているディレクトリ サーバまたはデータベー
スで、本書に記載されていないものをアップグレードする場合は、「SiteMinder アップグレード ガイド」を参照してください。 202 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
Siemens DirX ポリシー ストア スキーマの拡張
r12.0 SP3 によって導入されたオブジェクトを含めるように既存の 6.x ポリシー ス
トア スキーマを拡張することができます。 既存の 6.x ポリシー ストア スキーマに
加える変更はありません。 既存の Siemens DirX ポリシー ストア スキーマを拡張する方法
1. DirXmanage ツールを使用して、ベース ツリー構造を更新します。 u=PolicySvr4 の下に ou=XPS を作成します。 2. 以下のファイルを、path¥xps¥dirx から DirX_install_path¥scripts¥security¥Netegrity¥SiteMinder にコピーします。 ■
_setup.bat ■
bind.tcl ■
dirxabbr‐ext.XPS ■
GlobalVar.tcl ■
l‐bind.cp ■
schema_ext_for_XPS.adm ■
setup.bat ■
subschema_ext_for_XPS.cp path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 DirX_install_path DirX のインストール パスを指定します。 例： C:¥program files¥siemens¥dirx 3. dirxabbr‐ext.XPS を DirX_install_path¥client¥conf にコピーします。 4. DirX サービスを停止し、再起動します。 5. GlobalVar.tcl を編集して、DirX スクリプトが参照するグローバル変数を更新
します。 デフォルト値： ■
LDAP ポート： 389 ■
ルート DN： o=pqr 第 11 章： Siemens DirX 6.0 D00 Directory Server 203
6.x ポリシー ストアをアップグレードする方法
■
管理者ユーザ名： cn=admin、o=pqr ■
管理者パスワード： dirx 6. setup.bat を実行し、生成されたログ ファイル（setup.log）でエラーを確認し
ます。 7. DirXmanage ツールを使用して、DSA に再バインドします。 注： エラーに注意してください。 r12.0 SP3 によって導入されたオブジェクトを含めるようにポリシー ストア スキー
マが拡張されます。 ベース ポリシー ストア オブジェクトのインポート
デフォルトの SiteMinder オブジェクトをインポートすると、管理 UI で使用するポ
リシー ストアがアップグレードされます。 デフォルトの SiteMinder オブジェクトは、
ポリシー ストアにポリシー情報を格納するために必要です。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥upgrade_smdif_file_name
-dsiteminder_super_user_name -wsiteminder_super_user_password
-v -f
policy_server_home ポリシー サーバのインストール パスを指定します。 upgrade_smdif_file_name インポート ファイルの名前を指定します。 ■
r60 から r12.0 SP3: sm_upgrade_60_to_R12sp3.smdif ■
r60 SP1 から r12.0 SP3: sm_upgrade_60sp1_to_R12sp3.smdif ■
r60 SP2 から r12.0 SP3: sm_upgrade_60sp2_to_R12sp3.smdif 204 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
■
r60 SP3 から r12.0 SP3: sm_upgrade_60sp3_to_R12sp3.smdif ■
r60 SP4 から r12.0 SP3: sm_upgrade_60sp4_to_R12sp3.smdif ■
r60 SP5 から r12.0 SP3: sm_upgrade_60sp5_to_R12sp3.smdif ■
r60 SP6 から r12.0 SP3: sm_upgrade_60sp6_to_r12sp3.smdif ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト出力： stdout ‐f 重複するポリシー ストア オブジェクトを、r12.0 SP3 のもので上書きしま
す。 引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport ‐i$NETE_PS_ROOT/db/smdif/smpolicy.smdif ‐d"SM Admin" ‐wPassword ‐v ベース ポリシー ストア オブジェクトがインポートされます。 2. 以下のコマンドを実行します。 重要： ampolicy.smdif が以前にポリシー ストアにインポートされている場合
は再インポートしないでください。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐policy_server_home インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 第 11 章： Siemens DirX 6.0 D00 Directory Server 205
6.x ポリシー ストアをアップグレードする方法
‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 注： ampolicy.smdif をインポートすると、SiteMinder から別々にライセンスさ
れるフェデレーション セキュリティ サービス、Web サービス変数、および eTelligent ルール機能が使用可能になります。 eTelligent ルール機能を使
用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問
い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 206 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 第 11 章： Siemens DirX 6.0 D00 Directory Server 207
第 12 章： Siemens DirX EE 2.0 Directory
Server
このセクションには、以下のトピックが含まれています。 Siemens DirX EE 2.0 ポリシー ストアを設定する方法 (P. 209) 6.x ポリシー ストアをアップグレードする方法 (P. 217) Siemens DirX EE 2.0 ポリシー ストアを設定する方法
Siemens DirX EE 2.0 Directory Server を r12.0 SP3 ポリシー ストアとして設定する
には、以下の手順を実行します。 1. SiteMinder スキーマ ファイルをダウンロードします。 2. ポリシー ストアとして DirX EE 2.0 Directory Server を設定します。 3. ポリシー ストア データ定義をインポートします。 4. 管理 UI の登録を準備します。 SiteMinder スキーマ ファイルのダウンロード
SiteMinder スキーマを設定するのに必要な 1 つ以上のスキーマ ファイルが、ポ
リシー サーバ インストールに含まれていません。 これらのファイルは CA SiteMinder Tier 2 ディレクトリ製品コンポーネント ダウンロードにあります。 Tier 2 ディレクトリ製品コンポーネントをダウンロードする方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下の［Download Center］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに「SiteMinder」と入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 第 12 章： Siemens DirX EE 2.0 Directory Server 209
Siemens DirX EE 2.0 ポリシー ストアを設定する方法
6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 Tier 2 ディレクトリ コンポーネン
ト ダウンロードはリストの下のほうにあります。 7. zip ファイルをローカルに保存し、ポリシー サーバ ホスト システムにファイル
を抽出します。 r12.0 SP3 ポリシー ストアとしての DirX EE 2.0 Directory Server の設定
Siemens DirX EE 2.0 Directory Server を r12.0 SP3 ポリシー ストアとして設定する方
法
1. DirX EE 2.0 をインストールします。 2. DirX EE Manager を開き、ポリシー ストア データを保持する以下のベース ツ
リー構造を作成します。 a. o=MyCompany の下に、ou=netegrity を作成します。 b. ou=netegrity の下に、ou=Siteminder を作成します。 c. ou=Siteminder の下に、ou=PolicySvr4 を作成します。 d. u=PolicySvr4 の下に ou=XPS を作成します。 3. 以下のファイルを、path¥dirxee20 から DirX_EE_install_path¥scripts¥stand_alone¥extensions にコピーします。 ■
DirXEE20_SMR12sp3_Schema.ldif ■
add_PS_Indexes.adm path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 DirX_EE_install_path DirX EE のインストール パスを指定します。 4. 以下のファイルを、path¥xps¥dirxee20 から DirX_EE_install_path¥scripts¥stand_alone¥extensions にコピーします。 ■
XPS_SchemaExt.ldif ■
add_XPS_Indexes.adm 5. コマンド プロンプトから、以下のディレクトリに変更します。 DirX_EE_install_path¥scripts¥stand_alone¥extensions 210 ディレクトリ設定ガイド
Siemens DirX EE 2.0 ポリシー ストアを設定する方法
6. 以下のコマンドを実行します。 dirxmodify ‐f DirXEE20_SMR12sp3_Schema.ldif ‐D cn=admin,o=MyCompany ‐w dirx ‐f LDIF ファイルの名前を指定します。 ‐D バインド DN を指定します。 例： cn=admin,o=MyCompany ‐w パスワードを指定します。 例： dirx ‐h （任意）ホストを指定します。 デフォルト： localhost ‐p （任意）ポート番号を指定します。 デフォルト： 389 7. 以下のコマンドを実行します。 dirxadm add_PS_Indexes.adm 8. 以下のコマンドを実行します。 dirxmodify ‐f XPS_SchemaExt.ldif ‐D cn=admin,o=MyCompany ‐w dirx 9. 以下のコマンドを実行します。 dirxadm add_XPS_Indexes.adm XPS スキーマが作成されます。 10. ポリシー サーバ管理コンソールを開き、［データ］タブをクリックして、タブの
フィールドに以下の情報を指定します。 ■
LDAP IP アドレス ポリシー ストアの IP アドレスを指定します。 ■
ルート DN 例： o=MyCompany 第 12 章： Siemens DirX EE 2.0 Directory Server 211
Siemens DirX EE 2.0 ポリシー ストアを設定する方法
■
管理者ユーザ名 例： cn=admin,o=MyCompany ■
パスワード 例： dirx ポリシー サーバは DirX EE ポリシー ストアを参照します。 11. 以下のコマンドを実行します。 smreg –su password SiteMinder 管理者パスワードが設定されます。 12. 以下のコマンドを実行します。 smobjimport –ipolicy_server_home¥db¥smdif¥smpolicy.smdif –v ‐dsiteminder_super_user_name ‐wsiteminder_super_user_password policy_server_home ポリシー サーバのインストール パスを指定します。 ‐i インポート ファイルのパスと名前を指定します。 ‐v トレースをオンにして、エラー メッセージ、警告メッセージ、およびコメン
ト メッセージを出力します。 注： ログ ファイルに出力して、エラーを確認することができます。 ベース ポリシー ストア データが、ファイル smpolicy.smdif から DirX EE ポリ
シー ストアにインポートされます。 13. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐i インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder スーパーユーザ アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder スーパーユーザ アカウントのパスワードを指定します。 212 ディレクトリ設定ガイド
Siemens DirX EE 2.0 ポリシー ストアを設定する方法
‐f 重複するオブジェクトをオーバーライドします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 注： ampolicy.smdif をインポートすると、Federation セキュリティ サービス、
Web サービス変数、および eTelligent ルール機能が使用可能になります。
eTelligent ルール機能は、SiteMinder から別個にライセンスが提供されます。 eTelligent ルール機能を使用する予定の場合は、CA 担当者までお問い合
わせください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 第 12 章： Siemens DirX EE 2.0 Directory Server 213
Siemens DirX EE 2.0 ポリシー ストアを設定する方法
2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 管理 UI 登録の準備
管理 UI に初めてログインする場合は、デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）を使用します。 初めてログインするときは、ポリシー サー
バに 管理 UI を登録する必要があります。これで、両方のコンポーネントの間に
信頼関係が作成されます。 XPSRegClient ユーティリティを使用してスーパーユーザ アカウントの名前とパス
ワードを指定して、登録の準備をします。 ポリシー サーバは、これらの認証情報
を使用して、登録要求が有効であること、および信頼関係を確立できることを検
証します。 214 ディレクトリ設定ガイド
Siemens DirX EE 2.0 ポリシー ストアを設定する方法
以下の点について考慮してください。 ■
認証情報を指定してから最初の 管理 UI ログインまでの時間は、24 時間に
制限されています。 24 時間以内に 管理 UI をインストールする予定がない
場合は、管理 UI をインストールする前に以下を実行します。 ■
（UNIX） XPSRegClient を使用する前に、SiteMinder 環境変数が設定されて
いることを確認してください。 環境変数が設定されていない場合は、手動で
設定します。 管理 UI 登録を準備する方法
1. ポリシー サーバ ホスト システムにログインします。 2. 以下のコマンドを実行します。 XPSRegClient siteminder[:passphrase] -adminui-setup -t timeout -r retries -c
comment -cp -l log_path -e error_path -vT -vI -vW -vE -vF
passphrase デフォルトの SiteMinder スーパーユーザ アカウント（siteminder）のパス
ワードを指定します。 注： パスフレーズを指定しないと、XPSRegClient により、パスフレーズの
入力とその確認を求めるプロンプトが表示されます。 ‐adminui–setup 管理 UI が初めてポリシー サーバに登録されていることを指定します。 ‐t timeout （任意）管理 UI をインストールしてから、ログインしてポリシー サーバと
の信頼関係を作成するまでの割り当て時間を指定します。 タイムアウト
値を超過すると、ポリシー サーバは登録リクエストを拒否します。 測定単位： 分 デフォルト： 240（4 時間） 最小制限： 1 最大制限： 1440（24 時間） 第 12 章： Siemens DirX EE 2.0 Directory Server 215
Siemens DirX EE 2.0 ポリシー ストアを設定する方法
‐r retries （任意）管理 UI の登録時に許容される試行の失敗回数を指定します。 試行に失敗する原因としては、初めて 管理 UI にログインするときに間
違った SiteMinder 管理者クレデンシャルをサブミットしたことが考えられ
ます。 デフォルト： 1 最大制限： 5 ‐c comment （任意）指定されたコメントを情報目的で登録ログ ファイルに挿入しま
す。 注： コメントは引用符で囲んでください。 ‐cp （任意）登録ログ ファイルに複数行のコメントが含まれることを指定しま
す。 ユーティリティにより複数行のコメントが求められ、指定されたコメン
トが情報目的で登録ログ ファイルに挿入されます。 注： コメントは引用符で囲んでください。 ‐l log path （任意）登録ログ ファイルをエクスポートする場所を指定します。 デフォルト： siteminder_home¥log siteminder_home ポリシー サーバのインストール パスを指定します。 ‐e error_path （任意）例外を指定されたパスに送信します。 デフォルト： stderr ‐vT （任意）詳細レベルを TRACE に設定します。 216 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
‐vI （任意）詳細レベルを INFO に設定します。 ‐vW （任意）詳細レベルを WARNING に設定します。 ‐vE （任意）詳細レベルを ERROR に設定します。 ‐vF （任意）詳細レベルを FATAL に設定します。 3. Enter キーを押します。 XPSRegClient は、ポリシー サーバに管理者クレデンシャルを提供します。 ポリシー サーバは、管理 UI への最初のログイン時に、登録リクエストを確認
するためにこれらのクレデンシャルを使用します。 6.x ポリシー ストアをアップグレードする方法
r12.0 SP3 ポリシー ストアに、新規のディレクトリ サーバ インスタンスは必要ありま
せん。 既存のポリシー ストアを r12.0 SP3 にアップグレードできます。 ポリシー ストアをアップグレードするには、以下の手順を実行します。 1. ポリシー ストア スキーマを拡張します。 注：既存の r6.x ポリシー ストア スキーマは、変更されていません。 r12.0 SP3 の移行では、ポリシー ストア スキーマをアップグレードして、r12.0 SP3 に
よって必要とされるオブジェクトのポリシー ストアを拡張する必要がありま
す。 2. ベース ポリシー ストア オブジェクトをインポートします。 3. ポリシー ストア データ定義をインポートします。 注： サポート マトリックスにリストされているディレクトリ サーバまたはデータベー
スで、本書に記載されていないものをアップグレードする場合は、「SiteMinder アップグレード ガイド」を参照してください。 第 12 章： Siemens DirX EE 2.0 Directory Server 217
6.x ポリシー ストアをアップグレードする方法
6.x から r12.0 SP3 への DirX EE 2.0 ポリシー ストアのアップグレード
6.x のポリシー ストアから r12.0 SP3 のポリシー ストアに Siemens DirX EE 2.0 Directory Server をアップグレードするには、ポリシー ストアに XPS スキーマを作
成します。 DirX EE 2.0 ポリシー ストアを 6.x から r12.0 SP3 にアップグレードする方法
1. DirX EE Manager を開き、ベース ツリー構造を更新します。 u=PolicySvr4 の
下に ou=XPS を作成します。 2. 以下のファイルを、path¥dirxee20 から DirX_EE_install_path¥scripts¥stand_alone¥extensions にコピーします。 add_PS_Indexes.adm path Tier 2 ディレクトリ zip から抽出されたスキーマ ファイルへのパスを指定
します。 DirX_EE_install_path DirX EE のインストール パスを指定します。 3. 以下のファイルを、path¥xps¥dirxee20 から DirX_EE_install_path¥scripts¥stand_alone¥extensions にコピーします。 ■
XPS_SchemaExt.ldif ■
add_XPS_Indexes.adm 4. コマンド プロンプトから、以下のディレクトリに変更します。 DirX_EE_install_path¥scripts¥stand_alone¥extensions 5. 以下のコマンドを実行します。 dirxadm add_PS_Indexes.adm 6. 以下のコマンドを実行します。 dirxmodify ‐f XPS_SchemaExt.ldif ‐D cn=admin,o=MyCompany ‐w dirx ‐f LDIF ファイルの名前を指定します。 ‐D バインド DN を指定します。 例： cn=admin,o=MyCompany 218 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
‐w パスワードを指定します。 例： dirx ‐h （任意）ホストを指定します。 デフォルト： localhost ‐p （任意）ポート番号を指定します。 デフォルト： 389 7. 以下のコマンドを実行します。 dirxadm add_XPS_Indexes.adm XPS スキーマが作成されます。 これで、ポリシー ストア データ定義をインポート
できるようになりました。 ベース ポリシー ストア オブジェクトのインポート
デフォルトの SiteMinder オブジェクトをインポートすると、管理 UI で使用するポ
リシー ストアがアップグレードされます。 デフォルトの SiteMinder オブジェクトは、
ポリシー ストアにポリシー情報を格納するために必要です。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. 以下のコマンドを実行します。 smobjimport -ipolicy_server_home¥db¥smdif¥upgrade_smdif_file_name
-dsiteminder_super_user_name -wsiteminder_super_user_password
-v -f
policy_server_home ポリシー サーバのインストール パスを指定します。 第 12 章： Siemens DirX EE 2.0 Directory Server 219
6.x ポリシー ストアをアップグレードする方法
upgrade_smdif_file_name インポート ファイルの名前を指定します。 ■
r60 から r12.0 SP3: sm_upgrade_60_to_R12sp3.smdif ■
r60 SP1 から r12.0 SP3: sm_upgrade_60sp1_to_R12sp3.smdif ■
r60 SP2 から r12.0 SP3: sm_upgrade_60sp2_to_R12sp3.smdif ■
r60 SP3 から r12.0 SP3: sm_upgrade_60sp3_to_R12sp3.smdif ■
r60 SP4 から r12.0 SP3: sm_upgrade_60sp4_to_R12sp3.smdif ■
r60 SP5 から r12.0 SP3: sm_upgrade_60sp5_to_R12sp3.smdif ■
r60 SP6 から r12.0 SP3: sm_upgrade_60sp6_to_r12sp3.smdif ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト出力： stdout ‐f 重複するポリシー ストア オブジェクトを、r12.0 SP3 のもので上書きしま
す。 引数にスペースが含まれる場合、引数全体の前後に二重引用符を使用し
ます。 Windows の例： smobjimport -i"C:¥Program Files¥CA¥siteminder¥db¥smdif¥smpolicy.smdif" -d"SM Admin"
-wPassword -v
UNIX の例： smobjimport ‐i$NETE_PS_ROOT/db/smdif/smpolicy.smdif ‐d"SM Admin" ‐wPassword ‐v ベース ポリシー ストア オブジェクトがインポートされます。 220 ディレクトリ設定ガイド
6.x ポリシー ストアをアップグレードする方法
2. 以下のコマンドを実行します。 重要： ampolicy.smdif が以前にポリシー ストアにインポートされている場合
は再インポートしないでください。 smobjimport -ipolicy_server_home¥db¥smdif¥ampolicy.smdif
-dsiteminder_super_user_name -wsiteminder_super_user_password -f -v -l -c
‐policy_server_home インポート ファイルのパスと名前を指定します。 ‐dsiteminder_super_user_name SiteMinder 管理者アカウントの名前を指定します。 ‐wsiteminder_super_user_password SiteMinder 管理者アカウントのパスワードを指定します。 ‐f 重複するオブジェクトを上書きします。 ‐v 追跡を有効にし、エラー、警告、およびコメント メッセージを詳細形式で
出力して、インポートのステータスを監視できるようにします。 デフォルト値： stdout ‐l ログ ファイルを作成します。 ‐c smdif 入力ファイルに暗号化されていないデータが含まれていることを
示します。 注： ampolicy.smdif をインポートすると、SiteMinder から別々にライセンスさ
れるフェデレーション セキュリティ サービス、Web サービス変数、および eTelligent ルール機能が使用可能になります。 eTelligent ルール機能を使
用する予定の場合は、ライセンス情報について CA ジャパン ダイレクトに問
い合わせてください。 これで、ポリシー ストア データ定義をインポートできるようになりました。 第 12 章： Siemens DirX EE 2.0 Directory Server 221
6.x ポリシー ストアをアップグレードする方法
ポリシー ストア データ定義のインポート
ポリシー ストア データ定義のインポートは、管理 UI でポリシー ストアを使用する
ために必要です。 ベース定義は、ポリシー ストア データを記述します。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 ベース ポリシー ストア オブジェクトをインポートする方法
1. コマンド ウィンドウを開いて、以下のいずれかの場所に移動します。 ■
Windows ‐ policy_server_home¥xps¥dd ■
UNIX ‐ policy_server_home/xps/dd policy_server_home ポリシー サーバのインストール パスを指定します。 2. 以下のコマンドを実行します。 重要： XPSDDInstall ツールは、データ定義ファイルを使用して以下の順序
で実行します。それ以外の順序で実行すると、インポートは失敗します。 XPSDDInstall SmObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 注： 初めてこのファイルをインポートする場合は、ポリシー データが見つか
らないという警告メッセージが表示されます。 これは予期された動作で、イ
ンポートに影響しません。 3. 以下のコマンドを実行します。 XPSDDInstall EPMObjects.xdd
XPSDDInstall は必要なデータ定義をインポートします。 4. 以下のコマンドを実行します。 XPSDDInstall SecCat.xdd
XPSDDInstall は必要なデータ定義をインポートします。 5. 以下のコマンドを実行します。 XPSDDInstall FssSmObjects.xdd
必要なポリシー ストア データ定義がすべてインポートされました。 222 ディレクトリ設定ガイド
付録 A: SiteMinder の SSL 接続の設定
このセクションには、以下のトピックが含まれています。 SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法 (P. 223) SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
LDAP ユーザ ディレクトリの SSL 接続を設定するには、証明書データベース ファ
イルを使用するように SiteMinder を設定する必要があります。 SSL 接続を設定するには、以下の手順に従います。 1. SSL 接続を設定する前に以下を実行します。 2. NSS ユーティリティをインストールします。 3. 証明書データベース ファイルを作成します。 4. 証明書データベースに証明機関（CA）を追加します。 5. 証明書データベースにサーバ証明書を追加します。 6. 証明書データベース内の証明書を一覧表示します。 7. ユーザ ディレクトリの SSL 接続を設定します。 8. ポリシー サーバが証明書データベースを参照するようにします。 9. SSL 接続を検証します。 付録 A: SiteMinder の SSL 接続の設定 223
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
SSL 接続を設定する前に
SSL による LDAP ユーザ ディレクトリ接続を設定する前に、以下の点を確認してく
ださい。 ■
ディレクトリ サーバが SSL 対応であること。 注： SSL を介して通信するようにディレクトリ サーバを設定する方法の詳細
については、ベンダー別の資料を参照してください。 ■
SiteMinder は、Netscape LDAP SDK を使用して、LDAP ディレクトリと通信しま
す。 その結果、SiteMinder では、データベース ファイルを Netscape バー
ジョン ファイル形式（cert7.db）にする必要があります。 重要： cert7.db データベース ファイルへの証明書のインストールに Microsoft Internet Explorer を使用しないでください。 ■
SSL 証明書の管理には、Netscape と互換性のある、サードパーティの証明
書ユーティリティが必要です。 Mozilla® Network Security Services（NSS）
ユーティリティ、バージョン 3.2.2 の使用をお勧めします。 注： cert7.db 形式をサポートするには、バージョン 3.2.2 が必要です。 それ
以降のバージョンを使用しないでください。 ■
（Active Directory）以下の点を考慮してください。 –
SiteMinder ユーザ ディレクトリ接続が AD ネームスペースを使用して設
定されている場合は、以下のプロセスは適用されません。 SSL 接続を確
立するときに、AD ネームスペースは、ネイティブの Windows 証明書リポ
ジトリを使用します。 SSL を介して通信するように AD ネームスペースを
設定する場合は、以下の点を確認してください。 –
SiteMinder ユーザ ディレクトリ接続が、安全な接続になるように設
定されていること。 詳細については、「ユーザ (P. 232)ディレクトリの SSL 接続の設定」を参照してください。 –
Active Directory インスタンスをホストしているマシンで、ルート CA 証
明書およびサーバ証明書が、サービスの証明書ストアに追加される
ていること。 注： SSL を介して通信するように Active Directory を設定する方法の詳
細については、Microsoft の資料を参照してください。 –
224 ディレクトリ設定ガイド
SiteMinder ユーザ ディレクトリ接続が LDAP ネームスペースを使用して
設定されている場合は、以下のプロセスを実行して、SSL 接続を設定し
ます。 SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
NSS ユーティリティのインストール
証明書データベース ファイルを管理する NSS ユーティリティをインストールしま
す。 注： Netscape Portable Runtime（NSPR）またはポリシー サーバがインストールさ
れているシステムに、このユーティリティをインストールします。 システムに、どち
らかのコンポーネントと一緒にこのユーティリティをインストールすると、必要な DLL または共有オブジェクトが使用可能になります。 NSS ユーティリティをインストールする方法
1. Mozilla NSS 3.2.2 FTP サイトにアクセスします。 2. ご使用のオペレーティング システムに対応する zip または tar をダウンロー
ドします。 注： Windows Server 2003 用の zip は用意されていません。 Windows NT 用
の zip をダウンロードしてください。 3. 証明書データベース ファイルを管理しているシステム上の一時ロケーション
に、NSS ユーティリティを解凍します。 付録 A: SiteMinder の SSL 接続の設定 225
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
証明書データベース ファイルの作成
ポリシー サーバでは、証明書データベース ファイルを Netscape バージョン ファ
イル形式（cert7.db）にする必要があります。 NSS ユーティリティを使用して、証
明書データベース ファイルを作成することができます。 注： 以下の手順では、タスクを実行するための具体的なオプションおよび引数
について詳しく説明します。 NSS ユーティリティのオプションおよび引数の全リス
トについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してくだ
さい。 証明書データベース ファイルを作成する方法
1. コマンド プロンプトから、NSS ユーティリティを解凍したロケーション内の bin ディレクトリに移動します。 例： C:¥nss¥bin 注： Windows には固有の certutil ユーティリティがあります。 NSS ユーティリ
ティの bin ディレクトリから作業するようにしてください。間違えて Windows certutil ユーティリティを実行していることがあります。 2. 以下のコマンドを入力します。 certutil -N -d certificate_database_directory
‐N cert7.db、key3.db、および secmod.db の証明書データベース ファイル
を作成します。 ‐d certificate_database_directory NSS ユーティリティが証明書データベース ファイルを作成するディレクト
リを指定します。 注： ファイル パスにスペースがある場合は、そのパスを引用符で囲んでくだ
さい。 このユーティリティは、データベース キーを暗号化するためにパスワードの
入力を求めます。 226 ディレクトリ設定ガイド
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
3. パスワードを入力および確認します。 NSS は、必要な証明書データベース ファイルを作成します。 ■
cert7.db ■
key3.db ■
secmod.db 例： 証明書データベース ファイルの作成
certutil -N -d C:¥certdatabase
証明書データベースへのルート証明機関の追加
ルート証明機関（CA）を追加して、SSL 通信で使用できるようにします。 注： 以下の手順では、タスクを実行するための具体的なオプションおよび引数
について詳しく説明します。 NSS ユーティリティのオプションおよび引数の全リス
トについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してくだ
さい。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 証明書データベースにルート CA 証明書を追加する方法
1. コマンド プロンプトから、NSS ユーティリティを解凍したロケーション内の bin ディレクトリに移動します。 例： C:¥nss¥bin 注： Windows には固有の certutil ユーティリティがあります。 NSS ユーティリ
ティの bin ディレクトリから作業するようにしてください。間違えて Windows certutil ユーティリティを実行していることがあります。 付録 A: SiteMinder の SSL 接続の設定 227
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
2. 以下のコマンドを実行して、データベース ファイルにルート CA を追加しま
す。 certutil -A -n alias -t trust_arguments -i root_CA_path -d
certificate_database_directory
‐A 証明書データベースに証明書を追加します。 ‐n alias 証明書の別名を指定します。 注： 別名にスペースがある場合は、その別名を引用符で囲んでくださ
い。 ‐t trust_arguments 証明書データベースに証明書を追加するときに証明書に適用する信頼
性属性を指定します。 各証明書には、3 つの使用可能な信頼性カテゴ
リがあります。これらのカテゴリを表記する順序は、「SSL、電子メール、オ
ブジェクト署名」です。 ルート CA が信頼されて SSL 証明書を発行できる
ように、適切な信頼性引数を指定します。 それぞれのカテゴリ位置に、
以下の属性引数を 0 個以上使用することができます。 p 有効なピア。 P 信頼されたピア。 この引数は p を意味します。 c 有効な CA。 T クライアント証明書を発行する信頼された CA。 この引数は c を意味
します。 C サーバ証明書を発行する信頼された CA（SSL のみ）。 この引数は c を意味します。 重要： これは SSL 信頼性カテゴリに必須の引数です。 u 証明書は認証または署名に使用できます。 228 ディレクトリ設定ガイド
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
‐i root_CA_path ルート CA ファイルのパスを指定します。 以下の点について考慮してく
ださい。 –
パスには証明書名も含める必要があります。 –
証明書の有効な拡張子には、.cert、.cer、および .pem があります。 注： ファイル パスにスペースがある場合は、そのパスを引用符で囲んで
ください。 ‐d certificate_database_directory 証明書データベースが入っているディレクトリのパスを指定します。 注： ファイル パスにスペースがある場合は、そのパスを引用符で囲んで
ください。 NSS によって、証明書データベースにルート CA が追加されます。 例： 証明書データベースへのルート CA の追加
certutil -A -n "My Root CA" -t "C,," -i C:¥certificates¥cacert.cer -d C:¥certdatabase
証明書データベースへのサーバ証明書の追加
証明書データベースにサーバ証明書を追加して、SSL 通信で使用できるように
します。 注： 以下の手順では、タスクを実行するための具体的なオプションおよび引数
について詳しく説明します。 NSS ユーティリティのオプションおよび引数の全リス
トについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してくだ
さい。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 付録 A: SiteMinder の SSL 接続の設定 229
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
証明書データベースにサーバ証明書を追加する方法
1. コマンド プロンプトから、NSS ユーティリティを解凍したロケーション内の bin ディレクトリに移動します。 例： C:¥nss¥bin 注： Windows には固有の certutil ユーティリティがあります。 NSS ユーティリ
ティの bin ディレクトリから作業するようにしてください。間違えて Windows certutil ユーティリティを実行していることがあります。 2. 以下のコマンドを実行して、データベース ファイルにルート証明書を追加し
ます。 certutil -A -n alias -t trust_arguments -i server_certificate_path -d
certificate_database_directory
‐A 証明書データベースに証明書を追加します。 ‐n alias 証明書の別名を指定します。 注： 別名にスペースがある場合は、その別名を引用符で囲んでくださ
い。 ‐t trust_arguments 証明書データベースに証明書を追加するときに証明書に適用する信頼
性属性を指定します。 各証明書には、3 つの使用可能な信頼性カテゴ
リがあります。これらのカテゴリを表記する順序は、「SSL、電子メール、オ
ブジェクト署名」です。 証明書が信頼されるように、適切な信頼性引数
を指定します。 各カテゴリ位置では、以下の属性引数を 0 個以上使用
することができます。 p 有効なピア。 P 信頼されたピア。 この引数は p を意味します。 重要： これは SSL 信頼性カテゴリに必須の引数です。 230 ディレクトリ設定ガイド
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
‐i server_certificate_path サーバ証明書のパスを指定します。 以下の点について考慮してくださ
い。 –
パスには証明書名も含める必要があります。 –
証明書の有効な拡張子には、.cert、.cer、および .pem があります。 注： ファイル パスにスペースがある場合は、そのパスを引用符で囲んで
ください。 ‐d certificate_database_directory 証明書データベースが入っているディレクトリのパスを指定します。 注： ファイル パスにスペースがある場合は、そのパスを引用符で囲んで
ください。 NSS によって、証明書データベースにサーバ証明書が追加されます。 例： 証明書データベースへのサーバ証明書の追加
certutil -A -n "My Server Certificate" -t "P,," -i C:¥certificates¥servercert.cer -d
C:¥certdatabase
証明書データベース内の証明書の一覧表示
証明書が証明書データベースに追加されたことを確認するために、証明書を一
覧表示します。 注： 以下の手順では、タスクを実行するための具体的なオプションおよび引数
について詳しく説明します。 NSS ユーティリティのオプションおよび引数の全リス
トについては、NSS プロジェクト ページにある Mozilla マニュアルを参照してくだ
さい。 重要： Windows Server 2008 上で SiteMinder ユーティリティまたは実行可能
ファイルを実行している場合は、管理者としてシステムにログインしている場合
でも、管理者権限でコマンド ライン ウィンドウを開きます。 詳細については、お
使いの SiteMinder コンポーネントのリリース ノートを参照してください。 付録 A: SiteMinder の SSL 接続の設定 231
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
証明書データベース内の証明書を一覧表示する方法
1. コマンド プロンプトから、NSS ユーティリティを解凍したロケーション内の bin ディレクトリに移動します。 例： C:¥nss¥bin 注： Windows には固有の certutil ユーティリティがあります。 NSS ユーティリ
ティの bin ディレクトリから作業するようにしてください。間違えて Windows certutil ユーティリティを実行していることがあります。 2. 以下のコマンドを実行します。 certutil -L -d certificate_database_directory
‐L 証明書データベース内のすべての証明書を一覧表示します。 ‐d certificate_database_directory 証明書データベースが入っているディレクトリのパスを指定します。 注： ファイル パスにスペースがある場合は、そのパスを引用符で囲んで
ください。 NSS によって、証明書データベースに証明書を追加するときに指定した、
ルート CA の別名、サーバ証明書の別名、および信頼性属性が表示されま
す。 例： 証明書データベース内の証明書の一覧表示
certutil -L -d C:¥certdatabase
ユーザ ディレクトリの SSL 接続の設定
ポリシー サーバとユーザ ストアが通信するときに SSL 接続が使用されるように、
ユーザ ストア接続を設定します。 注： FSS 管理 UI にポリシー サーバ オブジェクトを作成または変更するときは、
ASCII 文字を使用します。 ASCII 文字以外でのオブジェクトの作成または変更は
サポートされていません。 ユーザ ストアの SSL 接続を設定する方法
1. 管理 UI にログインします。 2. ［インフラストラクチャ］‐［ディレクトリ］をクリックします。 232 ディレクトリ設定ガイド
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
3. ［ユーザ ディレクトリ］‐［ユーザ ディレクトリの変更］をクリックします。 ［ユーザ ディレクトリの変更］ペインに、既存のユーザ ディレクトリ接続の一
覧が表示されます。 4. 目的のユーザ ディレクトリ接続を選択し、［選択］をクリックします。 ユーザ ディレクトリの設定が表示されます。 5. ［安全な接続］チェック ボックスをオンにして、［サブミット］をクリックします。 ユーザ ディレクトリ接続が、SSL を介して通信するように設定されます。 ポリシー サーバから証明書データベースへの参照の設定
ポリシー サーバが証明書データベースを参照するように設定し、SSL を介して
ユーザ ディレクトリと通信するようにポリシー サーバを設定します。 注： FSS 管理 UI にポリシー サーバ オブジェクトを作成または変更するときは、
ASCII 文字を使用します。 ASCII 文字以外でのオブジェクトの作成または変更は
サポートされていません。 ポリシー サーバから証明書データベースへの参照を設定する方法
1. ポリシーサーバー管理コンソールを起動します。 重要： Windows Server 2008 上でこのグラフィカル ユーザ インターフェース
にアクセスする場合は、管理者としてシステムにログインしている場合でも、
管理者権限でショートカットを開きます。 詳細については、お使いの SiteMinder コンポーネントのリリース ノートを参照してください。 2. ［データ］タブをクリックします。 3. Netscape 証明書データベース ファイルのフィールドに、Netscape 証明書
データベース ファイルのパスを入力します。 例： C:¥certdatabase¥cert7.db 注： key3.db ファイルも、cert7.db ファイルと同じディレクトリに含まれている
必要があります。 4. ポリシー サーバを再起動します。 ポリシー サーバが、SSL を介してユーザ ディレクトリと通信するように設定されま
す。 付録 A: SiteMinder の SSL 接続の設定 233
SSL を使った LDAP ユーザ ディレクトリ接続を設定する方法
SSL 接続の検証
SSL 接続を検証して、ユーザ ディレクトリとポリシー サーバが SSL を介して通信し
ていることを確認します。 注： FSS 管理 UI にポリシー サーバ オブジェクトを作成または変更するときは、
ASCII 文字を使用します。 ASCII 文字以外でのオブジェクトの作成または変更は
サポートされていません。 SSL 接続を検証する方法
1. 管理 UI にログインします。 2. ［インフラストラクチャ］‐［ディレクトリ］をクリックします。 3. ［ユーザ ディレクトリ］‐［ユーザ ディレクトリの表示］をクリックします。 ［ユーザ ディレクトリの表示］ペインに、既存のユーザ ディレクトリ接続の一
覧が表示されます。 4. 目的の接続を選択し、［選択］をクリックします。 ユーザ ディレクトリの設定が表示されます。 5. ［内容の表示］をクリックします。 SSL が正しく設定されている場合は、［ディレクトリのコンテンツ］ウィンドウに、
ユーザ ディレクトリの内容が表示されます。 234 ディレクトリ設定ガイド
付録 B: プラットフォーム サポートおよびイン
ストール メディア
このセクションには、以下のトピックが含まれています。 SiteMinder プラットフォーム サポート マトリックスへのアクセス (P. 235) マニュアル選択メニューの使用 (P. 236) インストール メディアの検索 (P. 236) SiteMinder プラットフォーム サポート マトリックスへのアクセス
SiteMinder によりサポートされる CA およびサードパーティ コンポーネントの全
体的なリストについては、テクニカル サポート サイトを参照してください。 サポート サイトからサポート マトリックスを参照する方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下で、［Support By Product］をクリックします。 3. ［Select a Product Page］フィールドに「CA SiteMinder」を入力し、Enter キー
を押します。 CA SiteMinder 製品ページが表示されます。 4. ［Product Status］セクションをスクロールし、CA SiteMinder Family of Products Platform Support Matrices をクリックします。 注： 最新の JDK および JRE バージョンは、Sun Developer Network でダウンロー
ドできます。 付録 B: プラットフォーム サポートおよびインストール メディア 235
マニュアル選択メニューの使用
マニュアル選択メニューの使用
SiteMinder マニュアル選択メニューはテクニカル サポート サイトで提供されて
います。 サポート サイトからサポート マトリックスを参照する方法
1. テクニカル サポート サイトにアクセスします。 注： ログインする必要はありません。 2. （任意）［Get Support］タブが前面にない場合は、［Get Support］をクリックし
ます。 3. ［Find Product News and Support］の下で［Product Pages］をクリックします。 ［Support by Product］ページが表示されます。 4. ［Select a Product Page］フィールドに CA SiteMinder を入力して Enter キー
を押します。 CA SiteMinder 製品ページが表示されます。 5. マニュアル選択メニューをクリックします。 6. 必要なリリースのリンクをクリックします。 SiteMinder マニュアル選択メニューのメイン ページが表示されます。 236 ディレクトリ設定ガイド
インストール メディアの検索
インストール メディアの検索
SiteMinder インストール メディアの全体的なリストは、テクニカル サポート サイト
で見つけることができます。 サポート サイトからサポート マトリックスを参照する方法
1. テクニカル サポート サイトにログインします。 2. ［Support］の下で、［Download Center］‐［Products］をクリックします。 ［Download Center］画面が表示されます。 3. ［Select a Product］フィールドに SiteMinder を入力します。 4. ［Select a Release］リストからリリースを選択します。 5. ［Select a Gen Level］リストからサービス パックを選択します。 6. ［Go］をクリックします。 ［Product Downloads］画面が表示されます。 SiteMinder のインストール実行
可能ファイルがすべて一覧表示されます。 付録 B: プラットフォーム サポートおよびインストール メディア 237
索引
６
6.x から r12.0 SP3 への DirX EE 2.0 ポリシー ス
トアのアップグレード ‐ 218 6.x セッション サーバのアップグレード ‐ 52 6.x ポリシー ストアをアップグレードする方法 ‐ 24, 53, 73, 125, 145, 169, 202, 217 Ｂ
Berkeley データベース バージョン不一致エラー ‐ 175 Ｃ
CA LDAP Server for z/OS ‐ 31 CA LDAP Server for z/OS でサポートされていな
い SiteMinder 機能 ‐ 36 CA LDAP Server for z/OS の概要 ‐ 31 CA Top Secret r12 （TSS）バックエンド セキュリ
ティ オプション ‐ 32 CA 製品リファレンス ‐ iii CA への連絡先 ‐ iii Critical Path inJoin Directory Server ‐ 13 Cyrus SASL のインストール ‐ 174 Ｄ
DB2 ワイヤ プロトコル ドライバの設定 ‐ 42 Ｉ
IBM DB2 ‐ 37 IBM DB2 データベースをデータ ストアとして設
定する方法 ‐ 37 IBM DB2 ポリシー ストア スキーマの拡張 ‐ 54 IBM Directory Server ‐ 59 IBM Directory Server ポリシー ストア スキーマ
の拡張 ‐ 74 IDS での LDAP トレースの有効化 ‐ 22 inJoin ポリシー ストア スキーマの拡張 ‐ 25 Ｌ
LDAP サーバのリフレッシュ ‐ 121 Ｍ
MySQL サーバ ‐ 79 MySQL サーバ ディレクトリ接続の設定 ‐ 107 MySQL データ ストアの設定 ‐ 96 MySQL ユーザ ストアを設定する方法 ‐ 107 MySQL ワイヤ プロトコル ドライバの作成 ‐ 85 Ｎ
Novell eDirectory ‐ 111 Novell eDirectory でのポリシー ストア オブジェ
クトの制限 ‐ 125 Novell XPS スキーマ ファイルの編集 ‐ 114, 126 Novell ポリシー ストア スキーマの拡張 ‐ 127 NSS ユーティリティのインストール ‐ 225 Ｏ
OpenLDAP サーバ ‐ 151 OpenLDAP サーバの再起動 ‐ 156 OpenLDAP のトラブルシューティング ‐ 174 OpenLDAP ポリシー ストア スキーマの拡張 ‐ 169 openSSL のビルドおよびインストール ‐ 175 Oracle Internet Directory Server ‐ 131 Oracle Internet Directory でのドメインの設定 ‐ 133 Oracle Internet Directory ポリシー ストア ス
キーマの拡張 ‐ 146 Ｒ
r12.0 SP3 ポリシー ストアとしての DirX EE 2.0 Directory Server の設定 ‐ 210 Red Hat Directory Server ‐ 177 Red Hat Directory Server でのポリシー ストア ス
キーマの作成 ‐ 181 索引 239
Red Hat Directory Server への安全な接続を設
定する方法 ‐ 189 Red Hat Directory Server をポリシー ストアとし
て設定する方法 ‐ 179 Ｓ
Siemens DirX 6.0 D00 Directory Server ‐ 193 Siemens DirX EE 2.0 Directory Server ‐ 209 Siemens DirX EE 2.0 ポリシー ストアを設定する
方法 ‐ 209 Siemens DirX ポリシー ストア スキーマの拡張 ‐ 203 SiteMinder サンプル ユーザのインポート ‐ 107 SiteMinder スーパーユーザ パスワードの設定 ‐ 45, 65, 89, 117, 137, 182 SiteMinder スキーマ ファイルのダウンロード ‐ 13, 38, 81, 97, 101, 104, 133, 151, 179, 193, 209 SiteMinder スキーマの作成 ‐ 82 SiteMinder の SSL 接続の設定 ‐ 223 SiteMinder プラットフォーム サポート マトリック
スへのアクセス ‐ 235 SiteMinder 用の MySQL データ ソースの設定 ‐ 83 SiteMinder スキーマ ファイルの指定 ‐ 152 SiteMinder スキーマを含む DB2 データベース
の作成 ‐ 38 SiteMinder に対する DB2 データ ソースの設定 ‐ 40 Slapd 構成ファイルを設定する方法 ‐ 152 SSL 接続の検証 ‐ 234 SSL 接続を設定する前に ‐ 224 SSL を使った LDAP ユーザ ディレクトリ接続を設
定する方法 ‐ 223 UNIX システムでの MySQL データ ソースの作
成 ‐ 84 Ｖ
V3 Matchingrules ファイルの編集 ‐ 60 Ｗ
Windows システムでの DB2 データ ソースの作
成 ‐ 40 Windows での MySQL データ ソースの作成 ‐ 83 あ
インストール メディアの検索 ‐ 236 エントリの追加 ‐ 157 か
監査ログスキーマの作成 ‐ 101 監査ログを MySQL に格納する方法 ‐ 100 キー情報を MySQL に格納する方法 ‐ 97 キー ストア スキーマの作成 ‐ 98 クライアント サイドの並べ替えのサポート ‐ 154 さ
Ｔ
証明書データベース内の証明書の一覧表示 ‐ 231 証明書データベース ファイルの作成 ‐ 226 証明書データベースへのサーバ証明書の追加 ‐ 229 証明書データベースへのルート証明機関の追
加 ‐ 227 スキーマ ファイルを管理する SiteMinder ス
キーマ ファイルの追加 ‐ 61 セッション情報を MySQL に格納する方法 ‐ 103 セッション ストア スキーマの作成 ‐ 105 設定ファイルのテスト ‐ 155 TSS オブジェクト クラス階層 ‐ 32 た
Ｕ
ディレクトリ エントリとルート ノードの作成 ‐ 60 ディレクトリ構成の概要 ‐ 11 ディレクトリ サーバ情報の収集 ‐ 61, 111, 131 UNIX システムでの DB2 データ ソースの作成 ‐ 41 240 ディレクトリ設定ガイド
ディレクトリ サーバをポリシー ストアとして設定
する方法 ‐ 158 ディレクトリ サーバをユーザ ストアとして設定
する方法 ‐ 165 データベース情報の収集 ‐ 79 データベース ディレクティブの指定 ‐ 153 データベースを作成する方法 ‐ 156 デフォルトのポリシー ストア オブジェクトのイン
ポート ‐ 46, 67, 90, 118, 139, 183 は
プラットフォーム サポートおよびインストール メ
ディア ‐ 235 ベース ツリー構造の作成 ‐ 157 ベース ポリシー ストア オブジェクトのインポー
ト ‐ 26, 54, 74, 127, 147, 170, 204, 219 ポリシー サーバから CA LDAP Server for z/OS への接続の設定 ‐ 35 ポリシー サーバから OpenLDAP ユーザ ストア
への接続の設定 ‐ 166 ポリシー サーバから Red Hat ポリシー ストアへ
の安全な接続の設定 ‐ 191 ポリシー サーバから Red Hat ユーザ ストアへ
の安全な接続の設定 ‐ 190 ポリシー サーバから Red Hat ユーザ ストアへ
の接続の設定 ‐ 177 ポリシー サーバから証明書データベースへの
参照の設定 ‐ 233 ポリシー サーバからディレクトリ サーバへの参
照の設定 ‐ 134, 158 ポリシー サーバからポリシー ストアへの参照
の設定 ‐ 14, 63, 115, 180 ポリシー サーバに対する参照データベースの
指定 ‐ 43, 87, 98, 102, 105 ポリシー サーバの再起動 ‐ 70, 93, 99, 103, 106, 122, 142, 186 ポリシー サーバの設定例 ‐ Critical Path InJoin Directory Server ‐ 24 ポリシー サーバ レジストリ エントリの TSS 用の
設定 ‐ 33 ポリシー サーバを設定する方法 ‐ 132 ポリシー ストア スキーマの作成 ‐ 64, 116, 135 ポリシー ストア スキーマ ファイルの編集 ‐ 113 ポリシー ストア データ定義のインポート ‐ 18, 28, 48, 57, 69, 77, 92, 120, 130, 141, 149, 161, 173, 185, 198, 207, 213, 222 ポリシー ストアとしての DirX 6.0 D00 Directory Server の設定 ‐ 194 ポリシー ストアとしての IBM Directory Server ‐ 59 ポリシー ストアとしての inJoin Directory Server の設定 ‐ 15 ポリシー ストアとしての MySQL ‐ 79 ポリシー ストアとしての Novell eDirectory ‐ 111 ポリシー ストアとしての Oracle Internet Directory ‐ 131 ポリシー ストアに対する SSL の設定 ‐ 168 ポリシー ストアの作成 ‐ 159 ポリシー ストアを設定する方法 ‐ 62, 80, 112 本書の内容 ‐ 11 ま
マニュアル選択メニューの使用 ‐ 236 や
ユーザ ストアの作成 ‐ 165 ユーザ ディレクトリの SSL 接続の設定 ‐ 224, 232 ユーザ ディレクトリの設定例 ‐ Critical Path InJoin Directory Server ‐ 23 ユーザ ディレクトリの設定例 ‐ Siemens DirX 6.0 ‐ 201 ユーザ認証の有効化 ‐ 153 索引 241

（3）マカオ視察を終えて

長崎県公立大学法人の平成27年度計画 Ⅰ 大学の教育

スーパー連携大学院プログラム受講生募集要項 2015年度 春季受講

鳴門教育大学の求める学生像（アドミッション・ポリシー）の 検証結果

参考資料1 今後の大学院教育の在り方に関する論点案 （PDF:168KB）

大学評価・学位授与機構 大学ポートレートセンター 資料1

3年次編入学学生募集要項 静岡大学情報学部

- 1 - 平成25年度 国立大学法人帯広畜産大学 年度計画 Ⅰ 大学の教育

特定個人情報等の取扱いに関する基本方針

株式会社学び 大学改革コンサルティング ソリューションメニュー