Base インストール・ガイドpublib.boulder.ibm.com/tividd/td/ITAME/SC32-1362-00/ja_JA/PDF/am… · Lotus Domino のセットアップ.....78 Domino 用のTivoli Access Manager

IBM Tivoli Access Manager

Base インストール・ガイド

バージョン 5.1

SC88-9854-00

(英文原典：SC32-1362-00)

��


Base インストール・ガイド

バージョン 5.1

SC88-9854-00

(英文原典：SC32-1362-00)

��

お願い本書および本書で紹介する製品をご使用になる前に、 345ページの『特記事項』に記載されている情報をお読みください。

本書は、IBM Tivoli Access Manager (プロダクト番号 5724-C08) のバージョン 5 リリース 1、モディフィケーション 0、および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。

本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。

http://www.ibm.com/jp/manuals/main/mail.html

なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは

http://www.ibm.com/jp/manuals/ の「ご注文について」をご覧ください。

(URL は、変更になる場合があります)

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　原　典： SC32-1362-00


Base Installation Guide

Version 5.1

　発　行：日本アイ・ビー・エム株式会社

　担　当：ナショナル・ランゲージ・サポート

第1刷 2004.1

この文書では、平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、および平成角ゴシック体™W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。フォントとして無断複製することは禁止されています。

　　注* 平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、平成角ゴシック体™W7

© Copyright International Business Machines Corporation 2001, 2003. All rights reserved.

© Copyright IBM Japan 2004

目次

まえがき . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix本書の対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix本書の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiリリース情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi基本情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiWeb セキュリティー情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii開発者の参照情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii技術上の補足情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii関連資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii

アクセシビリティー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviiソフトウェア・サポートへの連絡. . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii本書の規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvii書体規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xviiオペレーティング・システム間の違い . . . . . . . . . . . . . . . . . . . . . . . . . xvii

第 1 部インストールの計画 . . . . . . . . . . . . . . . . . . . . . . . . . . 1

第 1 章インストールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . 3デプロイメントの計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4セキュア・ドメインの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Tivoli Access Manager インストール・コンポーネント . . . . . . . . . . . . . . . . . . . . . 6

Tivoli Access Manager Base コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . 6前提条件製品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Tivoli Access Manager システムのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . 11インストール方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16インストール・ウィザード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16ネイティブ・インストール・ユーティリティー . . . . . . . . . . . . . . . . . . . . . . 17

インストール・プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

第 2 章システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19サポートされるレジストリー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

IBM Tivoli Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19IBM Security Server for OS/390 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22IBM z/OS Security Server LDAP サーバー . . . . . . . . . . . . . . . . . . . . . . . . 22Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Microsoft Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Netscape iPlanet および Sun ONE Directory Server . . . . . . . . . . . . . . . . . . . . . 23Novell eDirectory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

ディスク・スペースおよびメモリー所要量 . . . . . . . . . . . . . . . . . . . . . . . . . 24サポートされるプラットフォーム (必須パッチを含む) . . . . . . . . . . . . . . . . . . . . . 26後方互換性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30ハードウェア・アクセラレーション・カードのサポート . . . . . . . . . . . . . . . . . . . . 31

第 3 章国際化対応 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33言語サポートの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34言語サポート・パッケージのインストール . . . . . . . . . . . . . . . . . . . . . . . . . 35IBM Tivoli Directory Server 用の言語パッケージのインストール . . . . . . . . . . . . . . . . . . 37言語サポート・パッケージのアンインストール . . . . . . . . . . . . . . . . . . . . . . . 39ロケール環境変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

© Copyright IBM Corp. 2001, 2003 iii

UNIX システムの LANG 変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Windows システムの LANG 変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . 40ロケール・バリアントの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

メッセージ・カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42テキスト・エンコード方式 (コード・セット) のサポート . . . . . . . . . . . . . . . . . . . . 43コード・セット・ファイルの場所 . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

第 2 部 Base システムのインストール . . . . . . . . . . . . . . . . . . . . . 45

第 4 章レジストリー・サーバーのセットアップ . . . . . . . . . . . . . . . . . . 47IBM Tivoli Directory Server のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . 48プリインストール要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . . . . . . 50ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . . . . 52

IBM z/OS および OS/390 の Security Server のセットアップ . . . . . . . . . . . . . . . . . . . 73スキーマ・ファイルの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73サフィックスの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73LDAP 用の Tivoli Access Manager の構成 . . . . . . . . . . . . . . . . . . . . . . . . 75ネイティブ認証ユーザー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Lotus Domino のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Domino 用の Tivoli Access Manager 管理ユーザーの作成 . . . . . . . . . . . . . . . . . . . 78Domino Server への Lotus Notes クライアントのインストール . . . . . . . . . . . . . . . . . 80

Microsoft Active Directory のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . 82Active Directory に関する考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Active Directory ドメインの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Active Directory ドメインの結合 . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Active Directory 管理ユーザーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 87Active Directory 複製 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Novell eDirectory のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Novell eDirectory の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Sun ONE Directory Server のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . 92

第 5 章 Policy Server のセットアップ . . . . . . . . . . . . . . . . . . . . . . 97インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . . . . . . . 97ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . . . . . 98

AIX: Policy Server のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . 98HP-UX: Policy Server のインストール . . . . . . . . . . . . . . . . . . . . . . . . . 100Linux: Policy Server のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . 101Solaris: Policy Server のインストール . . . . . . . . . . . . . . . . . . . . . . . . . 103Windows: Policy Server のインストール . . . . . . . . . . . . . . . . . . . . . . . . 105

第 6 章 Authorization server のセットアップ . . . . . . . . . . . . . . . . . . 107インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . . . . . . . 107ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . . . . . 108

AIX: Authorization server のインストール . . . . . . . . . . . . . . . . . . . . . . . . 108HP-UX: Authorization server のインストール . . . . . . . . . . . . . . . . . . . . . . . 109Linux: Authorization server のインストール . . . . . . . . . . . . . . . . . . . . . . . 110Solaris: Authorization server のインストール . . . . . . . . . . . . . . . . . . . . . . . 112Windows: Authorization server のインストール . . . . . . . . . . . . . . . . . . . . . . 113

第 7 章開発 (ADK) システムのセットアップ . . . . . . . . . . . . . . . . . . . 115インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . . . . . . . 115ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . . . . . 116

AIX: 開発 (ADK) システムのインストール . . . . . . . . . . . . . . . . . . . . . . . 116HP-UX: 開発 (ADK) システムのインストール . . . . . . . . . . . . . . . . . . . . . . 117Linux: 開発 (ADK) システムのインストール . . . . . . . . . . . . . . . . . . . . . . . 118

iv IBM Tivoli Access Manager: Base インストール・ガイド

Solaris: 開発 (ADK) システムのインストール. . . . . . . . . . . . . . . . . . . . . . . 119Windows: 開発 (ADK) システムのインストール . . . . . . . . . . . . . . . . . . . . . . 121

第 8 章 Java Runtime Environment システムのセットアップ . . . . . . . . . . . . 123インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . . . . . . . 123ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . . . . . 124

AIX: Java Runtime Environment システムのインストール . . . . . . . . . . . . . . . . . . . 124HP-UX: Java Runtime Environment システムのインストール . . . . . . . . . . . . . . . . . . 125Linux: Java Runtime Environment システムのインストール . . . . . . . . . . . . . . . . . . 126Solaris: Java Runtime Environment システムのインストール . . . . . . . . . . . . . . . . . . 127Windows: Java Runtime Environment システムのインストール . . . . . . . . . . . . . . . . . 128

第 9 章 Policy Proxy Server のセットアップ . . . . . . . . . . . . . . . . . . . 131インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . . . . . . . 131ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . . . . . 132

AIX: Policy Proxy Server のインストール . . . . . . . . . . . . . . . . . . . . . . . . 132HP-UX: Policy Proxy Server のインストール . . . . . . . . . . . . . . . . . . . . . . . 133Linux: Policy Proxy Server のインストール . . . . . . . . . . . . . . . . . . . . . . . 134Solaris: Policy Proxy Server のインストール . . . . . . . . . . . . . . . . . . . . . . . 136Windows: Policy Proxy Server のインストール . . . . . . . . . . . . . . . . . . . . . . 137

第 10 章 Runtime システムのセットアップ . . . . . . . . . . . . . . . . . . . . 139インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . . . . . . . 139ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . . . . . 141

AIX: Runtime システムのインストール . . . . . . . . . . . . . . . . . . . . . . . . . 141HP-UX: Runtime システムのインストール . . . . . . . . . . . . . . . . . . . . . . . . 142Linux: Runtime システムのインストール . . . . . . . . . . . . . . . . . . . . . . . . 143Solaris: Runtime システムのインストール . . . . . . . . . . . . . . . . . . . . . . . . 144Windows: Runtime システムのインストール . . . . . . . . . . . . . . . . . . . . . . . 145

第 11 章 Web Portal Manager システムのセットアップ . . . . . . . . . . . . . . 147インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . . . . . . . 147ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . . . . . 150

AIX: Web Portal Manager システムのインストール . . . . . . . . . . . . . . . . . . . . . 150HP-UX: Web Portal Manager システムのインストール . . . . . . . . . . . . . . . . . . . . 152Linux: Web Portal Manager システムのインストール . . . . . . . . . . . . . . . . . . . . 154Solaris: Web Portal Manager システムのインストール . . . . . . . . . . . . . . . . . . . . 156Windows: Web Portal Manager システムのインストール . . . . . . . . . . . . . . . . . . . 159

第 3 部参照情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

第 12 章前提条件製品のインストール . . . . . . . . . . . . . . . . . . . . . . 165Global Security Kit のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

AIX: Global Security Kit のインストール . . . . . . . . . . . . . . . . . . . . . . . . 165HP-UX: Global Security Kit のインストール . . . . . . . . . . . . . . . . . . . . . . . 166Linux: Global Security Kit のインストール . . . . . . . . . . . . . . . . . . . . . . . . 166Solaris: Global Security Kit のインストール . . . . . . . . . . . . . . . . . . . . . . . 167Windows: Global Security Kit のインストール . . . . . . . . . . . . . . . . . . . . . . 168GSKit iKeyman ユーティリティーのセットアップ . . . . . . . . . . . . . . . . . . . . . 168

IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . . . . . . . . . . 171AIX: IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . . . . . . . 171HP-UX: IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . . . . . . 171Linux: IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . . . . . . . 172Solaris: IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . . . . . . 173Windows: IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . . . . . . 173

IBM JRE のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

目次 v

AIX: IBM JRE バージョン 1.3.1.5 のインストール . . . . . . . . . . . . . . . . . . . . . 175HP-UX: IBM JRE バージョン 1.3.1 のインストール . . . . . . . . . . . . . . . . . . . . 176Linux: IBM JRE, バージョン 1.3.1 のインストール . . . . . . . . . . . . . . . . . . . . . 176Solaris: IBM JRE バージョン 1.3.1 のインストール . . . . . . . . . . . . . . . . . . . . 177Windows: IBM JRE バージョン 1.3.1 のインストール . . . . . . . . . . . . . . . . . . . . 178

WebSphere Application Server のインストール . . . . . . . . . . . . . . . . . . . . . . . 179AIX: WebSphere Application Server のインストール. . . . . . . . . . . . . . . . . . . . . 179HP-UX: WebSphere Application Server のインストール . . . . . . . . . . . . . . . . . . . . 181Linux: WebSphere Application Server のインストール . . . . . . . . . . . . . . . . . . . . 184Solaris: WebSphere Application Server のインストール . . . . . . . . . . . . . . . . . . . . 186Windows: WebSphere Application Server のインストール . . . . . . . . . . . . . . . . . . . 188

Web Administration Tool のインストール . . . . . . . . . . . . . . . . . . . . . . . . . 191AIX: Web Administration Tool のインストール . . . . . . . . . . . . . . . . . . . . . . 191HP-UX: Web Administration Tool のインストール . . . . . . . . . . . . . . . . . . . . . 192Linux: Web Administration Tool のインストール . . . . . . . . . . . . . . . . . . . . . . 193Solaris: Web Administration Tool のインストール . . . . . . . . . . . . . . . . . . . . . 194Windows: Web Administration Tool のインストール . . . . . . . . . . . . . . . . . . . . . 195WebSphere への Web Administration Tool のインストール . . . . . . . . . . . . . . . . . . 196

第 13 章コンポーネントのアンインストール . . . . . . . . . . . . . . . . . . . 199Tivoli Access Manager コンポーネントの構成解除 . . . . . . . . . . . . . . . . . . . . . . 199IBM Tivoli Directory Server の構成解除 . . . . . . . . . . . . . . . . . . . . . . . . . 200AIX: パッケージの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201HP-UX: パッケージの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Linux: パッケージの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202Solaris: パッケージの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Windows: パッケージの除去 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

第 14 章インストール・ウィザードのシナリオ . . . . . . . . . . . . . . . . . . 205install_ldap_server ウィザードの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . 206プリインストール要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206install_ldap_server のシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

install_ammgr ウィザードの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

第 15 章インストール・ウィザードのオプション . . . . . . . . . . . . . . . . . 227Access Manager Runtime (LDAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228Access Manager Runtime (Active Directory). . . . . . . . . . . . . . . . . . . . . . . . . 231Access Manager Runtime (Domino) . . . . . . . . . . . . . . . . . . . . . . . . . . . 235install_amacld . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237install_amadk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239install_amjrte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240install_ammgr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241install_amproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243install_amrte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244install_amwpm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245install_ldap_server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

第 16 章 pdconfig オプション . . . . . . . . . . . . . . . . . . . . . . . . . 249Access Manager Runtime — LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 250Access Manager Runtime — Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 251Access Manager Runtime — Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . 253Access Manager Authorization Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 254Access Manager Java Runtime Environment . . . . . . . . . . . . . . . . . . . . . . . . . 255Access Manager Policy Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Access Manager Policy Proxy Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 257Access Manager Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

vi IBM Tivoli Access Manager: Base インストール・ガイド

第 17 章 Secure Sockets Layer の使用可能化 . . . . . . . . . . . . . . . . . . 259SSL アクセスのための IBM Tivoli Directory Server の構成 . . . . . . . . . . . . . . . . . . . 260鍵データベース・ファイルおよび証明書の作成 . . . . . . . . . . . . . . . . . . . . . . 260認証局からの個人証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . 261自己署名証明書の作成と抽出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262SSL アクセスの使用可能化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

SSL アクセスのための IBM z/OS および OS/390 セキュリティー・サーバーの構成 . . . . . . . . . . . 265セキュリティー・オプションのセットアップ . . . . . . . . . . . . . . . . . . . . . . . 266鍵データベース・ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

SSL アクセスのための Microsoft Active Directory の構成 . . . . . . . . . . . . . . . . . . . . 268Active Directory サーバー上の証明書のエクスポート . . . . . . . . . . . . . . . . . . . . 268LDAP クライアント・システムへの証明書のインポート . . . . . . . . . . . . . . . . . . . 269SSL アクセスのテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

SSL アクセスのための Novell eDirectory サーバーの構成. . . . . . . . . . . . . . . . . . . . 270組織の認証局オブジェクトの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 271自己署名証明書の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272LDAP サーバー用のサーバー証明書の作成 . . . . . . . . . . . . . . . . . . . . . . . 272SSL の使用可能化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273IBM 鍵ファイルへの自己署名 CA 証明書の追加 . . . . . . . . . . . . . . . . . . . . . 273

SSL アクセスのための Sun ONE Directory Server の構成 . . . . . . . . . . . . . . . . . . . 274サーバー証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274サーバー証明書のインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . 276SSL アクセスの使用可能化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

SSL アクセスのための IBM Tivoli Directory Client の構成 . . . . . . . . . . . . . . . . . . . 278鍵データベース・ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 278署名者証明書の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279SSL アクセスのテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280

LDAP サーバーおよびクライアント認証の構成 . . . . . . . . . . . . . . . . . . . . . . . 281鍵データベース・ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 281認証局からの個人証明書の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . 282自己署名証明書の作成と抽出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283署名者証明書の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284SSL アクセスのテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

第 18 章 AIX: スタンバイ policy server のセットアップ . . . . . . . . . . . . . . 287プリインストール要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289HACMP 環境のシナリオ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

HACMP の構成の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293スタンバイ policy server 環境の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 300スクリプト: 主システムとスタンバイ・システムの両方に対する UID の設定 . . . . . . . . . . . . 305スクリプト: 主システムのファイルとディレクトリーのリンク . . . . . . . . . . . . . . . . . 307例: 主サーバーのディレクトリー、ソフト・リンク、アクセス許可の確認 . . . . . . . . . . . . . 308スクリプト: AIX システム・ファイルからスタンバイ・システム上の共用ディレクトリーへのリンク . . . . 310例: スタンバイ・サーバーのディレクトリー、ソフト・リンク、アクセス許可の確認 . . . . . . . . . 311

第 19 章 Tivoli Access Manager ユーティリティー . . . . . . . . . . . . . . . . 313amwpmcfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314ivrgy_tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317pdbackup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319pdconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328pdjrtecfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329pd_start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

第 20 章応答ファイルの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 335応答ファイル・テンプレート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336

目次 vii

特記事項. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345OpenSSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347XML Parser Toolkit License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349Pluggable Authentication Module License. . . . . . . . . . . . . . . . . . . . . . . . . . 350Apache Axis Servlet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350JArgs command line option parsing suite for Java . . . . . . . . . . . . . . . . . . . . . . . 351Java DOM implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352Alfalfa Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353InfoZip. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354gSOAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355Apache Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356商標 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356

用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367

viii IBM Tivoli Access Manager: Base インストール・ガイド

まえがき

IBM® Tivoli® Access Manager (Tivoli Access Manager) は、Access Manager 製品スイートのアプリケーションを実行するために必要なベース・ソフトウェアです。このソフトウェアによって、広範囲の許可および管理ソリューションを提供するAccess Manager アプリケーションを統合できます。統合ソリューションとして購入すれば、これらの製品は、e-business アプリケーションのネットワークとアプリケーションのセキュリティー・ポリシーを集中管理するアクセス・コントロール管理ソリューションを提供します。

注: IBM Tivoli Access Manager は、以前のリリースでは Tivoli SecureWay® Policy

Director と呼ばれていたソフトウェアの新しい名前です。また、Tivoli

SecureWay Policy Director のソフトウェアと資料で使用されていた「管理サーバー」は、現在、「ポリシー・サーバー」と呼ばれています。

「IBM Tivoli Access Manager Base インストール・ガイド」は、Tivoli Access

Manager Base ソフトウェアをインストールおよび構成する方法を説明します。

本書の対象読者本書は、IBM Tivoli Access Manager のインストールとデプロイメントを担当するシステム管理者を対象にしています。

本書の読者には、以下の知識が必要です。

v PC および UNIX® オペレーティング・システム

v データベースのアーキテクチャーと概念

v セキュリティー管理

v HTTP、TCP/IP、ファイル転送プロトコル (FTP)、Telnet などのインターネット・プロトコル

v Lightweight Directory Access Protocol (LDAP) とディレクトリー・サービス

v 認証と許可

Secure Sockets Layer (SSL) 通信を使用可能にする場合は、 SSL プロトコル、鍵交換 (公開鍵と秘密鍵)、ディジタル・シグニチャー、暗号アルゴリズム、および認証局についての知識も必要です。

本書の内容『第 1 部インストールの計画』には、次の章があります。

v 3ページの『第 1 章インストールの概要』

インストール・ウィザードまたはネイティブのインストール・ユーティリティーを使用して Tivoli Access Manager ソフトウェアをインストールする概要を説明します。

v 19ページの『第 2 章システム要件』

© Copyright IBM Corp. 2001, 2003 ix

Tivoli Access Manager ソフトウェアを正常にインストールするために必要なソフトウェアおよびハードウェア要件をリストします。

v 33ページの『第 3 章国際化対応』

Tivoli Access Manager を英語以外の環境で使用可能にするための言語パッケージのインストール方法を説明します。

『第 2 部 Base システムのインストール』には、次の章があります。

v 47ページの『第 4 章レジストリー・サーバーのセットアップ』

サポートされているレジストリーを Tivoli Access Manager で使用するためにセットアップして構成する方法を説明します。

5 章から 11 章では、Tivoli Access Manager コンポーネントをインストールして構成する方法、および Tivoli Access Manager Base システムをセットアップするための前提条件となる製品について説明します。インストール・ウィザードとネイティブのコマンド行ユーティリティーの両方について説明します。

v 97ページの『第 5 章 Policy Server のセットアップ』

v 107ページの『第 6 章 Authorization server のセットアップ』

v 115ページの『第 7 章開発 (ADK) システムのセットアップ』

v 123ページの『第 8 章 Java Runtime Environment システムのセットアップ』

v 131ページの『第 9 章 Policy Proxy Server のセットアップ』

v 139ページの『第 10 章 Runtime システムのセットアップ』

v 147ページの『第 11 章 Web Portal Manager システムのセットアップ』

『第 3 部参照情報』には、次の章があります。

v 165ページの『第 12 章前提条件製品のインストール』

特定の Tivoli Access Manager システムで必要な前提条件の製品をインストールする方法を説明します。製品には Global Security Kit (GSKit)、IBM Tivoli

Directory Client、IBM JRE、IBM WebSphere Application Server、および IBM

Tivoli Directory Server Web Administration Tool が含まれます。

v 199ページの『第 13 章コンポーネントのアンインストール』

前提条件の製品と Tivoli Access Manager パッケージを構成解除および除去する方法を説明します。

v 205ページの『第 14 章インストール・ウィザードのシナリオ』

インストール・ウィザードを使用するときにプロンプト表示させるオプションを構成するシナリオと説明を提供します。

v 227ページの『第 15 章インストール・ウィザードのオプション』

インストール・ウィザードを使用して Tivoli Access Manager を構成するときにプロンプト表示される構成オプションについて説明します。

v 249ページの『第 16 章 pdconfig オプション』

pdconfig ユーティリティーを使用して Tivoli Access Manager を構成するときにプロンプト表示される構成オプションについて説明します。

v 259ページの『第 17 章 Secure Sockets Layer の使用可能化』

レジストリー・サーバーと IBM Tivoli Directory Client との間のセキュア通信のために SSL データ暗号化を使用可能にする方法について説明します。

x IBM Tivoli Access Manager: Base インストール・ガイド

v 287ページの『第 18 章 AIX: スタンバイ policy server のセットアップ』

システム障害のときにスタンバイ policy server をセットアップする方法を説明します (AIX® の場合のみ)。この機能には High Availability Cluster Multiprocessing

(HACMP) ソフトウェアを含む追加のソフトウェアおよびハードウェアが必要です。

v 313ページの『第 19 章 Tivoli Access Manager ユーティリティー』

Tivoli Access Manager システムをセットアップするときに使用される構成ユーティリティーについての参照情報を提供します。

v 335ページの『第 20 章応答ファイルの使用』

複数のマシンに複数の製品を同時にインストールするための応答ファイルの使用法を説明します。

資料Tivoli Access Manager ライブラリー、前提資料、および関連資料の説明を検討して、どの資料が役立つかを判断してください。

IBM Tivoli Access Manager for e-business 製品自体の追加情報については、次を参照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

Tivoli Access Manager ライブラリーは、以下のカテゴリーに編成されています。

v 『リリース情報』

v 『基本情報』

v xiiページの『Web セキュリティー情報』

v xiiページの『開発者の参照情報』

v xiiiページの『技術上の補足情報』

リリース情報v IBM Tivoli Access Manager for e-business はじめにお読みください (GI11-4155-00)

Tivoli Access Manager のインストールと使用に関する入門編の説明があります。

v IBM Tivoli Access Manager for e-business リリース情報 (GI11-4156-00)

ソフトウェアの制限、問題の回避、および資料の更新などの最新情報が記載されています。

基本情報v IBM Tivoli Access Manager Base インストール・ガイド (SC32-1362-00)

Web Portal Manager インターフェースを含む、Tivoli Access Manager ベース・ソフトウェアのインストールおよび構成の方法を説明します。本書は、「IBM Tivoli

Access Manager for e-business Web Security インストール・ガイド」のサブセットであり、IBM Tivoli Access Manager for Business Integration や IBM Tivoli

Access Manager for Operating Systems など、他の Tivoli Access Manager 製品との併用を対象としています。

v IBM Tivoli Access Manager Base 管理者ガイド (SC32-1360-00)

まえがき xi

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

Tivoli Access Manager サービスの概念と使用手順についての説明があります。Web Portal Manager インターフェースから、および pdadmin コマンドを使用して、タスクを実行するための説明が記載されています。

Web セキュリティー情報v IBM Tivoli Access Manager for e-business Web Security インストール・ガイド

(SC32-1361-00)

Tivoli Access Manager ベース・ソフトウェアと Web Security コンポーネントのインストール、構成、および除去について説明します。この資料は、「IBM Tivoli

Access Manager Base インストール・ガイド」のスーパーセットです。

v IBM Tivoli Access Manager for e-business WebSEAL 管理者ガイド (SC32-1359-00)

WebSEAL を使用してユーザーのセキュア Web ドメインのリソースを管理する場合の参考資料、管理手順、および技術参照情報が記載されています。

v IBM Tivoli Access Manager for e-business IBM WebSphere Application Server 統合ガイド (SC32-1368-00)

Tivoli Access Manager を IBM WebSphere® Application Server に統合する際のインストール、除去、および管理について説明します。

v IBM Tivoli Access Manager for e-business Plug-in for IBM WebSphere Edge Server

統合ガイド (SC32-1367-00)

Tivoli Access Manager を IBM WebSphere Edge Server アプリケーションに統合する際のインストール、除去、および管理について説明します。

v IBM Tivoli Access Manager for e-business Plug-in for Web Servers 統合ガイド(SC32-1365-00)

Web サーバー用プラグインを使用して Web ドメインを保護する際のインストールの説明、管理手順、およびテクニカル・リファレンス情報が記載されています。

v IBM Tivoli Access Manager for e-business BEA WebLogic Server 統合ガイド(SC32-1366-00)

Tivoli Access Manager を BEA WebLogic Server に統合する際のインストール、除去、および管理について説明します。

v IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager プロビジョニング・ファースト・スタート・ガイド (SC32-1364-00)

Tivoli Access Manager と Tivoli Identity Manager の統合に関連するタスクの概要と、プロビジョニング・ファースト・スタート (Provisioning Fast Start) コレクションの使用方法およびインストール方法を説明します。

開発者の参照情報v IBM Tivoli Access Manager for e-business Authorization C API デベロッパーズ・リファレンス (SC32-1355-00)

Tivoli Access Manager Authorization C API および Tivoli Access Manager サービス・プラグイン・インターフェースを使用して Tivoli Access Manager セキュリティーをアプリケーションに追加する方法を説明した参照情報を記載しています。

xii IBM Tivoli Access Manager: Base インストール・ガイド

v IBM Tivoli Access Manager for e-business Authorization Java Classes デベロッパーズ・リファレンス (SC32-1350-00)

Authorization API の Java™ 言語インプリメンテーションを使用して、アプリケーションが Tivoli Access Manager セキュリティーを使用できるようにするための参照情報が記載されています。

v IBM Tivoli Access Manager for e-business Administration C API デベロッパーズ・リファレンス (SC32-1357-00)

Administration API を使用して、アプリケーションが Tivoli Access Manager 管理タスクを実行できるようにするための参照情報が記載されています。この資料には、Administration API の C インプリメンテーションについての説明があります。

v IBM Tivoli Access Manager for e-business Administration Java Classes デベロッパーズ・リファレンス (SC32-1356-00)

Administration API の Java 言語インプリメンテーションを使用して、アプリケーションが Tivoli Access Manager 管理タスクを実行できるようにするための参照情報が記載されています。

v IBM Tivoli Access Manager for e-business Web Security デベロッパーズ・リファレンス (SC32-1358-00)

クロスドメイン認証サービス (CDAS)、クロスドメイン・マッピング・フレームワーク (CDMF)、およびパスワード・ストレングス・モジュールに関する管理情報およびプログラミング情報を提供します。

技術上の補足情報v IBM Tivoli Access Manager for e-business コマンド・リファレンス

(SC32-1354-00)

Tivoli Access Manager で用意されているコマンド行ユーティリティーとスクリプトについての説明があります。

v IBM Tivoli Access Manager エラー・メッセージ・リファレンス (SC32-1353-00)

Tivoli Access Manager から出されるメッセージについての説明および推奨処置が記載されています。

v IBM Tivoli Access Manager for e-business 問題判別ガイド (SC32-1352-00)

Tivoli Access Manager の問題判別についての説明が記載されています。

v IBM Tivoli Access Manager for e-business パフォーマンス・チューニング・ガイド (SC32-1351-00)

Tivoli Access Manager と、ユーザー・レジストリーとしての IBM Tivoli

Directory Server から構成される環境での、パフォーマンス・チューニングに関する情報が記載されています。

関連資料この節には、Tivoli Access Manager ライブラリーに関連する資料の一覧があります。

まえがき xiii

Tivoli Software Library には、白書、データ・シート、デモンストレーション、レッドブック、および発表レターなど、各種の Tivoli 資料が用意されています。Tivoli

Software Library は、Web 上の http://www.ibm.com/software/tivoli/library/ で使用可能です。

Tivoli Software Glossary には、Tivoli ソフトウェアに関連した数多くの技術用語の定義が記載されています。 Tivoli Software Glossary は、Tivoli Software Library

Web ページ http://www.ibm.com/software/tivoli/library/ の左側にある「Glossary」リンクから入手することができます。

IBM Global Security KitTivoli Access Manager は、IBM Global Security Kit (GSKit) バージョン 7 を使用してデータを暗号化します。GSKit は、サポートされるプラットフォームの IBM

Tivoli Access Manager Base CD、IBM Tivoli Access Manager Web Administration

Interfaces CD、および IBM Tivoli Access Manager Directory Server CD に含まれます。

GSKit パッケージが提供する iKeyman 鍵管理ユーティリティー gsk7ikm は、鍵データベース、公開鍵と秘密鍵のペア、および証明書要求を作成するために使用します。次の資料は、Tivoli Information Center Web サイトの、IBM Tivoli Access

Manager 製品資料と同じ節にあります。

v IBM Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド (SC32-1363-00)

Tivoli Access Manager 環境で SSL 通信を可能にすることを計画している、ネットワークまたはシステムのセキュリティー管理者用の情報を記載しています。

IBM Tivoli Directory ServerIBM Tivoli Directory Server バージョン 5.2 は、使用するオペレーティング・システムの IBM Tivoli Access Manager Directory Server CD に含まれています。

注: IBM Tivoli Directory Server は、以下の名称で以前にリリースされたソフトウェアの新しい名称です。

v IBM Directory Server (バージョン 4.1 およびバージョン 5.1)

v IBM SecureWay Directory Server (バージョン 3.2.2)

IBM Directory Server バージョン 4.1、IBM Directory Server バージョン 5.1、および IBM Tivoli Directory Server バージョン 5.2 はすべて、IBM Tivoli Access

Manager バージョン 5.1 でサポートされます。

IBM Tivoli Directory Server の追加情報については、次を参照してください。

http://www.ibm.com/software/network/directory/library/

IBM DB2 Universal DatabaseIBM DB2® Universal Database™ Enterprise Server Edition バージョン 8.1 は、IBM

Tivoli Access Manager Directory Server CD で提供され、IBM Tivoli Directory

Server ソフトウェアと一緒にインストールされます。DB2 は、Tivoli Access

Manager のユーザー・レジストリーとして IBM Tivoli Directory Server、z/OS™ または OS/390® の LDAP サーバーを使用する場合に必要です。

xiv IBM Tivoli Access Manager: Base インストール・ガイド

http://www.ibm.com/software/tivoli/library/

http://www.ibm.com/software/tivoli/library/


DB2 の追加情報については、次を参照してください。

http://www.ibm.com/software/data/db2/

IBM WebSphere Application ServerIBM WebSphere Application Server バージョン 5.0.2 は該当するオペレーティング・システム用の IBM Tivoli Access Manager Web Administration Interfaces CD に含まれます。WebSphere Application Server により、Web Portal Manager インターフェースおよび IBM Tivoli Directory Server Web Administration Tool のサポートが使用可能になります。

IBM WebSphere Application Server の追加情報については、次を参照してください。

http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business IntegrationIBM Tivoli Access Manager for Business Integration は、単体でご注文いただける製品であり、IBM MQSeries® バージョン 5.2、および IBM WebSphere MQ バージョン 5.3 メッセージのセキュリティー・ソリューションを提供します。IBM Tivoli

Access Manager for Business Integration を使用すると、WebSphere MQSeries アプリケーションは、送信アプリケーションおよび受信アプリケーションに関連した鍵を使用して、プライバシーと保全性を守る方法でデータを送ることができます。WebSEAL および IBM Tivoli Access Manager for Operating Systems と同様に、IBM Tivoli Access Manager for Business Integration は、IBM Tivoli Access Manager

のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Business Integration の追加情報については、次を参照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/

IBM Tivoli Access Manager for Business Integration バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトから入手できます。

v IBM Tivoli Access Manager for Business Integration 管理者ガイド (SC88-9495-00)

v IBM Tivoli Access Manager for Business Integration 問題判別ガイド(GC88-9824-00)

v IBM Tivoli Access Manager for Business Integration リリース情報 (GI88-8614-00)

v IBM Tivoli Access Manager for Business Integration はじめにお読みください(GI88-8646-00)

IBM Tivoli Access Manager for WebSphere BusinessIntegration BrokersIBM Tivoli Access Manager for Business Integration の一部として入手できる IBM

Tivoli Access Manager for WebSphere Business Integration Brokers は、WebSphere

Business Integration Message Broker バージョン 5.0 および WebSphere Business

Integration Event Broker バージョン 5.0 のセキュリティー・ソリューションを提供します。IBM Tivoli Access Manager for WebSphere Business Integration Brokers はTivoli Access Manager と連携して作動し、パスワードと証明書ベースの認証、中央

まえがき xv

http://www.ibm.com/software/data/db2/



定義の許可、および監査サービスを提供することによって JMS パブリッシュ/サブスクライブ・アプリケーションを保護します。

IBM Tivoli Access Manager for WebSphere Integration Brokers の追加情報については、次を参照してください。


IBM Tivoli Access Manager for WebSphere Integration Brokers バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトから入手できます。

v IBM Tivoli Access Manager for WebSphere Business Integration Brokers 管理ガイド (SC88-9825-00)

v IBM Tivoli Access Manager for WebSphere Business Integration Brokers リリース情報 (GI88-8645-00)

v IBM Tivoli Access Manager for Business Integration はじめにお読みください(GI88-8646-00)

IBM Tivoli Access Manager for Operating SystemsIBM Tivoli Access Manager for Operating Systems は、単体でご注文いただける製品であり、ネイティブのオペレーティング・システムで提供されているものに加えて、UNIX システムでの許可ポリシー実施のための 1 つの層を提供します。WebSEAL および IBM Tivoli Access Manager for Business Integration と同様に、IBM Tivoli Access Manager for Operating Systems は、IBM Tivoli Access Manager

のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Operating Systems の追加情報については、次を参照してください。

http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/

IBM Tivoli Access Manager for Operating Systems バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトから入手できます。

v IBM Tivoli Access Manager for Operating Systems インストール・ガイド(SC88-9494-00)

v IBM Tivoli Access Manager for Operating Systems 管理者ガイド (SC88-9492-00)

v IBM Tivoli Access Manager for Operating Systems 問題判別ガイド (SC88-9493-00)

v IBM Tivoli Access Manager for Operating Systems リリース情報 (GI88-8613-00)

v IBM Tivoli Access Manager for Operating Systems 最初にお読みください(GI88-8611-00)

IBM Tivoli Identity ManagerIBM Tivoli Identity Manager バージョン 4.5 は単体でご注文いただける製品であり、ユーザー (ユーザー ID およびパスワードなど) およびプロビジョニング (すなわち、アプリケーション、リソース、またはオペレーティング・システムへのアクセス権の提供または取り消し) の集中管理を可能にします。Tivoli Identity Manager

は、Tivoli Access Manager Agent を使用して Tivoli Access Manager と統合できます。Agent のご購入について詳しくは、IBM 営業担当者にお問い合わせください。

IBM Tivoli Identity Manager の追加情報については、次を参照してください。

xvi IBM Tivoli Access Manager: Base インストール・ガイド


http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/

http://www.ibm.com/software/tivoli/products/identity-mgr/

アクセシビリティーアクセシビリティー機能は、運動障害や視覚障害などの障害を持つユーザーがソフトウェア・プロダクトを快適に使用できるようにサポートします。これらの製品を使用することにより、インターフェースを耳で聴いて確認したり、ナビゲートしたりするための支援テクノロジーをご利用いただけます。また、グラフィカル・ユーザー・インターフェースのすべての機能は、マウスを使用しなくてもキーボードから操作できるようになっています。

ソフトウェア・サポートへの連絡IBM 営業担当員にお問い合わせください。

本書の規則本書では、特別な用語とアクションに関して、およびオペレーティング・システムに依存するコマンドおよびパスに関して、いくつかの規則を使用しています。

書体規則本書では、以下の書体規則を使用しています。

太字周囲にあるテキスト、キーワード、パラメーター、オプション、Java クラスやオブジェクトの名前との区別が難しい小文字コマンドまたは大文字小文字混合コマンドは太字で示されます。

イタリック変数、資料のタイトル、および強調される特殊な用語または句はイタリックで示されます。

モノスペースコード例、コマンド行、画面出力、周囲にあるテキストとの区別が難しいファイル名およびディレクトリー名、システム・メッセージ、ユーザーの入力が必要なテキスト、引き数またはコマンド・オプションの値はモノスペースで示されます。

オペレーティング・システム間の違い本書では、環境変数の指定およびディレクトリー表記について UNIX 規則を使用します。Windows コマンド行を使用するときは、環境変数の場合は $variable を%variable% に置き換え、ディレクトリー・パスの場合はスラッシュ (/) を円記号(¥) に置き換えてください。Windows システムで bash シェルを使用している場合は、UNIX 規則を使用できます。

まえがき xvii

http://www.ibm.com/software/tivoli/products/identity-mgr/

xviii IBM Tivoli Access Manager: Base インストール・ガイド

第 1 部インストールの計画第 1 章インストールの概要 . . . . . . . . . 3デプロイメントの計画 . . . . . . . . . . . 4セキュア・ドメインの概要 . . . . . . . . . . 5Tivoli Access Manager インストール・コンポーネント 6

Tivoli Access Manager Base コンポーネント . . . 6Access Manager Application Development Kit . . 6Access Manager Authorization Server. . . . . 6Access Manager Java Runtime Environment . . 6Access Manager Policy Proxy Server . . . . . 7Access Manager Policy Server . . . . . . . 7Access Manager Runtime . . . . . . . . 7Access Manager Web Portal Manager . . . . 8プロビジョニング・ファースト・スタート(Provisioning Fast Start) . . . . . . . . . 8

前提条件製品 . . . . . . . . . . . . . 9IBM Global Security Kit. . . . . . . . . 9IBM Java Runtime Environment (JRE) . . . . 9IBM Tivoli Directory Client . . . . . . . 9IBM Tivoli Directory Server . . . . . . . 9IBM Tivoli Directory Server WebAdministration Tool . . . . . . . . . . 10IBM WebSphere Application Server . . . . . 10

Tivoli Access Manager システムのタイプ . . . . 11インストール方法 . . . . . . . . . . . . 16インストール・ウィザード . . . . . . . . 16ネイティブ・インストール・ユーティリティー . 17

インストール・プロセス . . . . . . . . . . 18

第 2 章システム要件. . . . . . . . . . . 19サポートされるレジストリー . . . . . . . . 19

IBM Tivoli Directory Server . . . . . . . . 19IBM Tivoli Directory Server WebAdministration Tool . . . . . . . . . . 20

IBM Security Server for OS/390 . . . . . . . 22IBM z/OS Security Server LDAP サーバー . . . 22Lotus Domino . . . . . . . . . . . . . 22Microsoft Active Directory . . . . . . . . . 22Netscape iPlanet および Sun ONE Directory Server 23Novell eDirectory. . . . . . . . . . . . 23

ディスク・スペースおよびメモリー所要量 . . . . 24サポートされるプラットフォーム (必須パッチを含む) . . . . . . . . . . . . . . . . . 26後方互換性 . . . . . . . . . . . . . . 30ハードウェア・アクセラレーション・カードのサポート . . . . . . . . . . . . . . . . . 31

第 3 章国際化対応 . . . . . . . . . . . 33言語サポートの概要 . . . . . . . . . . . 34言語サポート・パッケージのインストール . . . . 35IBM Tivoli Directory Server 用の言語パッケージのインストール . . . . . . . . . . . . . . 37

言語サポート・パッケージのアンインストール . . 39ロケール環境変数 . . . . . . . . . . . . 39

UNIX システムの LANG 変数 . . . . . . . 40Windows システムの LANG 変数 . . . . . . 40ロケール・バリアントの使用 . . . . . . . 41

メッセージ・カタログ . . . . . . . . . . . 42テキスト・エンコード方式 (コード・セット) のサポート . . . . . . . . . . . . . . . . . 43コード・セット・ファイルの場所 . . . . . . 43

© Copyright IBM Corp. 2001, 2003 1

2 IBM Tivoli Access Manager: Base インストール・ガイド

第 1 章インストールの概要

デプロイメント計画を作成した後、ご使用の分散環境のシステムに Tivoli Access

Manager ソフトウェアをインストールできます。

注: 既知の問題や制限なども含め、最新のリリース情報については、「IBM Tivoli

Access Manager for e-business リリース情報」を参照してください。

この章には、以下の節があります。

v 4ページの『デプロイメントの計画』

v 5ページの『セキュア・ドメインの概要』

v 6ページの『Tivoli Access Manager インストール・コンポーネント』

v 11ページの『Tivoli Access Manager システムのタイプ』

v 16ページの『インストール方法』

v 18ページの『インストール・プロセス』


デプロイメントの計画特定の Tivoli Access Manager ソリューションをインプリメントする前に、ネットワークに必要な特定のセキュリティーおよび管理機能を判別する必要があります。

Tivoli Access Manager セキュリティー環境のデプロイメントを計画する際の最初のステップは、ご使用のコンピューティング環境でのセキュリティー要件の定義です。セキュリティー要件の定義とは、ユーザー、プログラム、およびデータに適用しなければならないビジネス・ポリシーの定義ということです。このステップには、以下の定義が含まれます。

v 保護されるオブジェクト

v 各オブジェクトで許可されているアクション

v アクションの実行を許可されているユーザー

セキュリティー・ポリシーを実施するには、ご使用のネットワーク接続形態でのアクセス要求の流れを理解していなければなりません。これには、ファイアウォール、ルーター、およびサブネットの適切な役割および位置を識別することも含まれます。Tivoli Access Manager セキュリティー環境のデプロイメントでは、ユーザーのアクセス要求を評価し、要求されたアクセスを認可または拒否するソフトウェアをインストールするための、ネットワーク内の最適な位置を識別することも必要です。

セキュリティー・ポリシーのインプリメンテーションでは、ご使用のネットワークが処理する必要のあるユーザーおよびデータの量と、スループットを理解することが必要です。さらに、パフォーマンスの特性、スケーラビリティー、およびフェイルオーバー機能の必要性を評価しなければなりません。Tivoli Access Manager ソフトウェアへのレガシー・ソフトウェア、データベース、およびアプリケーションの組み込みも考慮しなければなりません。

デプロイしたい機能について理解したら、どの Tivoli Access Manager システムおよびブレードを組み合わせれば、セキュリティー・ポリシーを最も適切にインプリメントできるかを決定できます。

実際のビジネス・シナリオも含む有用な計画資料については、以下の Web サイトの補足製品情報を参照してください。

http://www.ibm.com/redbooks/

http://www.ibm.com/software/sysmgmt/products/support/Field_Guides.html

インストールの概要


http://www.ibm.com/redbooks

http://www.ibm.com/software/sysmgmt/products/support/Field_Guides.html

セキュア・ドメインの概要Tivoli Access Manager が認証、許可、およびアクセス・コントロールに関するセキュリティー・ポリシーを実施するセキュア・コンピューティング環境は、セキュア・ドメインと呼ばれます。初期のセキュア・ドメインは、管理ドメインと呼ばれ、以下のシステムをインストールおよび構成するときに作成されます。

Policy Server管理ドメイン用のマスター許可データベースを維持します。さらに、許可データベース・レプリカを更新して、他の Tivoli Access Manager サーバーに関するロケーション情報を維持します。

レジストリーTivoli Access Manager に既知のユーザー ID のデータベースを提供します。また、ユーザーに関連する Tivoli Access Manager 役割のグループを表します。

これらのコア・システムは、Tivoli Access Manager が基本的な操作、たとえば保護されたオブジェクト (リソース) へのユーザー・アクセスの許可または拒否などを実行するために存在しなければなりません。それ以外のすべての Tivoli Access

Manager サービスおよびコンポーネントは、この基礎の上に構築されます。

Tivoli Access Manager は、複数のシステムにデプロイできるだけでなく、管理ドメインを構成および使用するために必要なすべてのソフトウェアを 1 つのスタンドアロン・システムにインストールすることもできます。単一システム・セットアップは、デプロイメントのプロトタイピングや、アプリケーションの開発やテストをする場合のみ役立ちます。

Policy server およびレジストリー・サーバーを構成した後、Authorization server またはアプリケーション開発システムのような追加のシステムを、管理ドメインにセットアップできます。また、追加のセキュア・ドメインを作成することもできます(LDAP レジストリーを使用している場合)。すなわち、分離された論理グループに、データを安全に区分できます。複数ドメインの作成について詳しくは、「IBM Tivoli

Access Manager Base 管理者ガイド」を参照してください。


第 1 章インストールの概要 5

Tivoli Access Manager インストール・コンポーネントこの節では、一般にすべての Tivoli Access Manager インストールに共通した Tivoli

Access Manager Base および前提条件のコンポーネントを紹介します。これらのインストール・コンポーネントを使用して、 11ページの『Tivoli Access Manager システムのタイプ』にリストされている Tivoli Access Manager システムをセットアップしてください。

この節には、以下の内容が含まれます。

v 『Tivoli Access Manager Base コンポーネント』

v 9ページの『前提条件製品』

Tivoli Access Manager Base コンポーネントTivoli Access Manager Base には、以下のインストール・コンポーネントが含まれます。これらのコンポーネントは、サポートされるプラットフォーム用の IBM Tivoli

Access Manager Base CD に含まれて出荷されます。ただし、Web Portal Manager

コンポーネントは、IBM Tivoli Access Manager Web Administration Interfaces CD に含まれて出荷されます。これらのコンポーネントを使用して、 11ページの『Tivoli

Access Manager システムのタイプ』にリストされている Base システムをセットアップしてください。

Access Manager Application Development KitAccess Manager Application Development Kit は、許可判断のために Authorization

Server を照会するサード・パーティー・アプリケーションをコーディングできる開発環境を提供します。このキットには、許可機能や管理機能における、C API および Java™ クラスの両方を使用するためのサポートが含まれています。Java プログラムを実行したり、独自の Java プログラムをコンパイルして実行するには、Java

Runtime Environment システムをインストールして構成する必要があります。

Access Manager Authorization ServerAccess Manager authorization server により、Tivoli Access Manager Authorization

API をリモート・キャッシュ・モードで使用するサード・パーティー製のアプリケーションは、Authorization server へアクセスできます。Authorization server は、ロギングおよび監査コレクション・サーバーとしても作動し、サーバー・アクティビティーのレコードを保管します。

Access Manager Java Runtime EnvironmentAccess Manager Java Runtime Environment は、Tivoli Access Manager セキュア・ドメインに Java アプリケーションを開発および配置するための、信頼できる環境を提供します。これを使用して、新規または既存の Java アプリケーションに Tivoli

Access Manager の許可サービスとセキュリティー・サービスを追加できます。

システム上で正しい JRE を使用するには、pdjrtecfg コマンドを使用して、このコンポーネントを構成します。必要に応じて、同じシステム上の複数の異なる JRE にこのコンポーネントを構成することもできます。

Web Portal Manager インターフェースをインストールする計画の場合は、このコンポーネントが必要であることに注意してください。また、Tivoli Access Manager

Java Runtime Environment クラスを使用する開発者も、Access Manager Application



Development Kit コンポーネントを必要とします。詳しくは、「IBM Tivoli Access

Manager for e-business Administration Java Classes デベロッパーズ・リファレンス」および「IBM Tivoli Access Manager for e-business Authorization Java Classes デベロッパーズ・リファレンス」を参照してください。

Access Manager Policy Proxy ServerAccess Manager Policy Proxy Server を使用してプロキシー・サーバーをセットアップします。プロキシー・サーバーは、信頼性の低いネットワークと信頼性の高いネットワークの中継として稼働します。このサーバーは確実なセキュリティーを実現し、管理コントロールおよびキャッシング・サービスを提供します。これは、エンタープライズ・ネットワークを外部のネットワークから分離するゲートウェイ・サーバー、およびエンタープライズ・ネットワークを外部からの侵入から保護するファイアウォール・サーバーに関連しているか、またはその一部です。Tivoli Access

Manager 環境では、プロキシー・サーバーは、指定された数の許可アプリケーションおよび pdadmin コマンドのような管理機能に対して、policy server の代わりに稼働します。

Access Manager Policy ServerAccess Manager Policy Server は、管理ドメインのマスター許可データベースだけでなく、作成する可能性のある他のセキュア・ドメインに関連するポリシー・データベースも維持します。このサーバーは、アクセス・コントロール、認証、および許可要求の処理において重要な役割を果たします。また、許可データベース・レプリカを更新したり、他の Tivoli Access Manager サーバーに関するロケーション情報の維持も行います。

オプションで、システム障害や計画外の停止が発生した場合に、policy server 機能を引き継ぐスタンバイ・サーバーを構成することができます。Policy server が停止すると、1 次 policy server が本来の役割を果たせるようになるまで、スタンバイpolicy server が 1 次 policy server として稼働します。1 次 policy server が復帰すると、スタンバイ policy server はスタンバイの役割に戻ります。常に、唯一のアクティブな policy server とポリシー・データベースの唯一の共有コピーがあります。

Tivoli Access Manager では、サポートされる AIX プラットフォームでスタンバイpolicy server を使用できます。さらに、スタンバイ policy server をデプロイするには、HACMP (High Availability Cluster Multiprocessing) ソフトウェアをインストールして構成する必要があります。 HACMP は、ビジネス上重要なデータやアプリケーションへの高可用性アクセスを、予備のコンポーネントおよびアプリケーション・フェイルオーバーによって提供するクラスタリング・ソリューションです。

Access Manager RuntimeAccess Manager Runtime には、アプリケーションで Tivoli Access Manager サーバーにアクセスするために使用できるランタイム・ライブラリーとサポートするファイルが含まれています。

Web Portal Manager および Java Runtime Environment システム以外で、Tivoli

Access Manager を実行する各システムに、Access Manager Runtime コンポーネントをインストールして構成する必要があります。



Access Manager Web Portal ManagerAccess Manager Web Portal Manager は、Tivoli Access Manager 管理に使用されるWeb ベースのグラフィカル・ユーザー・インターフェース (GUI) です。pdadminコマンド行インターフェースと同じように、この GUI を使用して、ユーザー、グループ、役割、許可、ポリシー、およびその他の Tivoli Access Manager タスクを管理できます。重要な利点は、これらのタスクをリモート側で、特殊なネットワーク構成なしに行えることです。

また、Web Portal Manager インターフェースには一連の代行管理サービスが組み込まれており、ユーザー管理、グループと役割の管理、セキュリティー管理、およびアプリケーション・アクセス・プロビジョニングをビジネス・システム内の参加プログラム (サブドメイン) に代行させることができます。これらのサブドメインでは、さらに制御下のトラステッド・サブドメインに管理を代行させることができます。

このコンポーネントは、IBM Tivoli Access Manager Web Administration Interfaces

CD 上で個別に提供されます。Web Portal Manager インターフェースでサポートされるブラウザーは以下のとおりです。

v Netscape Navigator 4.7x および 7.0

v Microsoft Internet Explorer 5.5 および 6.0

プロビジョニング・ファースト・スタート (Provisioning FastStart)プロビジョニング・ファースト・スタート (Provisioning Fast Start) インストーラーは、AIX および Windows プラットフォーム用の Tivoli Access Manager Base CD

で提供されます。このインストーラーを使用して、Tivoli Access Manager と Tivoli

Identity Manager (個別にオーダーできる IBM 製品) を統合するために役立つユーティリティーであるプロビジョニング・ファースト・スタート (Provisioning Fast

Start) コレクションをインストールできます。これらのユーティリティーでサポートされるタスクには、以下のものがあります。

v Tivoli Identity Manager サーバーへの Tivoli Access Manager サービスとプロビジョニング・ポリシーの作成

v WebSEAL シングル・サインオンとともに使用する Tivoli Identity Manager の構成

v Tivoli Identity Manager でのユーザー・データのインポートと同期

v Tivoli Identity Manager でのユーザー管理用 Web インターフェースの作成

詳しくは、「IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager

プロビジョニング・ファースト・スタート・ガイド」を参照してください。



前提条件製品

Tivoli Access Manager には、以下の前提条件製品が含まれます。これらの製品は、Tivoli Access Manager とともに出荷され、特定の Tivoli Access Manager システムをセットアップするときに必要になります。Tivoli Access Manager システムをセットアップするために必要な必須インストール・コンポーネントのリストについては、 12ページの表 1 を参照してください。

IBM Global Security KitIBM Global Security Kit (GSKit) は、Tivoli Access Manager システムとサポートされるレジストリー・サーバーとの間で、Secure Sockets Layer (SSL) データ暗号化を行います。GSKit パッケージでは、鍵データベース、公開鍵と秘密鍵のペア、および証明書要求の作成を可能にする iKeyman 鍵管理ユーティリティー (gsk7ikm) もインストールされます。

GSKit は、その他の多くの Tivoli Access Manager コンポーネントをインストールする前にインストールする必要があります。GSKit は、Java Runtime Environment

および Web Portal Manager システム以外のすべての Tivoli Access Manager システムで必要な Access Manager Runtime コンポーネントの前提条件です。このユーティリティーを使用して、サポートされるレジストリー・サーバーで SSL を使用可能にするための詳細については、 259ページの『第 17 章 Secure Sockets Layer の使用可能化』または「IBM Global Security Kit Secure Sockets Layer の入門およびiKeyman ユーザーズ・ガイド」を参照してください。

注: OpenSSL は GSKit に含まれており、暗号操作で (OpenSSL 使用許諾契約書のとおりに) 使用されます。

IBM Java Runtime Environment (JRE)IBM JRE は、Access Manager Java Runtime Environment コンポーネント、言語サポート・パッケージをインストールする場合、または Tivoli Access Manager インストール・ウィザードを使用する場合に必要です。

IBM Tivoli Directory ClientIBM Tivoli Directory Client は、サポートされる AIX、 HP-UX、 Linux、 Solaris、Windows プラットフォーム用の IBM Tivoli Access Manager Directory Server CD でIBM Tivoli Directory Server とともに出荷されます。

IBM Tivoli Directory Client は、Tivoli Access Manager を実行する各システムにインストールする必要があります。ただし、以下の場合は例外です。

v Tivoli Access Manager システムが、Active Directory ドメインに結合された、サポートされる Windows システムである。

v Java Runtime Environment または Web Portal Manager システムをセットアップしている。

v レジストリー・サーバーとして Lotus Domino を使用している。

IBM Tivoli Directory ServerIBM Tivoli Directory Server バージョン 5.2 は、サポートされるAIX、HP-UX、Linux、Sun Solaris Operating Environment、および Windows プラットフォーム用の IBM Tivoli Access Manager Directory Server CD で出荷されます。



このサーバーは、Tivoli Access Manager レジストリー・サーバーまたは 19ページの『サポートされるレジストリー』でリストされているレジストリー・サーバーの1 つとして使用できます。この Lightweight Directory Access Protocol (LDAP) ディレクトリーは、スタンドアロン・デーモンとして実行されます。これは、LDAP サーバーへのクライアント・アクセスを提供するクライアント/サーバー・モデルに基づいています。IBM Tivoli Directory Server は、ストレージ、更新、検索、交換に関するディレクトリー情報を中央設置位置で容易に維持する方法を提供します。

IBM Tivoli Directory Server Web Administration ToolIBM Tivoli Directory Server バージョン 5.2 は、Web Administration Tool を提供します。これは個別にインストール可能な GUI で、IBM WebSphere Application

Server のようなアプリケーション・サーバーとして稼働します。Web Administration

Tool を使用して、IBM Tivoli Directory Server をローカルまたはリモートで管理できます。Web Administration コンソールを 1 つインストールすれば、バージョン4.1、5.1、および 5.2 サーバーを含む複数の IBM Tivoli Directory サーバーを管理できます。

Web Administration Tool は、IBM Tivoli Access Manager Web Administration

Interfaces CD で個別に出荷されます。サポートされるブラウザーも含めたシステム要件については、 20ページの『IBM Tivoli Directory Server Web Administration

Tool』を参照してください。

IBM WebSphere Application ServerIBM WebSphere Application Server 5.0.2 は、Web Portal Manager インターフェースおよび Web Administration Tool のインストールに使用されます。IBM WebSphere

Application Server は、サポートされるプラットフォーム用の IBM Access Manager

Web Administration Interfaces CD で出荷されます。

IBM Tivoli Directory Server バージョン 5.2 は、通常、その Web Administration

Tool とともに使用するための WebSphere Application Server、Express バージョンを提供するので注意してください。Tivoli Access Manager バージョン 5.1 では、この単純化された Web サーバー・アプリケーションは IBM WebSphere Application

Server、V5.0.2 になりました。これは、最初の Java 2 Enterprise Edition (J2EE) および Web サービスのテクノロジー・ベースのアプリケーション・プラットフォームで、動的な e-ビジネスに対して必要に応じてエンタープライズ Web サービス・ソリューションのデプロイを実現する、最初の実行可能アプリケーション・サーバーです。



Tivoli Access Manager システムのタイプ

この節では、セキュア・ドメインにセットアップできる Tivoli Access Manager Base

システムのタイプをリストします。各システム・タイプで必要なインストール・コンポーネントとサポートされるプラットフォームを説明しています。

Policy server とレジストリー・サーバーは、別のシステムにセットアップすることをお勧めします。ただし、その他のシステム・タイプはスタンドアロン・システムである必要はありません。たとえば、Web Portal Manager インターフェースをpolicy server と同じシステムにインストールすることができます。

注:

1. IBM Tivoli Directory Client バージョン 5.2 は、Tivoli Access Manager を実行する各システムにインストールする必要があります。ただし、以下の場合は例外です。



v Domino がレジストリー・サーバーである。

2. インストール・ウィザードを使用して Tivoli Access Manager システムをインストールして構成する場合、IBM JRE 1.3.1 も必要です。

3. SuSE Linux は、UnitedLinux 1.0 を基に製品を展開している 4 つのパートナー会社の 1 社です。他の 3 社は SCO Group、Turbolinux、および Conectiva です。リストで SuSE Linux Enterprise Server (SLES) がサポートされている場合、他のパートナー会社の UnitedLinux 1.0 ベースの製品も同様にサポートされます。詳しくは、次の UnitedLinux Web サイトを参照してください。

http://www.unitedlinux.com

12ページの表 1 は、Tivoli Access Manager Base システムのタイプをリストします。




表 1. Tivoli Access Manager Base システム—必要なコンポーネントとサポートされるプラットフォーム

システム・タイプインストール・コンポーネントサポートされているプラットフォーム

Authorization server v Global Security Kit バージョン 7

v IBM Tivoli Directory Client バージョン5.21

v Access Manager Runtime バージョン5.1

v Access Manager Authorization Server バージョン 5.1

v AIX 5.1.0 および 5.2.0

v HP-UX 11.0 および 11i

v Red Hat Enterprise Linux 3.0

v SuSE SLES8 for IA32

v SuSE SLES8 for S/390 and zSeries (31

ビット・システム)(Service Pack 2 適用済み)

v SuSE SLES8 for zSeries (64 ビット・システム、31 ビット・システム互換モード)(Service Pack 2 適用済み)

v SuSE SLES8 for pSeries および iSeries

v Solaris 8 および 9

v Windows 2000 Server およびAdvanced Servers (Service Pack 3 適用済み)

v Windows 2003 Standard Server およびEnterprise Server

Application Development Kit

(ADK)v Global Security Kit バージョン 7



v Access Manager Application

Development Kit バージョン 5.1

v AIX 4.3.3 および 5.1.0 および 5.2.0







v Solaris 7 および 8 および 9

v Windows NT 4.0 (Service Pack 6a 適用済み)



v Windows XP Pro



表 1. Tivoli Access Manager Base システム—必要なコンポーネントとサポートされるプラットフォーム (続き)


IBM Tivoli Directory Server IBM Tivoli Directory Server を Tivoli

Access Manager レジストリーとしてインストールするつもりであれば、以下のコンポーネントが必要です。

v Global Security Kit バージョン 7


v IBM DB2 バージョン 8.1

v IBM Tivoli Directory Server バージョン5.2

v AIX 5.1.0 および 5.2.0











Java Runtime Environment v Access Manager Java Runtime

Environment バージョン 5.1

v IBM JRE バージョン 1.3.1 以降

v AIX 4.3.3 および 5.1.0 および 5.2.0









v Windows NT (Service Pack 6a 適用済み)







policy proxy server v Global Security Kit バージョン 7



v Access Manager Policy Proxy Server バージョン 5.1

v AIX 5.1.0 および 5.2.0









v Windows 2000 Server およびAdvanced Server (Service Pack 3 適用済み)


Policy Server v Global Security Kit バージョン 7



v Access Manager Policy Server バージョン 5.1

v AIX 5.1.0 および 5.2.0














Runtime v Global Security Kit バージョン 7



v AIX 4.3.3 および 5.1.0 および 5.2.0











Web Portal Manager v IBM WebSphere Application Server バージョン 5.0.2

v Access Manager Web Portal Manager バージョン 5.1

v Access Manager Java Runtime

Environment バージョン 5.1

v AIX 5.1.0 および 5.2.0








v Windows 2000 Server およびAdvanced Server (Service Pack 3 適用済み)




インストール方法Tivoli Access Manager ソフトウェアは、以下の方法でインストールおよび構成できます。

v 『インストール・ウィザード』

v 17ページの『ネイティブ・インストール・ユーティリティー』

インストール・ウィザードTivoli Access Manager システムのインストールと構成を単純にするには、インストール・ウィザードを使用してください。このプログラムを実行するだけで、多様なTivoli Access Manager システムのいずれかをセットアップできます。ソフトウェア前提条件と製品パッチは、正確な順序で自動的にインストールされます。

表 2は、示されたシステム・タイプで使用可能な Base インストール・ウィザードをリストします。

Tivoli Access Manager Base システムのインストール・ウィザードは、IBM Tivoli

Access Manager Base CD のルート・ディレクトリーにあります。ただし、以下は例外です。

v install_ldap_server は、IBM Tivoli Access Manager Directory Server CD にあります。

v install_amwpm は、IBM Tivoli Access Manager Web Administration Interfaces

CD にあります。

注: インストール済みのコンポーネントとこれらの各システム・タイプに対してサポートされるプラットフォームについては、 11ページの『Tivoli Access

Manager システムのタイプ』を参照してください。

表 2. Base システムのインストール・ウィザード

インストール・ウィザード Base システムのタイプ

install_ldap_server IBM Tivoli Directory Server

install_ammgr Policy Server

install_amacld Authorization server

install_amadk 開発 (ADK) システム

install_amjrte Java Runtime Environment システム

install_amproxy Policy proxy server

install_amrte Runtime システム

install_amwpm Web Portal Manager システム

install_ampfs 1 プロビジョニング・ファースト・スタート(Provisioning Fast Start)

1install_ampfs ウィザードを使用して、Tivoli Access Manager と Tivoli Identity Manager

を統合するために役立つユーティリティーであるプロビジョニング・ファースト・スタート(Provisioning Fast Start) コレクションをインストールできます。詳しくは、「IBM Tivoli

Access Manager for e-business IBM Tivoli Identity Manager プロビジョニング・ファースト・スタート・ガイド」を参照してください。



ネイティブ・インストール・ユーティリティーSolaris Operating Environment での pkgadd のような、プラットフォーム固有のユーティリティーを使用して Tivoli Access Manager コンポーネントをインストールします。自動化されたウィザードとは異なり、各コンポーネントおよび前提となるソフトウェアを正しい順序で手動インストールしなければなりません。

Access Manager Runtime コンポーネントがシステムにインストールされている場合、pdconfig ユーティリティーを使用して Tivoli Access Manager コンポーネントを構成できます。Access Manager Runtime コンポーネントがインストールされていない場合、pdjrtecfg を使用して Access Manager Java Runtime Environment コンポーネントを構成したり、pdwpmcfg を使用して Access Manager Web Portal

Manager コンポーネントを構成するように、コンポーネント固有のユーティリティーを使用する必要があります。

注: これらのユーティリティーについて詳しくは、 313ページの『第 19 章 Tivoli

Access Manager ユーティリティー』を参照してください。



インストール・プロセスTivoli Access Manager 管理ドメインを作成するには、以下の基本ステップに従います。

1. Tivoli Access Manager のデプロイメントを計画します。Tivoli Access Manager

を配置するためのビジネス上のセキュリティー要件を必ず理解しておいてください。

2. どのような組み合わせの Tivoli Access Manager システムをインストールするかを決めます。最初の管理ドメインをセットアップするために、サポートされるレジストリーと policy server システムが必要です。

3. ご使用の Tivoli Access Manager システムが、 19ページの『第 2 章システム要件』にリストされているすべてのソフトウェアおよびハードウェア要件に適合していることを確認してください。

4. Tivoli Access Manager で使用するレジストリーをセットアップします。手順については、 47ページの『第 4 章レジストリー・サーバーのセットアップ』を参照してください。

5. Tivoli Access Manager policy server システムをインストールおよび構成します。手順については、 97ページの『第 5 章 Policy Server のセットアップ』を参照してください。HACMP ソフトウェアを使用してスタンバイ policy server をセットアップする場合は、 287ページの『第 18 章 AIX: スタンバイ policy server

のセットアップ』の手順を参照してください。

6. 他のタイプの Tivoli Access Manager Base システムをインストールします (必要に応じて)。たとえば、以下のシステムをいくつかインストールすることができます。

Authorization server 107 ページ

開発 (ADK) システム 115 ページ

Java Runtime Environment システム 123 ページ

Policy proxy server 131 ページ

Runtime システム 139 ページ

Web Portal Manager システム 147 ページ

7. 認証局 (CA) からの証明書を使用して、サポートされるレジストリー・サーバーと IBM Tivoli Directory Client 間の SSL 通信を使用可能にすることをお勧めします。そのためには、GSKit iKeyman ユーティリティーを使用して証明書要求を生成するか、秘密証明書をインポートする必要があります。 iKeyman ユーティリティーの使用について詳しくは、「IBM Global Security Kit Secure Sockets

Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。iKeyman ユーティリティーをセットアップするには、 168ページの『GSKit

iKeyman ユーティリティーのセットアップ』の方法を参照してください。



第 2 章システム要件

この節では、インストールすべき最小の製品レベルについて説明します。既知の問題、制限事項、および最新情報については、「IBM Tivoli Access Manager for

e-business リリース情報」を参照してください。

以下の節があります。

v 『サポートされるレジストリー』

v 24ページの『ディスク・スペースおよびメモリー所要量』

v 26ページの『サポートされるプラットフォーム (必須パッチを含む)』

v 30ページの『後方互換性』

v 31ページの『ハードウェア・アクセラレーション・カードのサポート』

サポートされるレジストリーTivoli Access Manager は、以下のユーザー・レジストリー、レジストリーがサポートするオペレーティング・システム、およびすべての必要な前提ソフトウェアをサポートします。

IBM Tivoli Directory ServerTivoli Access Manager では、IBM Tivoli Directory Server バージョン 4.1、5.1、および 5.2 を使用できます。

注: IBM Tivoli Directory Server バージョン 5.2 は、Tivoli Access Manager バージョン 5.1 とともに出荷されます。1 つのシステムに同時に存在できるのは IBM

Directory Server の 1 つのバージョンのみです。IBM Tivoli Access Manager バージョン 5.1 は、LDAP レジストリー用にバージョン 5.2 の IBM Directory

Client を使用するので、バージョン 4.1 または 5.1 を使用している場合は、別のシステムに IBM Tivoli Directory Server をインストールしてください。

サポートされるプラットフォームは、以下のとおりです。

v AIX プラットフォーム:

– AIX 5.1

– AIX 5.2

注: AIX 5.1 では、AIX Maintenance Level 4 以上をインストールしてください。AIX 5.2 では、AIX Maintenance Level 1 以上をインストールしてください。

v HP-UX プラットフォーム:

– HP-UX 11

– 以下のパッチを含む HP-UX 11i

- 2001.12 GOLDBASE11i バンドル

- 2001.12 GOLDAPPS11i バンドル

- パッチ PHSS_26560


v xSeries プラットフォームの Linux:

– UnitedLinux 1.0 (Service Pack 2 適用済み)

– SuSE Linux Enterprise Server 8

– Red Hat Enterprise Linux 3.0

v zSeries プラットフォームの Linux:


– Red Hat Enterprise Server 3.0

v pSeries および iSeries プラットフォームの Linux:

– Red Hat Enterprise Server 3.0


v Solaris プラットフォーム:

– Solaris Operating Environment Software バージョン 8 および 9

– Trusted Solaris バージョン 8

v Windows プラットフォーム:

– Windows 2000

– Windows Server 2003 Standard または Enterprise

– Windows NT 4.0 (Service Pack 6 以降適用済み)。セキュリティー・サポートには、Windows NT ファイル・システム (NTFS) が必要です。

重要:

v Tivoli Access Manager に使用する IBM Directory Server がある場合は、必ず、サポートされているレベルにサーバーをアップグレードしてください。

v IBM 以外のベンダーの LDAP がすでに存在している場合は、IBM Tivoli

Directory Server をインストールする前に除去する必要があります。他のベンダーのバージョンを除去しないで IBM Tivoli Directory Server をインストールしようとすると、結果ファイル名の競合により、どのベンダーのバージョンも作動しなくなる可能性があります。

IBM Tivoli Directory Server Web Administration ToolIBM Tivoli Directory Server では、IBM Tivoli Directory Server Web Administration

Tool バージョン 5.2 を使用できます。Web Administration Tool は、IBM Tivoli

Directory Server クライアントとサーバーの有無に関係なくコンピューターにインストールできます。このツールは、以下のタイプの LDAP サーバーを管理するために使用できます。

v IBM Tivoli Directory Server バージョン 5.2

v IBM Directory Server バージョン 5.1

v IBM Directory Server バージョン 4.1

v OS/400 V5R3

v z/OS™ R4

注: z/OS R4 の場合、Web Administration Tool は以下のセットアップのみサポートします。

– シングル TDBM バックエンド

システム要件


– シングル SDBM バックエンド

– 1 つの TDBM および SDBM バックエンド

Web Administration Tool は、以下のプラットフォームでサポートされます。

v AIX プラットフォーム:

– AIX 4.3.3

– AIX 5.1

– AIX 5.2

v HP-UX プラットフォーム:

– HP-UX 11

– HP-UX 11i

v xSeries プラットフォームの Linux:

– UnitedLinux 1.0

– SuSE Linux Enterprise Server 7 および 8

– Red Hat Advanced Server 2.1

v zSeries プラットフォームの Linux:

– SuSE Linux Enterprise Server 8.0

v pSeries および iSeries プラットフォームの Linux:

– UnitedLinux 1.0

– SuSE Linux Enterprise Server 8.0

v Solaris プラットフォーム:

– Solaris Operating Environment Software バージョン 7、8、および 9

– Trusted Solaris バージョン 8

v Windows プラットフォーム:

– Windows 2000

– Windows XP

– Windows Server 2003 Standard または Enterprise

– Windows NT 4.0 (Service Pack 6 以上適用済み)

Web Administration Tool を使用するには、以下が必要です。

v 以下のいずれかのアプリケーション・サーバー

– WebSphere Application Server — Express V5.0 以上の組み込みバージョン。

– IBM WebSphere Application Server バージョン 5.0 以上。IBM WebSphere

Application Server バージョン 5.0.2 は、Tivoli Access Manager バージョン 5.1

とともに提供されます。

v Web Administration Tool を使用するコンピューターに、以下のいずれかの Web

ブラウザー。(このコンピューターには Web Administration Tool がインストールされていてもいなくてもかまいません)

– AIX プラットフォーム: Mozilla 1.3 または 1.4

– HP-UX プラットフォーム: Mozilla 1.3 または 1.4

– Linux on xSeries プラットフォーム: Mozilla 1.3 または 1.4

システム要件


– iSeries、pSeries、および zSeries プラットフォームの Linux: ブラウザーはサポートされません。これらの Linux プラットフォームで Web Administration

Tool を使用するには、別のシステムを使用しなければなりません。

– Solaris プラットフォーム: Mozilla 1.3 または 1.4

– Windows プラットフォーム: Internet Explorer バージョン 6.0

IBM Security Server for OS/390Tivoli Access Manager では、IBM Security Server for OS/390® バージョン 2 リリース 10 を使用できます。製品情報については、次の Web サイトにある OS/390

インターネット・ライブラリーを参照してください。

http://www.s390.ibm.com/os390/bkserv/

IBM z/OS Security Server LDAP サーバーTivoli Access Manager では、IBM z/OS Security Server LDAP サーバー、バージョン 1 リリース 2 以上を使用できます。製品情報については、次の Web サイトにある z/OS インターネット・ライブラリーを参照してください。

http://www.ibm.com/servers/eserver/zseries/zos/bkserv/

CD-ROM の z/OS コレクション SK3T-4269 からもソフトコピーの資料を入手できます。

Lotus DominoWindows プラットフォームの Tivoli Access Manager では、Lotus®Domino バージョン 5.0.10 および 6.0 をユーザー・レジストリーとして使用できます。Domino サーバーは、Tivoli Access Manager バージョン 5.1 がサポートするすべてのプラットフォームで稼働します。

重要: Lotus Domino をレジストリーとして使用する場合、

v IBM Tivoli Directory Client は不要です。

v Access Manager Runtime コンポーネントをインストールする前に、Lotus Notes®

Client をインストールする必要があります。Tivoli Access Manager は、Lotus

Notes Client のバージョン 5.0.10 およびバージョン 6.0 以降をサポートします。

Microsoft Active DirectoryTivoli Access Manager では、Active Directory for Windows 2000 および Windows

2003 をユーザー・レジストリーとして使用できます。

Tivoli Access Manager の以前のリリースでは、Active Directory は Windows 2000

Advanced Server プラットフォームでのみサポートされていました。バージョン 5.1

では、Active Directory のユーザーは、Tivoli Access Manager 製品で現在サポートされているすべての Windows および UNIX プラットフォームで Tivoli Access

Manager を実行できるようになりました (Windows NT を除く)。

システム要件


http://www.s390.ibm.com/os390/bkserv/


UNIX プラットフォームでは、Active Directory との通信に IBM Tivoli Directory

Client を使用します。この LDAP クライアントは、ポリシー・サーバー・ドメインがローカル・ホスト名のドメインと異なる場合にも使用されます。

Tivoli Access Manager Policy Server は、Windows 2000 および 2003 システムでのみサポートされることに注意してください。

Netscape iPlanet および Sun ONE Directory ServerTivoli Access Manager では、Netscape iPlanet Directory Server バージョン 5.1 および Sun ONE Directory Server バージョン 5.2 をユーザー・レジストリーとして使用できます。

インストール情報については、iPlanet または Sun ONE Directory Server 付属の製品資料を参照してください。

重要:

v Tivoli Access Manager に使用する iPlanet または Sun ONE Directory Server がある場合は、必ずサーバーをサポート・レベルにアップグレードしてください。アップグレードの説明は、次の Web アドレスの Sun 資料をご覧ください。

http://docs.sun.com/db/prod/s1dirsrv

v iPlanet および Sun ONE Directory Server には、SSL 機能が組み込まれています。Access Manager Runtime コンポーネントがディレクトリー・サーバーと同じシステムにインストールされている場合のみ、 GSKit をインストールしてください。

Novell eDirectoryTivoli Access Manager では、Novell eDirectory 8.6.2 および 8.7 をユーザー・レジストリーとして使用できます。

インストール情報は、Novell eDirectory サーバーに添付されている製品の資料をご覧ください。Novell eDirectory 製品資料は、次のサイトで入手できます。

http://www.novell.com/documentation/a-z.html

この製品の最新パッチは、次のサイトで入手できます。

http://support.novell.com/filefinder/5069/index.html

重要:

v Tivoli Access Manager に使用する既存の Novell eDirectory サーバーがある場合は、必ずサーバーをサポート・レベルにアップグレードしてください。

v Novell eDirectory サーバーには、SSL 機能が組み込まれています。Access

Manager Runtime コンポーネントがディレクトリー・サーバーと同じシステムにインストールされている場合のみ、GSKit をインストールしてください。

システム要件



http://www.novell.com/documentation/a-z.html

http://support.novell.com/filefinder/5069/index.html

ディスク・スペースおよびメモリー所要量Tivoli Access Manager バイナリーおよびライブラリーは、大容量のディスク・スペースを必要とすることがあります。これらのファイルをインストールするファイル・システムに、十分なディスク・スペースがあることを確認してください。Tivoli

Access Manager の各コンポーネントまたはシステムがセキュア・ドメインに追加されると、追加のディスク・スペースが必要になります。今後 Tivoli Access Manager

ソフトウェアをインストールできるように、必ず、十分な使用可能ディスク・スペースを用意してください。

注: これらのテーブルには、Tivoli Access Manager コンポーネントのみのディスク・スペースおよびメモリー所要量がリストされています。オペレーティング・システムなどに必要な追加容量も推定しておく必要があります。

表 3. Base コンポーネント — ディスク・スペースおよびメモリー所要量

コンポーネント最小ディスク・スペース(MB)

推奨ディスク・スペース

(MB)

ACL データベースのディスク・スペース

(MB)

ログ・ファイルの追加ディスク・スペース

(MB)

最小メモリー

(MB)

推奨メモリー

(MB)

追加ドメインごとのメモリー

Access Manager

Application

Development Kit

3 5 — — — — —

Access Manager

Authorization Server2 4 15 2 5 30 40 —

Access Manager Java

Runtime Environment8 10 — — — — —

Access Manager

Policy Proxy Server1 2 — 40 —

Access Manager

Policy Server2 4 5 1, 2 10 1 30 40 5 2

Access Manager

Runtime36 40 — — — — —

Access Manager

Web Portal Manager1 2 — — 35 3 70 4 —

Global Security Kit 18 20 — — — — —

IBM Tivoli Directory

Client46 50 — — 6 6


Server (前提ソフトウェアを含む)

145 7 245 7 — 10 256 5 512—1GB 5 —

IBM WebSphere

Application Server

バージョン 5.0.2

552 552 — — 256 512 —

システム要件


表 3. Base コンポーネント — ディスク・スペースおよびメモリー所要量 (続き)

コンポーネント最小ディスク・スペース(MB)

推奨ディスク・スペース

(MB)

ACL データベースのディスク・スペース

(MB)

ログ・ファイルの追加ディスク・スペース

(MB)

最小メモリー

(MB)

推奨メモリー

(MB)

追加ドメインごとのメモリー

注:1 このサイズは、デフォルト・ドメインのみの場合です。追加ドメインごとに、推奨ディスク・スペースがこの量だけ増加します。2 これは、10,000 個のオブジェクトが 10 個のオブジェクト・スペースに均等に分散され、約 30 個の ACL がオブジェクトの 10% に付加されている ACL データベースの概算の所要量に基づいています。Policy Server 以外のサイズは、複製時にバックアップ・コピーおよび追加コピーが作成されるため 3 倍になります。3 WPM の最小値は、接続ブラウザーごとのメモリー所要量を示します。4 この WPM の推奨値では 2 つのブラウザーの接続を表します。5 256MB (最小)、および 512MB から 1GB (推奨) メモリーは、100 万人以下の Tivoli Access

Manager ユーザーの場合です。100 万人以上の場合は、512 (最小) および 1GB から 2GB (推奨) にメモリーを増やしてください。6 IBM Tivoli Directory Client のメモリー所要量は、それを使用するサーバーのメモリー所要量の一部になります。7 IBM Tivoli Directory Server の推定量には、空のデータベースも含まれています。Tivoli Access

Manager ユーザーごとに 10KB を追加してください。

システム要件


サポートされるプラットフォーム (必須パッチを含む)表 4 は、サポートされるオペレーティング・システムに必要なパッチまたはサービス・レベルのリストです。

注: SuSE Linux は、UnitedLinux 1.0 を基に製品を展開している 4 つのパートナー会社の 1 社です。他の 3 社は SCO Group、Turbolinux、および Conectiva です。リストで SuSE Linux Enterprise Server (SLES) がサポートされている場合、他のパートナー会社の UnitedLinux 1.0 ベースの製品も同様にサポートされます。詳しくは、次の UnitedLinux Web サイトを参照してください。


表 4. サポートされるオペレーティング・システム・プラットフォームに必要なパッチ

オペレーティング・システム・プラットフォーム

Tivoli Access Manager 5.1 のサポート・システム

必須パッチまたはサービス・レベル

AIX 4.3.3

v Application Development Kit (ADK)

v Java Runtime Environment

v Runtime

最新パッチと以下のもの

v bos.rte.libpthreads 4.3.3.51 以上

v xlC.rte (6.0.0.0 C Set ++ Runtime)

v xlC.aix43.rte (6.0.0.3 C Set ++

Runtime)

AIX 5.1

v Authorization server



v Policy Server

v Policy Proxy Server

v Runtime

v Web Portal Manager

保守レベル 4 以上と以下のもの


v xlC.aix50.rte (6.0.0.3 以上の C

Set ++ Runtime)

AIX 5.2

v Authorization Server



v Policy Server


v Runtime


保守レベル 1 以上

AIX 5200-01 保守パッケージと以下のもの


v xlC.aix50.rte (6.0.0.3 C Set ++

Runtime)

v bos.rte.libc 5.2.0.12

HP-UX 11.0




v Policy Server


v Runtime


v XSWGR-1100

v PHKL_25475

v PHSS_26945 以上

v PHSS_25091

v 特定言語専用

– 日本語:PHSS_26972

– 韓国語:PHSS_26974

– 中国語 (簡体字):PHSS_26976

– 中国語 (繁体字):PHSS_24937

システム要件



表 4. サポートされるオペレーティング・システム・プラットフォームに必要なパッチ (続き)




HP-UX 11i




v Policy Server


v Runtime


v PHCO_24400

v PHCO_24402

v PHSS_25092

v PHSS_26946

v 特定言語専用

– 日本語:PHSS_26971

– 韓国語:PHSS_26973

– 中国語 (簡体字):PHSS_24975

– 中国語 (繁体字):PHSS_26977

Red Hat Enterprise Linux 3.0




v Policy Server


v Runtime

特定のパッチは不要です。

SuSE SLES8 for IA32




v Policy Server


v Runtime


libstdc++-3.2.2-5

v SuSE SLES8 for S/390 およびzSeries (31 ビット・システム)

v SuSE SLES8 for zSeries (64 ビット・システム)




v Policy Server


v Runtime


カーネル・レベルのサポート

v 31 ビット: k_deflt-2.4.19-32

v 64 ビット・カーネル:

k_deflt-2.4.19-34

Service Pack 2 のアップデート:


– k_deflt-2.4.19-79


– k_deflt-2.4.19-80

SuSE SLES8 for pSeries およびiSeries



v Runtime


カーネル・レベルのサポート

v kernel-iseries64-2.4.19-104

v kernel-ppc64-2.4.19-108

Service Pack 1 の更新:

v kernel-iseries64-2.4.19-194

v kernel-ppc64-2.4.19-186

システム要件






Solaris Operating Environment 7



v Runtime

32 ビット・パッケージ

v 106327-18

v 106541-24

v 106950-22

v 106980-22

v 107544-03


v 106300-19

v 106327-18

v 106541-24

v 107544-03

v 106950-22

v 106980-22





v Policy Server


v Runtime



v 109147-15

v 108434-05

v 108528-24

v 108827-40

v 111327-02

v SUNWuiu8

v SUNWjiu8


v 109147-15

v 108434-05

v 108435-06

v 108528-24

v 108827-40

v 111327-02

v SUNWuiu8

v SUNWjiu8





v Policy Server


v Runtime


11711-06

システム要件






Windows NT 4.0



v Runtime

Service Pack 6a

Windows XP および 2000 Pro



v Runtime

現時点で特定のパッチは不要です。

Windows 2000 Server およびAdvanced Server




v Policy Server


v Runtime


Service Pack 3

Windows 2003 Standard Server および Enterprise Server




v Policy Server


v Runtime


現時点で特定のパッチは不要です。

システム要件


後方互換性以下の Tivoli Access Manager コンポーネントは、バージョン 5.1 Policy server または Authorization server と通信可能です。

v Access Manager Runtime バージョン 3.8、3.9、4.1、および 5.1

v Access Manager Java Runtime Environment バージョン 3.9、4.1、および 5.1

注:

1. サーバーは通信用のランタイムを使用するので、後方互換性があります。

2. １つのシステム上にあるすべてのコンポーネントは、同一バージョンでなければなりません。

3. ユーザー・レジストリーとして Active Directory または Lotus Domino を使用する場合、すべての Tivoli Access Manager コンポーネントは、バージョン 5.1 レベルでなければなりません。

Tivoli Access Manager バージョン 5.1 が Tivoli Access Manager バージョン 3.9 および 4.1 アプリケーションに対してサポートするバイナリーの後方互換性は、以下のとおりです。

v Access Manager Runtime バージョン 5.1 は、すべてのプラットフォームの Tivoli

Access Manager バージョン 4.1 および 3.9 ADK に対してコンパイルされるアプリケーションをサポートします (Solaris を除く)。

v Solaris 用の Access Manager Runtime バージョン 5.1 は、Tivoli Access Manager

バージョン 4.1 ADK に対してのみコンパイルされるアプリケーションをサポートします。

システム要件


ハードウェア・アクセラレーション・カードのサポート表 5 は、Tivoli Access Manager バージョン 5.1 で正常に稼働することが検証されているプラットフォーム固有のハードウェア・アクセラレーター・カードのリストです。

表 5. ハードウェア・アクセラレーション・カードのサポート

オペレーティング・システムサポートされるハードウェア・アクセラレーション・カード

AIX 5.1 v nCipher nForce 300 RSA BSAFE バージョン 5.32

v nCipher nForce 300 PKCS#11 バージョン 5.32

v IBM 4758-023 PKCS#11 バージョン 2.41

v Eracom Orange PKCS#11 バージョン 2.11

v IBM 4960 PKCS#11 バージョン 5.1.0.25

AIX 5.2 v IBM 4758-023 PKCS#11 バージョン 2.41


v IBM 4960 PKCS#11 バージョン 5.1.0.25

HP-UX 11 Rainbow Crypto Swift RSA BSAFE バージョン 3.2.0

HP-UX 11i サポートなし

Red Hat Enterprise Linux 3.0 v Eracom Orange PKCS#1 バージョン 2.11

SuSE SLES8 for IA32 v Eracom Orange PKCS#11 バージョン 2.11

SuSE SLES8 for zSeries (64 ビット・ネイティブにおける 31 ビット・ネイティブ・モードと 31 ビット互換モード) および S/390

(31 ビット・ネイティブ)

v PCICA - zSeries Feature code 0862

v PCICC - zSeries Feature code 0861、S/390 Feature

code 0860

Solaris 8 v Rainbow Crypto Swift RSA BSAFE バージョン 3.2.0

v nCipher nForce 300 RSA BSAFE バージョン 8.0



Solaris 9 v nCipher nForce 300 RSA BSAFE


Windows 2000 Server およびAdvanced Server

v Rainbow Crypto Swift RSA BSAFE バージョン 3.2.0

v nCipher nForce 300 RSA BSAFE バージョン 8.0


v IBM 4758-023 PKCS#11 バージョン 2.41


Windows 2003 Standard Server および Enterprise Server

サポートなし

カードに付属の指示に従って、Tivoli Access Manager アプリケーションが稼働するマシンに該当する、ベンダーのデバイス・ドライバーをインストールしてください。BSAFE カードの場合、追加構成は不要です。GSKit は自動的にカードを検出し

システム要件


ます。したがって、GSKit を使用する Tivoli Access Manager コンポーネントは、自動的にアクセラレーション・カードを使用します。

システム要件


第 3 章国際化対応

この章では、Tivoli Access Manager セキュア・ドメイン用の国際化対応フィーチャーについて説明します。この節は、以下のトピックで構成されています。

v 34ページの『言語サポートの概要』

v 35ページの『言語サポート・パッケージのインストール』

v 37ページの『IBM Tivoli Directory Server 用の言語パッケージのインストール』

v 39ページの『言語サポート・パッケージのアンインストール』

v 39ページの『ロケール環境変数』

v 42ページの『メッセージ・カタログ』

v 43ページの『テキスト・エンコード方式 (コード・セット) のサポート』

重要言語固有の制限または制約事項については、「IBM Tivoli Access Manager for

e-business リリース情報」の国際化対応の節を必ず確認してください。


言語サポートの概要Tivoli Access Manager ソフトウェアは、以下の言語に翻訳されています。

v ブラジル・ポルトガル語

v チェコ語

v 中国語 (簡体字)

v 中国語 (繁体字)

v フランス語

v ドイツ語

v ハンガリー語

v イタリア語

v 日本語

v 韓国語

v ポーランド語

v スペイン語

v ロシア語

これらの言語の翻訳は、各製品の IBM Tivoli Access Manager Language Support CD

で言語サポート・パッケージとして提供されます。Tivoli Access Manager の言語サポートを入手するためには、その製品の言語サポート・パッケージをインストールすることが必要です。

Tivoli Access Manager をインストールするためにインストール・ウィザードを使用する場合は、構成メッセージをネイティブ言語で表示できるように、Tivoli Access

Manager をインストールする前に言語パッケージをインストールする必要があります。ネイティブ・インストール・ユーティリティーの場合、言語パッケージのインストールは Tivoli Access Manager コンポーネントをインストールした後に行いますが、ただしインストールされたコンポーネントを構成する前に言語パッケージのインストールを完了させてください。言語サポート・パッケージがインストールされない場合、関連する製品では、テキストがすべて英語で表示されます。

注: 各言語は、個別にインストール可能な製品インストール・イメージとなっています。

言語サポートがインストールされている製品をアップグレードするときは、やはり該当する言語サポート製品のインストールが必要になります (提供されている場合)。アップグレードに言語サポートが必要かどうかは、各製品のアップグレード資料で確認してください。なお、アップグレード後に言語サポートをインストールしない場合は、関連する製品の一部のフィールドやメッセージが英語で表示されることがあります。

国際化対応


言語サポート・パッケージのインストールTivoli Access Manager に言語サポート・パッケージをインストールするには、以下のステップに従います。

1. root または管理ユーザーとしてログオンします。

2. ご使用のオペレーティング・システム用の IBM JRE 1.3.1 をインストールします。手順については、以下のいずれかを参照してください。

v AIX システムの場合は、175 ページ

v HP-UX システムの場合は、176 ページ

v Linux システムの場合は、176 ページ

v Solaris システムの場合は、177 ページ

v Windows システムの場合は、178 ページ

3. IBM Tivoli Access Manager Language Support CD を挿入してマウントし、CD

があるルート・ディレクトリーへ移動します。

注: HP-UX の場合は、pfs_mountd コマンドを使用して CD をマウントします。

4. インストールする Tivoli Access Manager 製品に応じて、以下の 1 つ以上のセットアップ・スクリプトを実行します。

重要

v スクリプトは、UNIX システムで使用されます。Windows システムでは、バッチ・ファイル (.bat 拡張子) が使用されます。

v jre_path を指定せずにスクリプトを実行する場合は、かならず PATH ステートメントに Java 実行可能ファイルへのパスが含まれていることを確認してください。含まれていなければ、次のように jre_path を指定してスクリプトを実行します。

package jre_path

たとえば、Tivoli Access Manager Base 用の言語パッケージをインストールするには、次のように入力します。

install_pdrte_lp /usr/bin

ここで、/usr/bin は、JRE へのパスです。

言語パッケージは、以下のとおりです。

install_pdrte_lp Tivoli Access Manager Base 用の言語パッケージのインストールを指定します。

install_pdjrte_lp Tivoli Access Manager Java Runtime Environment

用の言語パッケージのインストールを指定します。

install_pdwpm_lp Tivoli Access Manager Web Portal Manager 用の言語パッケージのインストールを指定します。

国際化対応

第 3 章国際化対応 35

5. インストールを開始するには、「次へ」をクリックします。「ソフトウェアのご使用条件 (Software License Agreement)」ダイアログが表示されます。

6. ご使用条件を受け入れる場合は、「使用条件の条項に同意します (I accept theterms in the license agreement)」を選択して「次へ」をクリックします。言語パッケージのリストを示すダイアログが表示されます。

7. インストールしたい言語パッケージを選択して、「次へ」をクリックします。選択した言語パッケージの場所と機能を示すダイアログが表示されます。

8. 選択した言語パッケージを受け入れる場合は、「次へ」をクリックします。選択した言語パッケージがインストールされます。

9. Tivoli Access Manager 言語パックのインストールが正常に完了したら、「終了(Finish)」をクリックしてウィザードを終了し、システムを再始動してください。

国際化対応


IBM Tivoli Directory Server 用の言語パッケージのインストールTivoli Access Manager ソフトウェア用の言語パッケージをインストールするだけでなく、IBM Tivoli Directory 用の言語パッケージをインストールする必要があります。これらの言語パッケージは、サポートされるプラットフォームの IBM Tivoli

Access Manager Language Support CD で提供されます。

1. 前提条件ソフトウェアの言語パッケージをインストールするには、以下のいずれかを行ってください。

v AIX システムでは、以下の手順に従います。

a. IBM Tivoli Access Manager Language Support for AIX CD を挿入してマウントします。

b. 次のパッケージをインストールします。

installp -c -a -g -X -d cd_mount_point/usr/sys/inst.images packages

ここで、cd_mount_point/usr/sys/inst.images は CD がマウントされているディレクトリーです。また、packages は、以下のとおりです。

ldap.html.lang

IBM Tivoli Directory 文書を指定します。

ldap.msg.lang

IBM Tivoli Directory メッセージを指定します。

lang の部分には、言語ファイルの省略形が入ります。

たとえば、イタリア語の IBM Tivoli Directory 文書をインストールするには、次のように入力します。

installp -cagXd cd_mount_point/usr/sys/inst.images ldap.html.it_IT

ここで、cd_mount_point/usr/sys/inst.images は、CD がマウントされているディレクトリーです。

v Linux on xSeries および Linux on zSeries システムでは、以下の手順に従います。

a. IBM Tivoli Access Manager Language Support for Linux on xSeries またはLinux on zSeries CD を挿入し、マウントします。

注: Linux on zSeries ユーザー: まず、CD から Linux rpm ファイルへのアクセス権を取得する必要があります。

b. /mnt/cdrom/series ディレクトリーに移動します。ここで、/mnt/cdrom はご使用の CD のマウント・ポイントで、series には、xSeries またはzSeries を指定します。

c. 次のパッケージをインストールします。

rpm -ihv packages

ここで、packages は以下のとおりです。

Linux on xSeries Linux on zSeries

ldap-html-lang-5.2-1.s390.rpm ldap-html-lang-5.2-1.i386.rpm

ldap-html-lang-5.2-1.s390.rpm ldap-html-lang-5.2-1.i386.rpm

国際化対応



v Solaris システムでは、以下の手順に従います。

a. IBM Tivoli Access Manager Language Support for Solaris CD を挿入します。

b. 次のパッケージをインストールします (1 回に 1 つずつ)。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault packages

where packages, located in the /solaris directory, specifies the following:

IBMldilang IBM Tivoli Directory 文書を指定します。

IBMldmlang IBM Tivoli Directory メッセージを指定します。


たとえば、日本語の IBM Tivoli Directory メッセージをインストールするには、次のように入力します。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldmJa

ここで、-d /cdrom/cdrom0/solaris はパッケージの場所を示し、-a /cdrom/cdrom0/solaris/pddefault はインストール管理スクリプトの場所を示します。

国際化対応


言語サポート・パッケージのアンインストール言語サポート・パッケージをアンインストールするには、以下のステップを実行します。

1. 以下のいずれかのディレクトリーへ移動します。

v UNIX システムの場合:

/opt/location

v Windows システムの場合:

C:¥Program Files¥location

location には、次のようなロケーション情報が入ります。

PDBLP/Lp_uninst Tivoli Access Manager Base 用の言語パッケージのロケーションを指定します。

PDJrtLP/lp_uninst Tivoli Access Manager Java Runtime Environment

用の言語パッケージのロケーションを指定します。

PDWpmLP/lp_uninst Tivoli Access Manager Web Portal Manager 用の言語パッケージのロケーションを指定します。

2. 言語サポート・パッケージをアンインストールするには、以下のいずれかを入力します。


jre_path/java -jar package


jre_path¥java -jar package

ここで、jre_path は Java 実行可能ファイルがあるパスで、package は、以下のいずれかです。

注: Java 実行可能ファイルが現在のパスにある場合は、jre_path を指定する必要はありません。

pdrte_lp_uninstall.jar Tivoli Access Manager Base 用の言語パッケージを指定します。

pdjrte_lp_uninstall.jar Tivoli Access Manager Java Runtime Environment

用の言語パッケージを指定します。

pdwpm_lp_uninstall.jar Tivoli Access Manager Web Portal Manager 用の言語パッケージを指定します。

ロケール環境変数現在のほとんどのオペレーティング・システムの場合と同様に、希望するロケールを指定することによって、ローカライズされた振る舞いを得ることができます。Tivoli Access Manager ソフトウェアの場合は、LANG 環境変数に、POSIX、X/Open、または他のオープン・システム規格で指定された希望するロケール名を指定します。

国際化対応


注: Windows 環境で使用している場合は、代わりに「コントロールパネル」の「地域のオプション」で言語の設定を変更することもできます。

LANG 環境変数を指定して、この地域の設定を変更した場合は、LANG 環境変数がこの地域の設定を指定変更します。

オープン・システム規格で指定されているとおり、LANG は、他の環境変数によって、一部またはすべてのロケール・カテゴリーで指定変更されます。このような変数には、次のものがあります。

v LC_CTYPE

v LC_TIME

v LC_NUMERIC

v LC_MONETARY

v LC_COLLATE

v LC_MESSAGES

v LC_ALL

これら上に挙げた変数がいずれかでも設定されている場合は、 LANG 変数が完全な効果を持つようにするために、それらの設定を削除する必要があります。

UNIX システムの LANG 変数ほとんどの UNIX システムでは、希望するロケールの指定に LANG 変数を使用します。とはいえ、UNIX オペレーティング・システムが異なると、同じ言語を指定する場合にも別のロケール名が必要になります。その場合は、必ず、ご使用のUNIX オペレーティング・システムでサポートされている LANG の値を使用するようにしてください。

ご使用の UNIX システムでのロケール名を確認するには、次のように入力します。

locale -a

Windows システムの LANG 変数ほとんどのオペレーティング・システムでは、LANG 環境変数は使用されません。しかし、Tivoli Access Manager ソフトウェアでは、LANG を使用して希望の言語を決定できます。これを行うためには、LANG を、ISO の言語/地域コードに基づいた、コード・セット・サフィックスなしの正規ロケール名に設定する必要があります。次に例を示します。

v fr は、標準フランス語のロケールを示します。

v ja は、日本語のロケールを示します。

v pt_BR は、ブラジル・ポルトガル語のロケールを示します。

v C は、英語の C ロケールを示します。

Windows システムでは、LANG が設定されていない場合、Access Manager Runtime

のインストール時に、 LANG に以下の変数が設定されます。

case ISLANG_CZECH : lang = "CSCZ1250";case ISLANG_FRENCH_STANDARD: lang = "FrFr1252";case ISLANG_GERMAN : lang = "DeDe1252";case ISLANG_SPANISH : lang = "ESES1252";

国際化対応


case ISLANG_ITALIAN : lang = "ITIT1252";case ISLANG_PORTUGUESE_BRAZILIAN : lang = "PTBR1252";case ISLANG_POLISH : lang = "PLPL1250";case ISLANG_CHINESE_TAIWAN : lang = "ZHTW950";case ISLANG_CHINESE_PRC : lang = "ZHCN936";case ISLANG_JAPANESE : lang = "JaJp932";case ISLANG_KOREAN : lang = "KoKr949";case ISLANG_RUSSIAN : lang = "RuRu1251" ;case ISLANG_HUNGARIAN : lang = "HuHu1250";default : lang = "enus1252";

ロケール・バリアントの使用現在、Tivoli Access Manager ソフトウェアには、各言語につき 1 つの翻訳版しかありませんが、ロケール・バリアントを選択して使用することにより、対応する言語翻訳を Tivoli Access Manager に検出させることが可能です。たとえば、Tivoli

Access Manager には、フランス語の翻訳が 1 つ用意されていますが、以下の各ロケール設定を使用すれば、適切な翻訳を選択できます。

v fr は、標準フランス語のロケール名です。

v fr_FR は、フランスで使用されるフランス語のロケール名です。

v fr_CA は、カナダで使用されるフランス語のロケール名です。

v fr_CH は、スイスで使用されるフランス語のロケール名です。

国際化対応


メッセージ・カタログ通常、メッセージ・カタログは msg サブディレクトリーにインストールされ、それぞれのメッセージ・カタログが次の言語固有のサブディレクトリーにインストールされます。


/opt/PolicyDirector/nls/msg/locale


install_dir/nls/msg/locale

Tivoli Access Manager は、UNIX ロケール名の違いを認識し、通常は、指定された値を該当するメッセージ・カタログにマップすることができます。

オープン・システム規格で指定されているように、該当するメッセージ・カタログ・ディレクトリーの検出には、NLSPATH 変数が使用されます。たとえば、メッセージ・カタログが /opt/PolicyDirector/nls/msg にある場合、NLSPATH 変数は次のように設定されます。

/opt/PolicyDirector/nls/msg/%L/%N.cat:/opt/PolicyDirector/nls/msg/%L/%N

注: Windows では、分離文字にコロン (:) でなくセミコロン (;) を使用します。

%L ディレクティブは、現在のユーザーによる言語選択に最も近いメッセージ・カタログ・ディレクトリーに展開され、%N.cat は、希望するメッセージ・カタログに展開されます。

希望する言語のメッセージ・カタログが見つからない場合は、英語 C のメッセージ・カタログが使用されます。

たとえば、次のように、スイスで使われるドイツ語を AIX のロケールに指定したとします。

LANG=De_CH.IBM-850

%L ディレクティブは次のような順序で展開され、指定されたロケールが探し出されます。

1. de_CH

2. de

3. C

Tivoli Access Manager には、スイスで使われるドイツ語の言語パッケージがないため、de_CH は見つかりません。Tivoli Access Manager にドイツ語の言語パッケージがインストールされていれば、de が使用されます。しかし、ドイツ語がインストールされていなければ、デフォルトのロケール C が使用され、テキストは英語で表示されます。

国際化対応


テキスト・エンコード方式 (コード・セット) のサポートテキストのエンコード方式は、しばしば、オペレーティング・システムによって異なります。たとえば、Windows システムでは、日本語のテキストに SJIS (コード・ページ 932) が使用されますが、UNIX システムでは、しばしば eucJP が使用されます。

加えて、同じ言語に複数のロケールが存在するために、同じマシンの同じ言語に対して複数の異なるコード・セットが使用される場合もあります。このような状況は、システムからシステムへ、あるいは異なるロケール環境の間でテキストが移される場合に、問題を引き起こす可能性があります。

Tivoli Access Manager は、テキストの内部正規表現として Unicode と UTF-8 (マルチバイト形式の Unicode) を使用することにより、この問題に対処します。

メッセージ・カタログは UTF-8 を使用してエンコードされ、ユーザーに表示される前にテキストがロケールのエンコード方式に変換されます。この方法で、同じフランス語のメッセージ・カタログ・ファイルを、ISO8859-1、Microsoft 1252、IBM PC

850、および IBM MVS™

1047 といった、さまざまな Latin 1 コード・セットのサポートに使用することができます。

UTF-8 は、テキストのインターオペラビリティーを得るためにも使用されます。たとえば、Common Object Request Broker Architecture (CORBA) ストリングは、UTF-8 として伝送されます。これにより、ローカルのテキスト・エンコード方式がそれぞれ異なる可能性のある異種混合ネットワークでも、リモート管理が可能になります。たとえば、UNIX 日本語 EUC ロケールで操作を実行することにより、デスクトップから日本語 PC エンドポイント上で日本語のファイル名を扱うことができます。

セキュア・ドメイン全体でのテキストのインターオペラビリティーは、Tivoli オブジェクト・データベース内でストリングを UTF-8 として保管することによっても得られます。こうして保管されたストリングは、表示したり操作したりする際に、別のオペレーティング・システムのコード・セットで作業を実行するアプリケーションによって、ローカルのエンコード方式に変換されます。

コード・セット・ファイルの場所セキュア・ドメイン全体でのインターオペラビリティーは、UTF-8 変換を実行したり、他のタイプのエンコード方式に固有のテキスト処理を実行するために使用される、コード・セットのファイルに依存しています。これらのファイルは以下のディレクトリーにインストールされます。


/opt/PolicyDirector/nls/msg/locale


install_dir/nls/msg/locale

国際化対応


国際化対応


第 2 部 Base システムのインストール第 4 章レジストリー・サーバーのセットアップ 47IBM Tivoli Directory Server のセットアップ . . . 48プリインストール要件 . . . . . . . . . . 48インストール・ウィザードを使用したインストール . . . . . . . . . . . . . . . . 50ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . 52

AIX: IBM Tivoli Directory Server のインストール . . . . . . . . . . . . . . . 52HP-UX: IBM Tivoli Directory Server のインストール . . . . . . . . . . . . . . 54Linux: IBM Tivoli Directory Server のインストール . . . . . . . . . . . . . . . 56Solaris: IBM Tivoli Directory Server のインストール . . . . . . . . . . . . . . 58Windows: IBM Tivoli Directory Server のインストール . . . . . . . . . . . . . 60IBM Tivoli Directory Server の構成 . . . . 63Tivoli Access Manager 用の IBM TivoliDirectory Server の構成 . . . . . . . . 66

IBM z/OS および OS/390 の Security Server のセットアップ . . . . . . . . . . . . . . . 73スキーマ・ファイルの更新 . . . . . . . . 73サフィックスの追加 . . . . . . . . . . 73LDAP 用の Tivoli Access Manager の構成 . . . 75ネイティブ認証ユーザー管理 . . . . . . . 76

Lotus Domino のセットアップ . . . . . . . . 78Domino 用の Tivoli Access Manager 管理ユーザーの作成 . . . . . . . . . . . . . . 78Domino Server への Lotus Notes クライアントのインストール . . . . . . . . . . . . . 80

Microsoft Active Directory のセットアップ . . . . 82Active Directory に関する考慮事項 . . . . . . 82Active Directory ドメインの作成 . . . . . . 83Active Directory ドメインの結合 . . . . . . 83Active Directory 管理ユーザーの作成 . . . . . 87Active Directory 複製 . . . . . . . . . . 87

Novell eDirectory のセットアップ . . . . . . . 89Novell eDirectory の使用 . . . . . . . . . 90

Sun ONE Directory Server のセットアップ . . . . 92

第 5 章 Policy Server のセットアップ . . . . 97インストール・ウィザードを使用したインストール 97ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . . 98

AIX: Policy Server のインストール . . . . . 98HP-UX: Policy Server のインストール . . . . 100Linux: Policy Server のインストール . . . . . 101Solaris: Policy Server のインストール . . . . 103Windows: Policy Server のインストール . . . 105

第 6 章 Authorization server のセットアップ 107インストール・ウィザードを使用したインストール 107ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . 108

AIX: Authorization server のインストール . . . 108HP-UX: Authorization server のインストール . . 109Linux: Authorization server のインストール . . 110Solaris: Authorization server のインストール . . 112Windows: Authorization server のインストール 113

第 7 章開発 (ADK) システムのセットアップ 115インストール・ウィザードを使用したインストール 115ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . 116

AIX: 開発 (ADK) システムのインストール . . 116HP-UX: 開発 (ADK) システムのインストール 117Linux: 開発 (ADK) システムのインストール . . 118Solaris: 開発 (ADK) システムのインストール 119Windows: 開発 (ADK) システムのインストール 121

第 8 章 Java Runtime Environment システムのセットアップ . . . . . . . . . . . . . 123インストール・ウィザードを使用したインストール 123ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . 124

AIX: Java Runtime Environment システムのインストール . . . . . . . . . . . . . . 124HP-UX: Java Runtime Environment システムのインストール . . . . . . . . . . . . . 125Linux: Java Runtime Environment システムのインストール . . . . . . . . . . . . . 126Solaris: Java Runtime Environment システムのインストール . . . . . . . . . . . . . 127Windows: Java Runtime Environment システムのインストール . . . . . . . . . . . . 128

第 9 章 Policy Proxy Server のセットアップ 131インストール・ウィザードを使用したインストール 131ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . 132

AIX: Policy Proxy Server のインストール . . . 132HP-UX: Policy Proxy Server のインストール . . 133Linux: Policy Proxy Server のインストール . . 134Solaris: Policy Proxy Server のインストール . . 136Windows: Policy Proxy Server のインストール 137

第 10 章 Runtime システムのセットアップ . . . 139インストール・ウィザードを使用したインストール 139ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . 141

AIX: Runtime システムのインストール . . . . 141


HP-UX: Runtime システムのインストール . . . 142Linux: Runtime システムのインストール . . . 143Solaris: Runtime システムのインストール . . . 144Windows: Runtime システムのインストール . . 145

第 11 章 Web Portal Manager システムのセットアップ . . . . . . . . . . . . . . . 147インストール・ウィザードを使用したインストール 147ネイティブ・ユーティリティーを使用したインストール . . . . . . . . . . . . . . . . 150

AIX: Web Portal Manager システムのインストール . . . . . . . . . . . . . . . . 150HP-UX: Web Portal Manager システムのインストール . . . . . . . . . . . . . . . 152Linux: Web Portal Manager システムのインストール . . . . . . . . . . . . . . . 154Solaris: Web Portal Manager システムのインストール . . . . . . . . . . . . . . . 156Windows: Web Portal Manager システムのインストール . . . . . . . . . . . . . . . 159


第 4 章レジストリー・サーバーのセットアップ

管理ドメイン設定の最初のステップは、Tivoli Access Manager で使用できるようにレジストリー・サーバーをセットアップすることです。サポートされているレジストリーをインストールして構成するには、以下のいずれかを実行します。

v IBM Tivoli Directory Server (Tivoli Access Manager に付属) をインストールし、構成するには、 48ページの『IBM Tivoli Directory Server のセットアップ』の指示に従ってください。 install_ldap_server インストール・ウィザードを使用して、インストールおよび構成プロセスを簡単に行うようお勧めします。

注: このインストール・ウィザードは、HP-UX では使用できません。

v IBM Tivoli Directory Server 以外のサポートされているレジストリーをインストールするには、その製品の資料を参照してください。サポートされているレジストリーのリストについては、 19ページの『サポートされるレジストリー』を参照してください。

v 既存のレジストリーを Tivoli Access Manager で使用したい場合は、サーバーをこのリリースでサポートされているバージョンにアップグレードしてください。サポートされている他のレジストリーについては、その製品の資料を参照してください。その後、この章の指示に従って、レジストリーを Tivoli Access Manager

で使用できるように構成してください。

この章には、以下の主な節があります。

v 48ページの『IBM Tivoli Directory Server のセットアップ』

v 73ページの『IBM z/OS および OS/390 の Security Server のセットアップ』

v 78ページの『Lotus Domino のセットアップ』

v 82ページの『Microsoft Active Directory のセットアップ』

v 89ページの『Novell eDirectory のセットアップ』

v 92ページの『Sun ONE Directory Server のセットアップ』


IBM Tivoli Directory Server のセットアップこの節では、IBM Tivoli Directory Server をインストールし、Tivoli Access Manager

レジストリーとして構成する方法について説明します。このシステムは、以下のいずれかのインストール方法でセットアップできます。

v 50ページの『インストール・ウィザードを使用したインストール』

v 52ページの『ネイティブ・ユーティリティーを使用したインストール』

注: IBM 以外のベンダーの LDAP がすでに存在している場合は、IBM Tivoli

Directory Server をインストールする前に除去する必要があります。他のベンダーのバージョンを除去しないで IBM Tivoli Directory Server をインストールしようとすると、結果ファイル名の競合により、どのベンダーのバージョンも作動しなくなる可能性があります。

IBM Tivoli Directory Server 製品の詳しい資料については、次のサイトで ProductManuals and Technical Documentation リンクをクリックしてください。

http://www.ibm.com/software/network/help-directory/

注:

v IBM Tivoli Directory Server および IBM DB2 は、サポートされているAIX、HP-UX、Linux、Solaris、および Windows プラットフォーム用の IBM

Tivoli Access Manager Directory Server CD に付属しています。

v Web Administration Tool および IBM WebSphere Application Server は、サポートされている AIX、HP-UX、Linux、Solaris、Windows 2000、および Windows 2003

プラットフォーム用の IBM Tivoli Access Manager Web Administration Interfaces

CD に付属しています。

プリインストール要件IBM Tivoli Directory Server をインストールして構成する前に、(必要に応じて) 以下のプリインストール作業を行う必要があります。これらの要件は、どのようなインストール方法を使用する場合にも適用されます。

v DB2 データベースの所有者 ID (たとえば ldapdb2) を作成します。指定したユーザー ID が、DB2 データベースが存在するデータベース・インスタンスを所有します。構成時に、この ID とパスワードの入力を求められます。

注: Windows ユーザーのみ — install_ldap_server インストール・ウィザードを実行すると、作成する ID は、DB2 アドミニストレーター ID および DB2 データベース所有者 ID の両方として使用されます。ネイティブ・インストール・ユーティリティーを使用するときは、個別に ID を作成して使用するようお勧めします。たとえば、DB2 データベース所有者 ID として ldapdb2、DB2 アドミニストレーター ID として db2admin と名前を付けてください。

– ユーザー ID は、8 文字以下でなければなりません。

– Windows プラットフォームでは、ユーザーは、Administrators グループのメンバーでなければならず、アドミニストレーター ID と同じドメイン内に存在していなければなりません。

– UNIX プラットフォームでは、ユーザーはホーム・ディレクトリーを持ち、そのホーム・ディレクトリーの所有者でなければなりません。

レジストリー・サーバーのセットアップ



– DB2 データベースが置かれるディレクトリーを選択します。インストール・ウィザードでは、「Directory Server のデータベース・ホーム」でこのディレクトリーの指定が求められます。

- DB2 データベース・ディレクトリーのグループ所有権は、DB2 のインストール時に作成された DB2 グループでなければなりません。 AIX と Solaris

では通常、このグループの名前は dbsysadm です。 Linux on zSeries では通常、このグループの名前は db2iadm1 です。たとえば、ユーザーの名前が ldapdb2 の場合には、AIX と Solaris ではデータベース・ディレクトリーの所有者は ldapdb2:dbsysadm になり、Linux on zSeries ではldapdb2:db2iadm1 になります。

データベースを構成するときに、ユーザーの基本グループとして正しく動作しないグループが存在する場合があります。たとえば、Linux でユーザーの基本グループが users の場合は、問題が発生する可能性があります。基本グループを確実に動作させるためには、Linux では other を使用する必要があります。

– ユーザー root は、DB2 データベース・ディレクトリーの所有者として選択したグループのメンバーでなければなりません。 root がこのグループのメンバーでない場合は、グループのメンバーとして root を追加する必要があります。

– 最善の結果を得るためには、ユーザーのログイン・シェルは Korn シェル(/usr/bin/ksh) でなければなりません。

– ユーザーのパスワードを正しく設定し、使用できる状態にしておく必要があります。たとえば、パスワードの有効期限が切れたり、初回使用時に何らかの妥当性検査で待たされることがないようにします。(パスワードが正しく設定されていることを検査するための最善の方法として、同じコンピューターにtelnet でアクセスし、そのユーザー ID およびパスワードで正常にログインできることを確認してください。)

– データベースを構成する際、必須ではありませんが、データベースの場所として通常はユーザー ID のホーム・ディレクトリーを指定してください。ただし、別の場所を指定する場合、ユーザーのホーム・ディレクトリーには 3 から 4 MB のスペースがなければなりません。これは、データベース自体は別の場所に存在していても、DB2 は、インスタンス所有者 (つまり User) のホーム・ディレクトリーにリンクし、そこにファイルを追加するためです。ホーム・ディレクトリーに十分なスペースがない場合は、十分なスペースを作成するか、または別のディレクトリーをホーム・ディレクトリーとして指定します。

v AIX システムのみ: IBM Tivoli Directory Server バージョン 5.2 を使用するには、64 ビット・ハードウェアおよび 64 ビット・カーネルが必要です。システムを正しくセットアップされていることを確認するには、以下のことを確認してください。

– AIX のハードウェアが 64 ビットであることを確認するには、次のコマンドを入力します。

bootinfo -y

表示された結果が 64 であれば、ハードウェアは 64 ビットです。また、コマンド lsattr —El proc0 を入力すると、サーバーのプロセッサーのタイプが表


第 4 章レジストリー・サーバーのセットアップ 49

示されます。結果が RS64 I、II、III、IV、POWER3、POWER3 II、POWER4 のいずれかであれば、ハードウェアは 64 ビットです。

– 64 ビット・ハードウェアは、32 または 64 ビット・カーネルを使用できます。 64 ビット・カーネル (/usr/lib/boot/unix_64) がインストールされ、稼働していることを確認するには、次のコマンドを入力します。

bootinfo -K

表示された結果が 64 であれば、カーネルは 64 ビットです。ただし、32 と表示された場合は、32 ビット・カーネルから 64 ビット・カーネルに切り替える必要があります。これを行うには、以下のステップに従います。

1. 次の 64 ビット・パッケージがあることを確認します。

bos.64bitbos.mp64

2. 64 ビット・カーネルに切り替えるには、次のコマンドを入力します。

ln -sf /usr/lib/boot/unix_64 /unixln -sf /usr/lib/boot/unix_64 /usr/lib/boot/unixlslv -m hd5bosboot -ad /dev/ipldeviceshutdown -Fr

– 非同期入出力が可能になっていることを確認します。これを行うには、以下のコマンドを入力してください。

/usr/sbin/mkdev -l aio0/usr/sbin/chdev -l aio0 -P/usr/sbin/chdev -l aio0 -P -a autoconfig=available

インストール・ウィザードを使用したインストールinstall_ldap_server インストール・ウィザードを使用すると、以下のコンポーネントを正しい順序でインストールおよび構成することによって、IBM Tivoli Directory

Server システムのセットアップを単純化できます。

v IBM DB2 Universal Database Enterprise Server Edition バージョン 8.1

v Global Security Kit (GSKit) バージョン 7

v IBM Tivoli Directory Client バージョン 5.2


v LDAP パッチ (am_update_ldap.sh)

構成オプションの説明、また図が付いたステップバイステップの指示については、206ページの『install_ldap_server ウィザードの使用』を参照してください。

install_ldap_server ウィザードを使用して IBM Tivoli Directory Server システムをインストールおよび構成するには、以下のステップに従ってください。

注: IBM Tivoli Directory Server インストール・ウィザードは、HP-UX では使用できません。 IBM Tivoli Directory Server が HP-UX 上にインストールされている場合は、 54ページの『HP-UX: IBM Tivoli Directory Server のインストール』にある指示を参照してください。

1. 48ページの『プリインストール要件』にリストされているプリインストール作業を実行します。



2. 必要なオペレーティング・システム・パッチがすべてインストールされていることを確認します。詳しくは、 26ページの『サポートされるプラットフォーム(必須パッチを含む)』を参照してください。

3. 状況およびメッセージを英語 (デフォルト) 以外の言語で表示するには、インストール・ウィザードを実行する前に言語サポート・パッケージをインストールする必要があります。手順については、 37ページの『IBM Tivoli Directory

Server 用の言語パッケージのインストール』を参照してください。

4. Windows システムの場合に限り、実行中のプログラムをすべて終了してください。

5. インストールの間に、サンプル SSL LDAP 鍵ファイル (am_key.kdb) がシステムにコピーされます。am_key.kdb ファイルを使用すると、Policy Server とLDAP サーバーとの間の SSL サポートを可能にすることができます。別の SSL

鍵ファイルを使用して SSL を使用可能にする場合は、その SSL 鍵ファイルをシステムのディレクトリーに手動でコピーしてください。

注: am_key.kdb ファイルは、評価のためにのみ提供されています。実稼働環境での使用は意図されていません。am_key.kdb ファイルのデフォルト・パスワードは key4ssl (小文字) です。

6. インストール・ウィザードを実行する前に、IBM JRE 1.3.1 (AIX では 1.3.1.5)

がインストールされていることを確認します。手順については、175 ページを参照してください。

7. 以下のいずれかを行います。

v Solaris にのみインストールする場合は、IBM Tivoli Access Manager Directory

Server 1 of 2 for Solaris CD のルート・ディレクトリーにある install_db2プログラムを実行します。次に、IBM Tivoli Access Manager Directory Server

2 of 2 for Solaris CD のルート・ディレクトリーにある install_ldap_serverプログラムを実行してください。

v サポートされている AIX、Linux、および Windows プラットフォームの場合は、そのプラットフォーム用の IBM Tivoli Access Manager Directory Server

CD のルート・ディレクトリーにある install_ldap_server プログラムを実行してください。

まずインストール・ウィザードは、構成情報 ( 206ページの『install_ldap_server

ウィザードの使用』を参照) を入力するよう指示します。この情報を指定する(またはデフォルト値を受け入れる) と、この後は介入なしにコンポーネントがインストールおよび構成されます。

8. デフォルトの am_key.kdb 鍵ファイルを使用して SSL を使用可能にした場合でも、最終的には、SSL を使用可能にするため、またはこの鍵ファイルのデフォルト・パスワードを変更するために、独自の鍵ファイルを作成して使用することが必要になります。このために、GSKit とともにインストールされる iKeyman 鍵管理ユーティリティーを使用できます。手順については、 165ページの『Global

Security Kit のインストール』内の GSKit iKeyman ユーティリティーのセットアップに関する情報を参照してください。iKeyman ユーティリティーの使用については、「IBM Global Security Kit Secure Sockets Layer の入門および iKeyman

ユーザーズ・ガイド」を参照してください。



install_ldap_server インストール・ウィザードで、Tivoli Access Manager で使用できるよう IBM Tivoli Directory Server をセットアップした後、次に Policy Server

をセットアップします。手順については、 97ページの『第 5 章 Policy Server のセットアップ』を参照してください。

ネイティブ・ユーティリティーを使用したインストール以下の節では、使い慣れたプラットフォーム固有のユーティリティーを使用してIBM Tivoli Directory Server をインストールする方法について説明します。自動化されたインストール・ウィザードとは異なり、各コンポーネントおよび前提条件ソフトウェアを正しい順序で手動インストールしなければなりません。

ご使用のオペレーティング・システムに該当する手順に従ってください。

v AIX の場合、52 ページ

v HP-UX の場合、54 ページ

v Linux の場合、56 ページ

v Solaris の場合、58 ページ

v Windows の場合、60 ページ

AIX: IBM Tivoli Directory Server のインストールinstallp ユーティリティーを使用して AIX に IBM Tivoli Directory Server システムをセットアップするには、以下のステップに従ってください。

注: レジストリー・サーバーは、Policy Server とは異なるシステムにセットアップするようお勧めします。

1. root としてログオンします。



4. IBM Tivoli Access Manager Directory Server for AIX CD を挿入し、マウントします。

5. IBM DB2 をインストールします。このとき、以下のパッケージをリストされている順にインストールしてください。

installp -cagNYXd cdrom/usr/sys/inst.images packages




db2_08_01.msg.en_US.iso88591db2_08_01.clientdb2_08_01.cnvucsdb2_08_01.repldb2_08_01.db2.rtedb2_08_01.cs.rtedb2_08_01.icutdb2_08_01.sqlprocdb2_08_01.icucdb2_08_01.db2.engndb2_08_01.jhlp.en_US.iso88591db2_08_01.cj

db2_08_01.jdbcdb2_08_01.dasdb2_08_01.db2.samplesdb2_08_01.cadb2_08_01.ch.en_US.iso88591db2_08_01.ccdb2_08_01.conndb2_08_01.convdb2_08_01.ldapdb2_08_01.pextdb2_08_01.essg

6. GSKit をインストールします。手順については、165 ページを参照してください。

7. IBM Tivoli Directory Client をインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images ldap.client ldap.max_crypto_client


8. IBM Tivoli Directory Server をインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images ldap.server ldap.max_crypto_server

9. ルート・ディレクトリーから次のように入力して、LDAP のパッチをインストールします。

am_update_ldap.sh

10. IBM Tivoli Directory Server パッケージでは、英語のメッセージが自動的にインストールされます。別の言語バージョンのメッセージ・ファイルおよび文書が必要な場合、IBM Tivoli Access Manager Language Support for AIX CD からインストールしてください。手順については、 37ページの『IBM Tivoli Directory


使用可能な言語バージョンを確認するには、次のコマンドを入力します。

installp -ld cd_mount_point/usr/sys/inst.images | grep ldap

インストール可能な IBM Tivoli Directory Server パッケージのリストが表示されます。

11. インストールが完了すると、システムはインストールの要約を生成します。ロードされたファイルすべてについて、要約の最後の列に SUCCESS と表示されていることを確認します。次のコマンドを入力し、IBM Tivoli Directory が正常にインストールされたことを確認することもできます。

lslpp -L | grep ldap

表示される出力には、ldap で始まるすべてのファイルセットがリストされます。ここには、サーバー、クライアント、Web Administration Tool、HTML、およびメッセージのファイルセットが含まれます。例:

ldap.client.adt 5.2.0.0 C F Directory SDKldap.client.rte 5.2.0.0 C F Directory Client Runtimeldap.client.cfg 5.2.0.0 C F Directory Server Config GUI



ldap.server.com 5.2.0.0 C F Directory Server Frameworkldap.server.java 5.2.0.0 C F Directory Server Javaldap.server.rte 5.2.0.0 C F Directory Server Runtime

12. LDAP アドミニストレーターの DN とパスワードを定義した後、ディレクトリー・データを保管するデータベースを構成します。手順については、 63ページの『UNIX: IBM Tivoli Directory Server の構成』を参照してください。

13. IBM Tivoli Directory Server のインストールが完了したら、Tivoli Access

Manager で使用できるよう IBM Tivoli Directory Server を構成する必要があります。手順については、66 ページを参照してください。

14. GSKit の iKeyman ユーティリティーを使用して、サポートされているレジストリー・サーバーと IBM Tivoli Directory Client との間の SSL 通信を可能にするようお勧めします。これを行うには、以下のステップに従います。

a. iKeyman ユーティリティーをセットアップします。手順については、 168ページの『GSKit iKeyman ユーティリティーのセットアップ』を参照してください。

b. サポートされているレジストリー・サーバーとの SSL を使用可能にします。手順については、 259ページの『第 17 章 Secure Sockets Layer の使用可能化』を参照してください。

注: iKeyman ユーティリティーの使用について詳しくは、「IBM Global

Security Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。

Tivoli Access Manager で使用できるよう IBM Tivoli Directory Server をセットアップした後、次に Policy Server をセットアップします。手順については、 97ページの『第 5 章 Policy Server のセットアップ』を参照してください。

HP-UX: IBM Tivoli Directory Server のインストールHP-UX に IBM Tivoli Directory Server システムをセットアップするには、以下のステップに従ってください。





4. IBM Tivoli Access Manager Directory Server for HP-UX CD を挿入します。

5. pfs_mountd および pfsd が稼働していなければ、それらを順にバックグラウンドで開始します。 pfs_mount コマンドを使用して CD をマウントします。たとえば、次のように入力します。

/usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom

ここで、/dev/dsk/c0t0d0 は CD デバイス、/cd-rom はマウント・ポイントです。

6. IBM DB2 をインストールします。



swinstall -s /cd-rom/hp packages

ここで、/cd-rom/hp はディレクトリー、packages は以下のとおりです。

db2v81ent

db2v81cc

db2v81conn

db2v81gse

db2v81jhp

db2v81sdk

db2v81wgrp

db2v81cae



swinstall -s /cd-rom/hp LDAPClient


swinstall -s /cd-rom/hp LDAPServer

10. ルート・ディレクトリーから次のように入力して、LDAP のパッチをインストールします。

am_update_ldap.sh

11. IBM Tivoli Directory Server パッケージでは、英語のメッセージが自動的にインストールされます。別の言語バージョンのメッセージ・ファイルと文書が必要な場合、IBM Tivoli Access Manager Language Support for HP-UX CD からインストールしてください。手順については、 37ページの『IBM Tivoli Directory













Linux: IBM Tivoli Directory Server のインストールサポートされている Linux システムに IBM Tivoli Directory Server をインストールするには、以下のステップに従ってください。

注:

1. レジストリー・サーバーは、Policy Server とは異なるシステムにセットアップするようお勧めします。

2. Linux on zSeries ユーザー: まず IBM Tivoli Access Manager for Linux on

zSeries CD から Linux rpm ファイルへのアクセス権を取得する必要があります。




4. openldap2-client-2.1.4-30 パッケージまたはインストールされている他の競合する LDAP パッケージを除去します。

注: openldap2-client を IBM Tivoli Directory Client と同じシステムにインストールしなければならない場合、/usr/bin にある以下の競合するリンクを、以下のように IBM LDAP クライアント・バージョンにシンボリック・リンクさせてください。

/usr/bin/ldapadd → /usr/ldap/bin/ldapmodify/usr/bin/ldapdelete → /usr/ldap/bin/ldapdelete/usr/bin/ldapmodify → /usr/ldap/bin/ldapmodify/usr/bin/ldapmodrdn → /usr/ldap/bin/ldapmodrdn/usr/bin/ldapsearch → /usr/ldap/bin/ldapsearch

5. xSeries、zSeries、または pSeries および iSeries 用の IBM Tivoli Access Manager

Directory Server CD を挿入してマウントします。

6. /mnt/cdrom/series ディレクトリーに移動します。ここで、/mnt/cdrom は CD

のマウント・ポイントで、series には xSeries、zSeries、または pSeries を指定します。

7. DB2 をインストールします。このとき、以下のようにして、特定のハードウェア用のパッケージをインストールしてください。

rpm -ihv IBM_db2*.rpm

ここで、サポートされているハードウェア用のパッケージは以下のとおりです。



Linux on xSeries Linux on zSeries Linux on pSeries and iSeries

IBM_db2msen81-8.1.0-16.i386.rpmIBM_db2cliv81-8.1.0-16.i386.rpmIBM_db2conv81-8.1.0-16.i386.rpmIBM_db2repl81-8.1.0-16.i386.rpmIBM_db2rte81-8.1.0-16.i386.rpmIBM_db2crte81-8.1.0-16.i386.rpmIBM_db2icut81-8.1.0-16.i386.rpmIBM_db2icuc81-8.1.0-16.i386.rpmIBM_db2engn81-8.1.0-16.i386.rpmIBM_db2jhen81-8.1.0-16.i386.rpmIBM_db2cj81-8.1.0-16.i386.rpmIBM_db2jdbc81-8.1.0-16.i386.rpmIBM_db2das81-8.1.0-16.i386.rpmIBM_db2smpl81-8.1.0-16.i386.rpmIBM_db2ca81-8.1.0-16.i386.rpmIBM_db2chen81-8.1.0-16.i386.rpmIBM_db2cc81-8.1.0-16.i386.rpmIBM_db2cucs81-8.1.0-16.i386.rpmIBM_db2sp81-8.1.0-16.i386.rpmIBM_db2ldap81-8.1.0-16.i386.rpmIBM_db2pext81-8.1.0-16.i386.rpmIBM_db2conn81-8.1.0-16.i386.rpmIBM_db2wmsa81-8.1.0-16.i386.rpmIBM_db2essg81-8.1.0-16.i386.rpm

IBM_db2msen81-8.1.0-16.s390.rpmIBM_db2cliv81-8.1.0-16.s390.rpmIBM_db2conv81-8.1.0-16.s390.rpmIBM_db2repl81-8.1.0-16.s390.rpmIBM_db2rte81-8.1.0-16.s390.rpmIBM_db2crte81-8.1.0-16.s390.rpmIBM_db2icuc81-8.1.0-16.s390.rpmIBM_db2engn81-8.1.0-16.s390.rpmIBM_db2jhen81-8.1.0-16.s390.rpmIBM_db2cj81-8.1.0-16.s390.rpmIBM_db2jdbc81-8.1.0-16.s390.rpmIBM_db2das81-8.1.0-16.s390.rpmIBM_db2smpl81-8.1.0-16.s390.rpmIBM_db2ca81-8.1.0-16.s390.rpmIBM_db2chen81-8.1.0-16.s390.rpmIBM_db2cc81-8.1.0-16.s390.rpmIBM_db2cucs81-8.1.0-16.s390.rpmIBM_db2sp81-8.1.0-16.s390.rpmIBM_db2ldap81-8.1.0-16.s390.rpmIBM_db2pext81-8.1.0-16.s390.rpmIBM_db2conn81-8.1.0-16.s390.rpmIBM_db2wbdb81-8.1.0-16.s390.rpmIBM_db2essg81-8.1.0-16.s390.rpm

IBM_db2acsg81-8.1.0-16.ppc64.rpmIBM_db2adsg81-8.1.0-16.ppc64.rpmIBM_db2adt81-8.1.0-16.ppc64.rpmIBM_db2cj81-8.1.0-16.ppc64.rpmIBM_db2cliv81-8.1.0-16.ppc64.rpmIBM_db2conn81-8.1.0-16.ppc64.rpmIBM_db2conv81-8.1.0-16.ppc64.rpmIBM_db2crte81-8.1.0-16.ppc64.rpmIBM_db2cucs81-8.1.0-16.ppc64.rpmIBM_db2das81-8.1.0-16.ppc64.rpmIBM_db2dj81-8.1.0-16.ppc64.rpmIBM_db2engn81-8.1.0-16.ppc64.rpmIBM_db2icuc81-8.1.0-16.ppc64.rpmIBM_db2inst81-8.1.0-16.ppc64.rpmIBM_db2jdbc81-8.1.0-16.ppc64.rpmIBM_db2jhen81-8.1.0-16.ppc64.rpmIBM_db2msen81-8.1.0-16.ppc64.rpmIBM_db2pext81-8.1.0-16.ppc64.rpmIBM_db2repl81-8.1.0-16.ppc64.rpmIBM_db2rte81-8.1.0-16.ppc64.rpmIBM_db2smpl81-8.1.0-16.ppc64.rpmIBM_db2sp81-8.1.0-16.ppc64.rpmIBM_db2essg81-8.1.0-16.ppc64.rpm


9. IBM Tivoli Directory Client パッケージをインストールします。

rpm -ihv package

ここで、package は以下のいずれかです。

v Linux on xSeries の場合: ldap-clientd-5.2-1.i386.rpm

v Linux on zSeries の場合: ldap-clientd-5.2-1.s390.rpm

v Linux on pSeries および iSeries の場合: ldap-client-5.2-1.ppc.rpm

10. IBM Tivoli Directory Server パッケージをインストールします。

rpm -ihv package


v Linux on xSeries の場合: ldap-serverd-5.2-1.i386.rpm

v Linux on zSeries の場合: ldap-serverd-5.2-1.s390.rpm

v Linux on pSeries および iSeries の場合: ldap-server-5.2-1.ppc.rpm

11. CD のルート・ディレクトリーから次のように入力して、LDAP のパッチをインストールします。

am_update_ldap.sh

12. パッケージが正しくインストールされていることを確認します。

rpm -qa | grep ldap

製品が正常にインストールされた場合、以下のような結果が表示されます。

ldap-clientd-5.2-1ldap-serverd-5.2-1



13. IBM Tivoli Directory Server パッケージでは、英語のメッセージが自動的にインストールされます。別の言語バージョンのメッセージ・ファイルと文書が必要な場合、IBM Tivoli Access Manager Language Support for Linux CD からインストールしてください。手順については、 37ページの『IBM Tivoli Directory











Solaris: IBM Tivoli Directory Server のインストールpkgadd ユーティリティーを使用して Solaris に IBM Tivoli Directory Server システムをセットアップするには、以下のステップに従ってください。





4. IBM Tivoli Access Manager Directory Server 1 of 2 for Solaris CD を挿入します。

5. /cdrom/cdrom0/solaris ディレクトリーに移動します。

6. IBM DB2 をインストールします。このとき、以下のパッケージをインストールします (1 回に 1 つずつ)。




説明:

-d /cdrom/cdrom0/solaris

パッケージの場所を指定します。

-a /cdrom/cdrom0/solaris/pddefault

インストール管理スクリプトの場所を指定します。

また、packages は以下のとおりです。

db2msen81db2cliv81db2cucs81db2repl81db2rte81db2crte81db2icut81db2sp81db2icuc81db2engn81db2jhen81db2cj81

db2jdbc81db2das81db2smpl81db2ca81db2chen81db2cc81db2conv81db2conn81db2pext81db2ldap81db2essg81

7. IBM Tivoli Access Manager Directory Server 2 of 2 for Solaris CD を挿入します。

8. IBM DB2 ライセンスを適用します。

/opt/IBM/db2/V8.1/adm/db2licm -a /CD2_mount_point/solaris/db2ese.lic


注: パッケージには依存関係があるため、インストールの順序が重要です。


pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldapc



pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldaps


am_update_ldap.sh

13. IBM Tivoli Directory Server パッケージでは、英語のメッセージが自動的にインストールされます。別の言語バージョンのメッセージ・ファイルと文書が必要な場合、IBM Tivoli Access Manager Language Support for Solaris CD からインストールしてください。手順については、 37ページの『IBM Tivoli Directory


14. インストール中に、基本ディレクトリーとして /opt を使用するかどうか尋ねられます。スペースに余裕があれば、/opt を基本ディレクトリーとして受け入れ、Enter を押してください。



注: クライアントおよびサーバー・パッケージのインストールでは、次の照会が表示されます。

This package contains scripts which will be executed withsuper-user permission during the process of installing the package.Continue with installation?

これらのスクリプトは、IBM Tivoli Directory Server ユーザー ID を作成します。 y と入力して先に進みます。

プログラムは、デーモンを開始し、DB2 コマンドを実行し、IBM Tivoli

Directory Server DB2 インスタンス・ユーザー ID を作成できる必要があるため、場合によっては root として実行する必要があります。 y と入力して先に進みます。

15. インストールが完了すると、自動的にコマンド・プロンプトに戻ります。










Windows: IBM Tivoli Directory Server のインストールWindows に IBM Tivoli Directory Server をインストールするには、以下のステップに従ってください。


1. アドミニストレーター特権を持つユーザーとしてシステムにログオンします。





4. 実行中のすべてのプログラムを停止し、すべてのウィンドウを閉じます。開いているウィンドウがあると、最初のインストール・ウィンドウが他のウィンドウに隠れて見えないことがあります。

5. IBM Tivoli Access Manager Directory Server for Windows 2000 and Windows

2003 CD を挿入します。

6. GSKit をインストールします。手順については、 168ページの『Windows:

Global Security Kit のインストール』を参照してください。

7. 次のディレクトリーにある setup.exe ファイルを実行します。

/windows/Directory

「セットアップ言語の選択 (Choose Setup Language)」ダイアログが表示されます。

8. インストール・プログラムで使用する言語を選択し、「OK」をクリックします。

9. 「ようこそ (Welcome)」ダイアログが表示されます。「次へ」をクリックして先に進みます。

10. ご使用条件をお読みください。条件に同意することを選択し、「次へ」をクリックします。

11. インストール済みのコンポーネントおよび対応するバージョン・レベルが表示されます。「次へ」をクリックして先に進みます。

12. デフォルト・ディレクトリーに IBM Tivoli Directory Server をインストールするには、「次へ」をクリックします。別のディレクトリーを指定するには、ディレクトリー・パスを入力するか、「ブラウズ」をクリックしてディレクトリーを選択します。

注: インストール・ディレクトリーの名前に、ハイフン (-) やピリオド (.) といった特殊文字を使用しないでください。

13. IBM Tivoli Directory Server 5.2 で使用する言語を選択し、「次へ」をクリックします。

14. 以下のコンポーネントを選択し、「次へ」をクリックします。

v Client SDK 5.2

v Server 5.2

v DB2 V8.1



重要以下のコンポーネントも使用できます。

v Web Administration 5.2

v IBM WebSphere Application Server — Express 5.0.2

これらの製品を選択してインストールすることができます。ただし Access

Manager では、Web Administration Tool を使用するときに WebSphere

Application Server バージョン 5.0.2 の使用が推奨されています。手順については、179 ページの『WebSphere Application Server のインストール』および 191 ページの『Web Administration Tool のインストール』を参照してください。

15. ステップ 14 (61ページ) で DB2 V8.1 を選択した場合、ウィンドウが表示され、DB2 システム ID の Windows ユーザー ID およびパスワードを入力するよう指示されます。このユーザー ID は、インストールの前に作成した DB2

アドミニストレーター ID (db2admin) です。以下のステップに従ってください。

a. ユーザー ID を入力するか、またはデフォルトを受け入れます。

b. パスワードを入力し、確認のためのパスワードをもう一度入力します。

c. 「次へ」をクリックします。

16. 選択した構成オプションを確認します。選択内容を変更するには、「戻る」をクリックします。インストールを開始するには、「次へ」をクリックします。

インストール・プロセスが開始されます。お待ちください。このプロセスには、数分かかる場合があります。

17. ファイルがインストールされた後、README ファイルが表示されます。README ファイルを確認し、「次へ」をクリックして先に進みます。

18. システムをすぐに再始動するか、または後で再始動するかを選択します。「終了」をクリックしてください。

注: IBM Tivoli Directory Server の構成を完了するには、システムを再始動しなければなりません。システムを再始動するまで、IBM Tivoli Directory

Server を使用することはできません。

19. コンピューターを再始動した後、IBM Tivoli Directory Server のインストールで使用したものと同じユーザー ID でログインします。 Configuration Tool が自動的に実行され、サーバーの構成を完了できるようになります。サーバーを使用する前に、アドミニストレーターの DN およびパスワードを設定し、ディレクトリー・データを保管するデータベースを構成する必要があります。手順については、 64ページの『Windows: IBM Tivoli Directory Server の構成』を参照してください。


am_update_ldap.bat











IBM Tivoli Directory Server の構成IBM Tivoli Directory Server のコンポーネントをインストールした後、以下の作業を行う必要があります。

1. アドミニストレーター DN およびパスワードの定義

2. データベースの構成

これを行うには、以下の節で説明する基本手順に従ってください。 IBM Tivoli

Directory Server 製品の詳しい資料については、次のサイトで Product Manualsand Technical Documentation リンクをクリックしてください。


重要install_ldap_server ウィザードを使用して IBM Tivoli Directory Server をインストールおよび構成した場合は、この節の説明をスキップしてください。インストール・ウィザードが、IBM Tivoli Directory Server を自動的に構成します。

UNIX: IBM Tivoli Directory Server の構成: 以下の節では、ldapcfg コマンドを使用して IBM Tivoli Directory Server を構成する方法について説明します。サーバー・インストールを完了するには、以下のステップに従ってください。

アドミニストレーター DN およびパスワードの定義: アドミニストレーター DN

およびパスワードを設定するには、以下のステップに従ってください。

1. 次を入力します。

ldapcfg -u "adminDN" -p pwd




ここで adminDN はアドミニストレーター DN (デフォルトは cn=root) で、pwd はアドミニストレーター DN のパスワードです。

デフォルト・アドミニストレーター DN (cn=root) を受け入れ、パスワードを定義するには、次のコマンドを入力します。

ldapcfg -p pwd

ここで pwd は、アドミニストレーター DN のパスワードです。

データベースの構成: サーバーが停止していることを確認した後、次のコマンドを入力してデータベースを構成します。

ldapcfg -a database_owner -w pwd -d database_name -c -l location

ここで database_owner は、すでにデータベース所有者として作成した ID (たとえば ldapdb2) です。 database_name は任意の名前で、location は DB2 データベースの場所です。 UNIX システムの場合、これはディレクトリー名 (たとえば/home/ldapdb2) です。

注: 詳しくは、「IBM Tivoli Directory Server インストールと構成のガイド V5.2」でデータベースの構成に関する情報を参照してください。

Windows: IBM Tivoli Directory Server の構成:

アドミニストレーター DN およびパスワードの設定: IBM Tivoli Directory Server

用のアドミニストレーター DN およびパスワードを設定するには、以下のステップに従ってください。

1. 「IBM Tivoli Directory Server 構成ツール」ウィンドウで、左側のナビゲーション・ペインの「アドミニストレーター DN/パスワード (AdministratorDN/password)」をクリックします。

2. 右側の「アドミニストレーター DN/パスワード (Administrator DN/password)」ペインで、「アドミニストレーター DN」フィールドに DN を入力します (またはデフォルト DN である cn=root を受け入れます)。

IBM Directory Server アドミニストレーター DN とは、ディレクトリーのアドミニストレーターによって使用されている DN です。このアドミニストレーターは、ディレクトリー内のすべてのデータに対する全アクセス権限を持つ 1 人のユーザーです。

DN では大文字小文字は区別されません。 X.500 形式のことをよく知らない場合、またはその他の何らかの理由で新しい DN を定義したくない場合は、デフォルトの DN をそのまま使用してください。

3. 「アドミニストレーター・パスワード」フィールドと「確認パスワード」フィールドに、アドミニストレーター DN のパスワードを入力します。

パスワードでは大文字小文字が区別されます。後で調べることができるよう、パスワードを記録しておいてください。

4. 「OK」をクリックして、この作業を完了します。

注: パスワードでは、2 バイト文字セット (DBCS) はサポートされていません。

データベースの構成: データベースを構成するとき、Configuration Tool は、ディレクトリー・データを保管するために使用されるデータベースに関する情報を、構



成ファイル (ibmslapd.conf) に追加します。データベースがまだ存在していない場合は、Configuration Tool がデータベースを作成します。

注:

v データベースを構成する前に、環境変数 DB2COMM が設定されていないことを確認してください。

v データベースを構成する前に、Directory Server を停止する必要があります。

ディレクトリー・データベースを構成するには、以下のステップに従ってください。

1. DB2 データベースの所有者 ID を ( 48ページの『プリインストール要件』で指示されているように) 作成しておいたことを確認します。

2. Configuration Tool の左側のタスク・リストで、データベースの「構成」をクリックします。

3. Configuration Tool は、データベースがすでに存在しているかどうかを判別します。データベースがすでに構成されている場合 (つまり、データベースの情報が構成ファイルにある場合)、Configuration Tool はその処理方法に関する指定を求めます。たとえば、データベースは構成されていても、システム上に見つからない場合は、構成ファイルで指定されている名前を使用してデータベースを作成できます。データベースを構成するには、ウィンドウに表示されている情報を使用してください。

すでにデータベースがあるかどうかによって、以下のウィンドウの一部またはすべてが表示されます。

v ユーザー ID およびパスワードが要求されたら、ユーザー ID および関連するパスワードを入力して「次へ」をクリックします。ユーザー ID がなければ、データベースを構成することはできません。これは、インストール前に作成した DB2 データベースの所有者 ID (たとえば ldapdb2) です。 (旧リリースでは、存在しなければユーザー ID は作成されましたが、このリリースでは作成されません。)

注: パスワードでは大文字小文字が区別されます。

v データベース名が要求された場合は、DB2 データベースに付けたい名前を入力して「次へ」をクリックします。名前の長さは 1 から 8 文字です。データベースは、ユーザー ID と同じ名前のインスタンスに作成されます。

注: 異なるデータベース・インスタンス名を使用する場合は、LDAP ldapcfgコマンドに -t オプションを指定し、データベースを構成してください。

v データベースのロケーションが要求された場合は、「データベースの場所(Database location)」フィールドにデータベースのドライブ名を入力し、「次へ」をクリックします。指定する場所に 80MB 以上の空きディスク・スペースがあり、ディレクトリーに追加される新しいエントリーを収容するための余分なディスク・スペースがあることを確認してください。

v 文字セットの選択が要求された場合は、作成するデータベースのタイプを選択して「次へ」をクリックします。 LDAP クライアントが UTF-8 文字データを保管できる UCS Transformation Format (UTF-8) データベース、またはローカル・コード・ページのデータベースであるローカル・コード・ページ・データベースを作成できます。



注: 言語タグを使用する場合は、UTF-8 のデータベースを作成する必要があります。

4. 確認ウィンドウでは、指定した構成オプションに関する情報が表示されます。前のウィンドウに戻って情報を変更するには、「戻る」をクリックします。構成を開始するには、「終了」をクリックします。

5. 完了ウィンドウが表示されます。「閉じる」をクリックしてください。

Tivoli Access Manager 用の IBM Tivoli Directory Server の構成以下の節では、Tivoli Access Manager レジストリーとして IBM Tivoli Directory

Server を構成する方法について説明します。 Tivoli Access Manager 用の IBM

Tivoli Directory Server の構成は、Web Administration Tool (推奨される方法) またはコマンド行を使用して行うことができます。

v 67ページの『Web Administration Tool の使用』

v 72ページの『コマンド行の使用』

注: IBM Tivoli Directory Server 製品の詳しい資料については、次のサイトでProduct Manuals and Technical Documentation リンクをクリックしてください。





重要

v install_ldap_server ウィザードを使用して IBM Tivoli Directory Server をインストールおよび構成した場合は、この節の説明をスキップしてください。インストール・ウィザードが、IBM Tivoli Directory Server を自動的に構成します。

v Web Administration Tool またはコマンド行を使用して、構成を実行できます。 Web Administration Tool を使用すると、IBM Tivoli Directory Server

をローカルまたはリモートで管理できます。この GUI のインストールについては、191 ページを参照してください。

注: IBM Tivoli Directory Server バージョン 4.1 または 5.1 を実行している場合は、am_update_ldap.sh LDAP パッチを実行してから、Web

Administration Tool をインストールしてください。

v Web Administration Tool バージョン 5.2 には後方互換性があり、IBM

Tivoli Directory Server バージョン 4.1、5.1、および 5.2 で動作します。Web Administration Tool がまだインストールされていない場合は、以下のステップを実行します。

1. IBM WebSphere Application Server をインストールします。手順については、179 ページを参照してください。

2. IBM Tivoli Directory Server Web Administration Tool をインストールし、WebSphere の構成にこのアプリケーションを構成します。手順については、191 ページを参照してください。

v LDAP サーバーのアドミニストレーターには、crypt や SHA-1 などの片方向エンコード形式を使用して userPassword 属性の値をエンコードするようサーバーを構成することが推奨されます。デフォルトの暗号化の値であるimask は、双方向エンコード形式を指定します。パスワード暗号化について詳しくは、次の場所にある「IBM Tivoli Directory Server 管理ガイドV5.2」を参照してください。


Web Administration Tool の使用: Web Administration Tool を使用して Tivoli

Access Manager 用に IBM Tivoli Directory Server を構成するには、以下のステップを実行します。

注: IBM Tivoli Directory Server V5.1 を使用している場合には、Web Administration

Tool は HP-UX プラットフォーム上では使用できません。 72ページの『コマンド行の使用』の手順に従ってください。

1. IBM Tivoli Directory Server がインストールされていること、および以下の条件が満たされていることを確認してください。

v 特定のサーバーを開始できるよう、アドミニストレーター DN (cn=root) とパスワードが設定されていること。 IBM Tivoli Directory Server の構成時に、この情報に対するプロンプトが表示されます。

v 構成専用モード以外の状態で特定のサーバーを開始できるよう、データベースが構成されている必要があります。

Tivoli Access Manager 用の IBM Tivoli Directory Server の構成



v 特定のサーバーをリモートで開始、停止、または再開できるよう、管理デーモンが稼働している必要があります。そのためには、次のようにします。

– UNIX システムでは、次のコマンドを実行します。

ibmdiradm

– Windows システムでは、「スタート」→「コントロールパネル」→「管理ツール」→「サービス」をクリックします。「IBM Directory AdminDaemon」を右マウス・ボタンでクリックし、「開始」を選択します。

v Tivoli Access Manager のスキーマ定義は、IBM Tivoli Directory Server バージョン 5.2 のインストールの間に自動的に追加されます。 IBM Tivoli

Directory Server バージョン 4.1 または 5.1 だけを使用している場合は、以下を行う必要があります。

a. プラットフォーム別の Tivoli Access Manager Base CD の common ディレクトリーにある secschema.def ファイルを、ローカル・システムの一時ディレクトリー (たとえば /tmp) にコピーします。

b. 次のようにして ldapmodify コマンドを実行します。

ldapmodify -v -h ldap_host -p port -D ldap_admin -w pwd -f /tmp/secschema.def

注: Access Manager Runtime パッケージが LDAP マシンにすでにインストールされ、構成されている場合は、次のように ivrgy_tool を使用してスキーマを更新できます。

ivrgy_tool -d -h ldap_host -p port -D ldap_admin -w pwd schema

ivrgy_tool について詳しくは、 317ページの『ivrgy_tool』を参照してください。

2. Web Administration Tool を開始します。そのためには、WebSphere Application

Server をインストールしたディレクトリーに移動し、次のいずれかのコマンドを実行します。


/usr/WebSphere/AppServer/bin/startServer.sh server1

または

/opt/WebSphere/AppServer/bin/startServer.sh server1


C:¥Program Files¥WebSphere¥AppServer¥bin¥startServer.bat server1

3. コンソールにログインするには、Web ブラウザーをオープンして次のアドレスを入力します。

http://localhost:9080/IDSWebApp/IDSjsp/Login.jsp

localhost は、Web Administration Tool がインストールされているマシンのホスト名または IP アドレスです。

IBM Tivoli Directory Server の「Web 管理ログイン (Web Administration

login)」ページが表示されます。


v Web Administration Tool をすでにセットアップしてある場合は、ステップ7 (70ページ) に進みます。



v Web Administration Tool をまだセットアップしていない場合は、以下のステップを実行します。

a. IBM Tivoli Directory Server の「Web 管理ログイン (Web Administration

login)」ページから、次のようにデフォルト・ユーザー名およびパスワードを指定して、コンソール・アドミニストレーターとしてログインします。

LDAP ホスト名: Console Adminユーザー名: superadmin

パスワード: secret

「ログイン」をクリックして先に進みます。次のような IBM Tivoli

Directory Server Web Administration Tool コンソールが表示されます。

注: Web Administration Tool の初期セットアップを行った後は、IBM

Tivoli Directory Server マシンの LDAP ホスト名または IP アドレスを使用して、コンソールにログインできます。

b. コンソール管理タスクが左側に表示されます。サーバーを追加するには、「コンソール・サーバーの管理 (Manage console servers)」を選択し、右ペインの「追加」ボタンをクリックします。

c. 「サーバーの追加」ウィンドウで、以下のフィールドを指定して「OK」をクリックします。

– ホスト名: IBM Tivoli Directory Server がインストールされているマシンのホスト名または IP アドレスを入力します。

– ポート: ポートはすでに設定されています (389)。 LDAP サーバーの構成時にこのポート番号を変更した場合は、それに従ってこの値を変更します。



– 管理ポート (Administration port): ポートはすでに設定されています(3538)。

– SSL 使用可能 (SSL enabled): これを選択して SSL を使用可能にします。

注: サーバーでまだ SSL を使用可能にしていない場合は、サーバー管理タスクにログオンして実行することはできません。

「コンソール・サーバーの管理 (Manage console servers)」ペインが表示され、サーバーの情報が示されます。

5. 「ログアウト」を選択してサーバーをログオフします。

6. 「ログアウト成功 (Logout successful)」ウィンドウで、「再度ログインするにはここをクリック (re-login by clicking here)」リンクをクリックし、「IBM Tivoli

Directory Server Web Administration ログイン (IBM Tivoli Directory Server

Web Administration login)」ページに戻ります。

7. このコンソールを使用してサーバーを管理する準備ができました。これを行うには、以下のステップに従います。

a. ドロップダウン・メニューからマシンの LDAP ホスト名または IP アドレスを選択してログインします。

b. アドミニストレーター DN (cn=root) を入力します。

c. IBM Tivoli Directory Server の構成時に作成した DN パスワードを入力し、「ログイン」をクリックします。

IBM Tivoli Directory Server Web Administration Tool コンソールが表示されます。

注: サーバー管理タスクは、サーバーの能力によって異なります。



8. IBM Tivoli Directory Server が稼働していることを確認するには、左側のナビゲーション・ペインで「サーバーの管理 (Server administration)」→「サーバー状況の表示 (View server status)」をクリックします。サーバーが停止している場合は、左側のナビゲーション・ペインで「サーバーの開始/停止/再始動(Start/stop/restart server)」をクリックした後、「開始」ボタンをクリックしてサーバーを開始します。サーバーが正常に開始または停止したとき、メッセージが表示されます。

9. サフィックスを作成するには、左側のナビゲーション・ペインで「設定」→「サフィックス」と選択します。「サフィックス」ウィンドウが表示されます。

10. Tivoli Access Manager がメタデータを維持するサフィックスを作成するには、左側のナビゲーション・ペインで「サーバーの管理 (Server administration)」→ 「サーバー・プロパティーの管理 (Manage server properties)」を選択します。「サーバー・プロパティーの管理 (Manage server properties)」ペインで、「サフィックス」タブを選択します。次に示すように必要なサフィックス DN

を入力し、「追加」をクリックします。

secAuthority=Default

注: サフィックスの識別名では、大文字小文字は区別されません。サフィックスが、ペインの「現在のサフィックス DN (Current suffix DNs)」テーブルに表示されます。「OK」をクリックして変更を保管します。

11. ここで、ユーザーとグループの定義を保守するための追加のサフィックスを作成することができます。

注: サフィックスの追加方法について詳しくはウィンドウの右上のペインにある「ヘルプ」アイコンをクリックしてください。指定できるサフィックスは最大 1000 文字です。

12. サフィックスの追加が終了したら、左側のナビゲーション・ペインから「サーバーの管理 (Server administration)」→ 「サーバーの開始/停止/再始動(Start/stop/restart server)」をクリックした後、「再始動」ボタンをクリックしてサーバーを再始動します。サーバーが正常に再開すると、状況メッセージが表示されます。


v secAuthority=Default 以外のサフィックスを追加しなかった場合は、「ログアウト」をクリックして IBM Directory Server Web Administration Tool ウィンドウを閉じます。 Policy Server の構成時に、 secAuthority=Default のディレクトリー・エントリーが自動的に追加されます。

v secAuthority=Default 以外のサフィックスを追加した場合は、サフィックスごとにエントリーをディレクトリーに追加する必要があります。そのためには、左側のナビゲーション・ペインで「ディレクトリーの管理 (Directorymanagement)」→「エントリーの追加 (Add an entry)」を選択してください。作成したサフィックスに対するディレクトリー・エントリーの追加が完了したら、「終了」をクリックし、「ログアウト」をクリックして、IBM

Directory Server Web Administration Tool ウィンドウを閉じます。

注: SSL 通信を可能にする場合、SSL を有効にするには、ディレクトリー管理デーモンを停止してから再開する必要があります。



コマンド行の使用: IBM Tivoli Directory Server を Tivoli Access Manager のレジストリーとして使用するには、以下の基本ステップを実行します。

注: サフィックスとディレクトリー・エントリーの追加について詳しくは、IBM

Tivoli Directory Server バージョン 5.2 の資料を参照してください。

1. Tivoli Access Manager のスキーマ定義は、IBM Tivoli Directory Server バージョン 5.2 のインストールの間に自動的に追加されます。 IBM Tivoli Directory

Server バージョン 4.1 または 5.1 だけを使用している場合は、以下を行う必要があります。

a. プラットフォーム別の Tivoli Access Manager Base CD の common ディレクトリーにある secschema.def ファイルを、ローカル・システムの一時ディレクトリー (たとえば /tmp) にコピーします。

b. 次のようにして ldapmodify コマンドを実行します。

ldapmodify -v -h ldap_host -p port -D ldap_admin -w pwd -f /tmp/secschema.def

注: Access Manager Runtime パッケージが LDAP マシンにすでにインストールされ、構成されている場合は、次のように ivrgy_tool を使用してスキーマを更新できます。

ivrgy_tool -d -h ldap_host -p port -D ldap_admin -w pwd schema

ivrgy_tool について詳しくは、 317ページの『ivrgy_tool』を参照してください。

2. 次のようにして、Tivoli Access Manager がメタデータを維持するサフィックスを作成します。

ldapcfg -s "secAuthority=Default"

このサフィックスは、ibmslapd.conf ファイルに追加されます。ここで、ユーザーとグループの定義を保守するための追加のサフィックスを作成することができます。例:

ldapcfg -s "c=US"

3. 次のコマンドを使用して LDAP サーバーを開始します。

ibmdiradm&ibmslapd&

4. 作成したサフィックスに対するエントリーを追加します。必須のsecAuthority=Default サフィックスだけを追加した場合は、ステップ 68 に進みます。他のサフィックスを追加した場合は、ファイルを作成し、サフィックスのエントリー情報を追加した後、ldapadd コマンドを実行します。たとえば、次のような内容で、addcus という名前のファイルを作成します。

dn: c=usobjectclass: topobjectclass: countryc: us

その後、次のコマンドを実行します。

ldapadd -h host -D cn=root -w pwd -v -f addcus



IBM z/OS および OS/390 の Security Server のセットアップこの節では、Tivoli Access Manager 用に z/OS または OS/390 上に LDAP サーバーを準備するために必要な構成ステップについて説明します。ネイティブ・セキュリティー許可機能 (SAF) レジストリーに対する Tivoli Access Manager の構成が特に強調されています。

これらのガイドラインは、新しい LDAP サーバー・インスタンスが Tivoli Access

Manager レジストリー専用であることを前提としています。詳しくはご使用のOS/390 または z/OS のリリースに合った LDAP サーバーの管理と使用に関する資料を参照してください。この資料は、次の Web サイトの z/OS ライブラリーから入手できます。



v 『スキーマ・ファイルの更新』

v 『サフィックスの追加』

v 75ページの『LDAP 用の Tivoli Access Manager の構成』

v 76ページの『ネイティブ認証ユーザー管理』

スキーマ・ファイルの更新古いバージョンの Access Manager スキーマは、z/OS 製品で提供されていました。Tivoli Access Manager バージョン 5.1 をサポートするようにスキーマを更新する必要があります。そのためには、secAuthority=Default サフィックスを作成する前に、ivrgy_tool ユーティリティーを使用して、z/OS の LDAP サーバーにスキーマを適用します。手順については、 317ページの『ivrgy_tool』を参照してください。

サフィックスの追加Tivoli Access Manager では、secAuthority=Default という名前のサフィックスを作成して、Tivoli Access Manager のメタデータを保守する必要があります。このサフィックスは、LDAP サーバーを初めて構成したときに、1 度だけ追加しなければなりません。このサフィックスにより、Tivoli Access Manager はデータを容易に見つけて管理できるようになります。さらにデータへのアクセスがセキュアになるため、整合性や破壊の問題を回避できます。

さらに、サフィックスを作成するか、または既存の LDAP DIT 位置の識別名を指定して、ユーザーとグループのデータを維持できます。secAuthority=Default サフィックスと同様に、Policy Server を構成する前にすべての新しいサフィックスをLDAP レジストリーに追加する必要があります。Tivoli Access Manager の初期構成の後でサフィックスを追加する場合は、適切な ACL を手動で追加する必要があります。

LDAP サーバーの slapd.conf ファイルに対する secAuthority=Default サフィックスなど、サフィックスの追加については、次の場所にある LDAP サーバーの管理および使用マニュアルを参照してください。


IBM z/OS および OS/390 の Security Server のセットアップ




注: 変更を有効にするには、LDAP サーバーを再始動してください。

Tivoli Access Manager Policy Server を構成した後でサフィックスを追加する場合は、以下の方法で、新しく作成したサフィックスに適切な ACL を適用する必要があります。

1. Security Server の slapd.conf ファイルに、新しいサフィックスを追加します。IBM z/OS または OS/390 の Security Server の構成ファイルを更新する方法について詳しくは、「z/OS LDAP サーバー管理および使用ガイド」を参照してください。

2. IBM z/OS または OS/390 の Security Server を再始動します。

3. 新しく作成したサフィックスにエントリーを追加するには、以下の手順を実行します。

a. LDIF ファイルを作成します。次の例では、o=neworg,c=us というサフィックスを新しく作成するものとします。

dn:o=neworg,c=usobjectClass:organizationobjectClass:topo:neworg

b. ldapadd コマンドに対する入力として、適切な LDIF ファイルを使用します。

ldapadd -D ldap_admin -w ldap_pwd -v -f ldif_filename

4. 適切な Tivoli Access Manager アクセス・コントロールを新しく作成したサフィックスに適用するには、次のようにします

v セキュア・ドメイン (管理ドメイン ) を 1 つ作成した場合は、新しいサフィックスに対する ACL を追加するために次のような ldif ファイルを作成します。

v 追加のセキュア・ドメイン (初期管理ドメイン以外に) を作成した場合は、新しいサフィックスに対する ACL を追加するために次のような ldif ファイルを作成します。

suffixaclpropagate=TRUEaclentry=group:cn=ivacld-servers,cn=securitygroups,secauthority=default:normal:csraclentry=group:cn=remote-acl-users,cn=securitygroups,secauthority=default:normal:csraclentry=group:cn=securitygroup,secauthority=default:object:ad:normal:cwsr:sensitive:cwsr:critical:¥cwsr:restricted:cwsraclentry=access-id:LDAP_Admin_DN:object:ad:normal:rwsc:sensitive:rwsc:critical:cwsr:restricted:cwsrsuffixownerpropagate=TRUEentryOwner=group:cn=SecurityGroup,secAuthority=DefaultentryOwner=access-id:LDAP_Admin_DN



5. ldif ファイルを適用するには、次のように ldapmodify コマンドを使用します。

ldapmodify -h hostname -D admin_DN -w admin_pwd -v -f ldif_filename

追加サフィックスにデフォルトで aclpropagate=TRUE が設定されている場合は、ldapmodify コマンドから次のようなエラー・メッセージが戻ることに注意してください。

ldap_modify: additional info: R004086 Entry o=neworg,c=us already containsattribute aclpropagrate, value=TRUE

この場合は、ldif ファイルから aclpropagate=TRUE を除去した後、ldapmodify コマンドを再実行してください。

LDAP 用の Tivoli Access Manager の構成LDAP on z/OS 用に Access Manager を構成するときは、LDAP サーバー上で定義されているすべてのサフィックスを、Access Manager がデフォルトで検索することに注意してください。Access Manager が使用しないサフィックス、または Access

Manager が検索する権限を持たないサフィックスが定義されている場合は、ignore-suffix キーワードを使用して、これらのサフィックスを/access_mgr_install_dir/etc/ldap.conf ファイルに追加する必要があります。

次に例を示します。

ignore-suffix = sysplex=UTCPLXJ8ignore-suffix = "o=Your Company"ignore-suffix = o=MQuser

この例では、sysplex=UTCPLXJ8 サフィックスは、z/OS SDBM (RACF) データベースにアクセスするために使用されます。構成時に Access Manager が使用するLDAP アドミニストレーター ID は、z/OS システムにおける RACF ユーザー ID

ではないので、SDBM を検索するための権限を持っていません。このサフィックスが ignore-suffix リストに追加されていないと、Access Manager は、構成時にx’32’ - LDAP_INSUFFICIENT_ACCESS という戻りコードを受け取ります。

リスト中の他のサフィックスは、z/OS の他のアプリケーションが使用するものであり、Access Manager は無視してかまいません。

Tivoli Access Manager は、読み取り操作に対して LDAP のフェイルオーバーとロード・バランシングをサポートすることに注意してください。レプリカ・サーバー

suffixaclentry=group:cn=ivacld-servers,cn=securitygroups,secauthority=default:normal:csraclentry=group:cn=remote-acl-users,cn=securitygroups,secauthority=default:normal:csraclentry=group:cn=securitygroup,secauthority=default:object:ad:normal:cwsr:sensitive:cwsr:critical:cwsr: ¥restricted:cwsraclentry=group:cn=ivacld-servers,cn=securitygroups,secauthority=<added domain>,cn=subdomains,¥secauthority=default:normal:csraclentry=group:cn=remote-acl-users,cn=securitygroups,secauthority=<added domain>,cn=subdomains,¥secauthority=default:normal:csraclentry=group:cn=securitygroup,secauthority=<add domain>,cn=subdomains,secauthority=default:object:ad:¥normal:rwsc:sensitive:rwsc:critical:rwsc:restricted:rwscaclentry=access-id:LDAP_Admin_DN:object:ad:normal:rwsc:sensitivesuffixownerpropagate=TRUEentryOwner=group:cn=SecurityGroup,secAuthority=DefaultentryOwner=access-id:LDAP_Admin_DN



を構成した場合は、ldap.conf ファイルで Tivoli Access Manager にレプリカ・ホスト名を提供できます。このファイルは、Tivoli Access Manager と共に etc サブディレクトリーにインストールされます。

ネイティブ認証ユーザー管理追加のネイティブ認証の管理用タスクの大部分は未変更のままです。ユーザー作成、ユーザー表示、ACL エントリーまたはグループへのユーザーの追加といった操作や、全ユーザー変更コマンド (パスワードを除く) は、他の LDAP レジストリーに対して構成された Tivoli Access Manager と同じように動作します。ユーザーは、Web ベースの pkmspasswd ユーティリティーを使用して SAF パスワードを変更できます。

ネイティブ認証では、複数の Tivoli Access Manager ユーザーの SAF ユーザー ID

(複数) を複数から 1 つにマッピングする追加の機能が提供されます。複数のユーザーが同一の ibm-nativeId を持つことができ、全員が同じパスワードへバインドされます。このため、多対 1 にマップされたユーザーが SAF パスワードを変更できないようにすることをお勧めします (そうしないと、ユーザーが対等ユーザーを誤って自分のアカウントから締め出してしまうおそれが大きくなります)。

pdadmin sec_master> group modify SAFusers add user1pdadmin sec_master> acl create deny_pkmspdadmin sec_master> acl modify deny_pkms set group SAFusers Tpdadmin sec_master> acl attach /Webseal/server_name/pkmspasswd deny_pkms

OS/390 LDAP ネイティブ認証バインドには、パスワードをリセットする権限がありません。たとえば、ネイティブ認証が使用可能の場合には、以下の Tivoli Access

Manager 管理コマンドは作動しません。

pdadmin sec_master> user modify user1 password ChangeMe1

また、ユーザーが使用できる ibm-nativeId エントリーを設定する、そのまま使えるような管理コマンドはありません。そのため、以下の説明は、nativeId を使用して Tivoli Access Manager ユーザーの管理を支援するものです。

ユーザー作成コマンドには、変更はありません。

pdadmin sec_master> user create user1 cn=user1,o=tivoli,c=us user1 user1 ChangeMe1pdadmin sec_master> user modify user1 account-valid yes

パスワード (この例では ChangeMe1) は、 LDAP 内のユーザーの userpassword

エントリーに設定され、それはネイティブ認証が使用可能の場合には効力を持ちません。実動の際には、ネイティブ認証が意図せず使用不可になった場合に備え、パスワードをいくらか長くして、容易に推測できないようにしてください。

ユーザーに対する ibm-nativeId エントリーを設定するには、次に示すような、スキーマ・ファイルと呼ばれる ldif ファイルを作成します。

cn=user1,o=tivoli,c=usobjectclass=inetOrgPersonobjectclass=ibm-nativeAuthenticationibm-nativeId=SAF_username

以下のように、ldapmodify コマンドを使用して ldif ファイルをロードできます。

ldapmodify -h hostname -p port -D bind_DN -w bind_pwd -f schema_file



ユーザーのパスワードをリセットする SAF コマンドは、以下のとおりです。

subsystem_prefix ALTUSER userid PASSWORD pwd

ネイティブ認証を使用するには、auth-using-compare をオフにしなければならないことに注意してください。そのためには、ivmgrd.conf および webseald.conf ファイルの [ldap] スタンザの行を編集し、次のように変更します。

auth-using-compare = no

デフォルトでは、LDAP への認証はバインド操作ではなく比較操作によって行われます。

ネイティブ認証のセットアップについて詳しくは、次の場所にある資料「IBM z/OS

Security Server LDAP サーバー管理および使用ガイド」を参照してください。





Lotus Domino のセットアップTivoli Access Manager 用のレジストリーとして Domino™ Server を構成するには、以下のステップを実行します。

1. 19ページの『サポートされるレジストリー』のシステム要件をよく読み、適合していることを確認します。

2. Domino 用の Tivoli Access Manager 管理ユーザーを作成します。手順については、『Domino 用の Tivoli Access Manager 管理ユーザーの作成』を参照してください。

3. Domino のインストール・メディアを用意し、Lotus Notes® クライアントをDomino Server にインストールします。手順については、 80ページの『Domino

Server への Lotus Notes クライアントのインストール』を参照してください。

4. 以下の環境変数が Windows システムで設定されていることを確認します。

NOTESNTSERVICE=1

この環境変数は、Windows サービスとして稼働している Lotus Domino Server

が、サービスを開始したユーザーがシステムをログオフした後も稼働し続けるようにします。

注: Domino レジストリーを使用する Tivoli Access Manager は、Windows プラットフォームでのみサポートされます。これは、サポートされている Windows プラットフォーム上でのみ Lotus Notes クライアントが使用可能であるためです。

Tivoli Access Manager 用に Domino を構成した後、次に Policy Server をセットアップします。手順については、 97ページの『第 5 章 Policy Server のセットアップ』を参照してください。

Domino 用の Tivoli Access Manager 管理ユーザーの作成Tivoli Access Manager システムが Domino Server と通信するためには、Domino 用の Tivoli Access Manager 管理ユーザーを作成して登録する必要があります。これを行うには、以下のステップに従います。

1. 登録を始める前に、以下のことが可能であることを確認します。

v 認証者 ID とそのパスワードへのアクセス

v 作業を行っているマシンから Domino Directory へのアクセス

v 登録サーバー上の Domino Directory におけるエディター・アクセスまたはUserCreator の役割

2. Domino Administrator GUI で、「ユーザーとグループ (People & Groups)」タブをクリックします。

3. 「サーバー (Servers)」ペインで、作業を行うサーバーを選択します。

4. 「Domino Directories (Domino Directories)」を選択し、「ユーザー (People)」を選択します。

Lotus Domino のセットアップ


5. 「ツール (Tools)」ペインで、次の図のように「ユーザー (People)」→「登録(Register)」をクリックします。

6. Domino Server の認証者 ID を選択します (デフォルトの場所は c:¥Program

Files¥Lotus¥Domino¥Data)。

注: Notes は、「管理設定 (Administration Preferences)」で指定されている認証者 ID を使用します。それがない場合は、NOTES.INI の CertifierIDFile

の設定で指定されている ID を使用します。

7. プロンプトが表示されたら、サーバーの構成時にセットアップした認証者 ID

のパスワードを入力し、「OK」をクリックします。認証者 ID を変更するには、「キャンセル (Cancel)」をクリックします。

8. 「詳細 (Advanced)」チェック・ボックスを選択し、「基本 (Basics)」ペインのフィールドに値を設定します。たとえば、Tivoli Access Manager 管理ユーザーに対する次のような情報を入力します。

v 名: AM

v 姓: Daemons

v パスワード: pwd

9. 「ユーザーの追加 (Add person)」をクリックします。「登録状況 (Registration

status)」ビュー (ユーザー登録キュー) に、管理ユーザーの名前が表示されます。

10. 「ID 情報 (ID Info)」をクリックして Notes ID ファイルが Domino ディレクトリーにあることを確かめます。

11. 登録キューでユーザー名を強調表示にし、「登録 (Register)」をクリックしてユーザーを Domino Server に追加します。

ユーザーが正常に登録されたことを示すメッセージが表示されます。「OK」をクリックしてメッセージ・ダイアログを閉じ、「完了 (Done)」をクリックします。

12. Domino Administrator で、「表示 (View)」メニューの「更新 (Refresh)」を選択し、Tivoli Access Manager ユーザーが Domino Server に作成されたことを確認します。



Domino Server への Lotus Notes クライアントのインストールLotus Notes クライアントを Domino Server にインストールして構成するには、以下の一般的なステップを実行します。

注: Tivoli Access Manager は、Lotus Notes Client のバージョン 5.0.10 およびバージョン 6.0 以降をサポートします。

1. 他のクライアント・システムで使用している Lotus Notes ID ファイルがすでにある場合は、そのバイナリー・ファイルをローカル・システムのdrive:¥notes¥data ディレクトリーにコピーします。

注: 現在使用している ID ファイルの名前が分からない場合は、Lotus Notes クライアント・インターフェースの「ファイル」→「ツール」→「ユーザーID」をクリックして、ID ファイル名を確認してください。

2. Windows 用の Lotus Notes または Domino の CD から Notes クライアント・セットアップ・ファイルを実行し、オンラインの指示に従います。

注: 使用するインストール・メディアによっては、他のプログラム機能のインストールを求められる場合があります。 Tivoli Access Manager のインストールでは、必要な機能は Notes クライアントだけです。

3. 「Lotus Notes インストール (Lotus Notes Installation)」ウィンドウで、「標準(Typical)」を選択し、表示される指示に従います。インストールが完了したら、「終了 (Finish)」をクリックします。

4. Lotus Notes プログラムを起動し、構成を実行します。たとえば、「スタート」→「プログラム」→「ロータスアプリケーション」→「Lotus Notes」の順にクリックします。

5. 「Lotus Notes クライアントの構成 (Lotus Notes Client Configuration)」ウィンドウで、「次へ」をクリックして、以下の情報を設定します。

v 「Domino Server に接続する (I want to connect to a Domino server)」を選択し、「次へ」をクリックします。

v 「LAN への接続をセットアップする (Set up a connection to a localarea network (LAN))」を選択し、「次へ」をクリックします。

v Domino Server の完全修飾名を入力し、「次へ」をクリックします。このサーバーには、メール・サーバー、パススルー・サーバー、または構成を行っているユーザーを認識する他のサーバーを使用できます。たとえば、「DominoServer 名 (Domino server name)」フィールドに次のように入力します。

domino1/Tivoli

v 以下のいずれかを行います。

– Lotus Notes ID ファイルを提供した場合は、「Notes ユーザー ID をファイルで提供 (My Notes UserID has been supplied to me in a file)」を選択した後、「参照」をクリックして ID ファイルを探すか、または「ファイル名 (File name)」フィールドに ID ファイルの完全修飾名を入力します。たとえば、c:¥notes¥data¥username.id のように入力します。

– 「名前を ID として使用する (Use my name as identification)」を選択し、「ユーザー名 (User name)」フィールドに Tivoli Access Manager 管理ユーザー ID (たとえば AMDaemons) を入力します。

「次へ」をクリックして先に進みます。



6. 他の構成情報のプロンプトに対しては、デフォルト値をそのまま使用して構いません。「終了 (Finish)」をクリックして、Notes クライアント構成ステップを続行します。

7. 該当する場合は、「インターネット・プロキシー・サーバーに接続しない (Do

not connect to an internet proxy server)」ラジオ・ボタンを選択します。

Notes クライアントがリモート Domino Server にアクセスできると、パスワードを入力するプロンプト・ウィンドウが表示されます。

8. Tivoli Access Manager 管理ユーザーのパスワードを入力します。パスワードが正しいと、Notes クライアントは続行して残りの構成を行います。

構成が完了すると、管理ユーザーの Notes ID ファイルは、ローカル・システムの ¥notes¥data ディレクトリーにインストールされます。



Microsoft Active Directory のセットアップActive Directory を Tivoli Access Manager 用にセットアップするには、以下のタスクをこの順序で実行する必要があります。

1. Active Directory ドメインを作成します。

2. Active Directory ドメインを結合します。

3. Active Directory 管理ユーザーを作成します。

Tivoli Access Manager で使用できるよう Active Directory ドメインをセットアップした後、次に Windows 2000 または Windows 2003 システムに Policy Server をセットアップします。手順については、 97ページの『第 5 章 Policy Server のセットアップ』を参照してください。

Active Directory に関する考慮事項Tivoli Access Manager 用に Active Directory を構成する前に、以下の情報を検討することが重要です。

v Tivoli Access Manager は、Active Directory の単一ドメイン環境または複数ドメイン環境で構成できます。単一ドメイン環境または複数ドメイン環境に関しては、以下の Web アドレスの Active Directory 製品資料を参照してください。

– Windows 2000 サーバーの場合:

http://www.microsoft.com/windows2000/en/server/help/

– Windows 2003 サーバーの場合:

http://www.microsoft.com/windowsserver2003/proddoc/

v 単一ドメイン環境では、非ドメイン・コントローラー・システムは、Tivoli

Access Manager が構成されている同一のドメインを結合する必要があります。複数ドメイン環境では、非ドメイン・コントローラー・システムは Active

Directory ドメインを結合する必要があります。

v セキュリティー・グローバル・グループだけがサポートされます。

v Active Directory ユーザーを Tivoli Access Manager ユーザーとしてインポートするには、 Active Directory ユーザーのログイン名を Tivoli Access Manager ユーザーのユーザー ID として使用します。

v Active Directory のクライアント上に Tivoli Access Manager をインストールして構成した場合 (たとえば、Tivoli Access Manager と Active Directory が別のシステム上にある場合) は、クライアント・システムでドメインを結合してから、アドミニストレーターとしてドメインにサインオンして、クライアント・システムで Tivoli Access Manager 構成を実行する必要があります。

v ネットワーク内の DNS で、クライアント・システムの TCP/IP 設定は、ドメイン・コントローラーのネットワーク TCP/IP 設定と同じでなければなりません。ルート・ドメイン・コントローラーを DNS サーバーとして使用することもできますし、別の DNS を使用することもできます。

v Tivoli Access Manager を単一ドメインで構成し、そのドメインが非ルート・ドメインの場合、ルート・ドメイン・コントローラーで adschema_update.exe を手動で実行する必要があります。

Microsoft Active Directory のセットアップ


http://www.microsoft.com/windows2000/en/server/help/

http://www.microsoft.com/windowsserver2003/proddoc/

Active Directory ドメインの作成Active Directory 構成ウィザードを使用して、Windows サーバー・システムをドメイン・コントローラーにプロモートします。ドメイン・コントローラーを作成すると、Active Directory ドメインも作成されます。

始める前に、新規ドメイン用のドメイン・コントローラーを作成するのか、既存のドメイン用に追加のドメイン・コントローラーを作成するのかを決定しなければなりません。新規ドメイン用のドメイン・コントローラーを作成する場合には、この新規ドメインを以下のいずれかにするかどうかも決める必要があります。

v 新規フォレスト内の第 1 ドメイン

v 既存フォレスト内の新規ドメイン・ツリーの第 1 ドメイン

v 既存のドメイン・ツリー内の子ドメイン

注: DNS の「Forward Lookup Zones」に新規ドメイン・ネームがない場合には、新規ドメイン・コントローラーを構成する前に新規ゾーンとして作成する必要があります。ドメイン・コントローラー、ドメイン・ツリー、およびフォレストについて詳しくは Windows サーバーの資料を参照してください。

ドメインを作成する、または追加のドメイン・コントローラーを既存のドメインに追加するには、以下のステップに従ってください。

v 『Active Directory ドメインの結合』

v 87ページの『Active Directory 管理ユーザーの作成』

Active Directory ドメインの結合Active Directory ドメインを作成した後、以下のステップを実行して、Windows

Advanced Server を Active Directory ドメインに結合します。

注: ローカル・システムに管理者としてログオンしており、有効なユーザー名とパスワードを持っていることを確認します。また、クライアントおよびサーバー・システムが同じ DNS 内にあることを確認してから、システムをドメインに追加してください。

1. 「マイコンピュータ」を右マウス・ボタン・クリックし、ポップアップ・ダイアログから「プロパティ」をクリックします。「システムのプロパティ」ノートブックが表示されます。



2. 「ネットワーク ID」タブをクリックします。

3. 「プロパティ」をクリックします。「次のメンバ」の下で「ドメイン」を選択し、結合したいドメインの名前を入力します。「OK」をクリックして先に進み



ます。

4. 「ドメイン・ユーザー名とパスワード」ウィンドウで、有効なユーザー名とパスワードを入力して「OK」をクリックし、システムをドメインに結合します。



5. 結合操作が成功すると、次に示すような「ようこそ」ウィンドウが表示されます。「OK」をクリックして先に進みます。

6. システムの再起動が必要であることを示すダイアログが表示されます。「OK」をクリックして先に進みます。



7. 「システムのプロパティ」ノートブックが表示され、結合操作が完了したことを示します。「OK」をクリックし、システムを再始動します。

注: システムを再始動した後、結合したばかりの AD ドメインにサインインしていることを確認します。通常は、ローカル・ドメインが Windows のログイン・ウィンドウのデフォルト・ドメインです。

Active Directory 管理ユーザーの作成Tivoli Access Manager の初期設定用の Active Directory 管理ユーザーを作成するには、以下のステップに従ってください。

1. Active Directory サーバー・システムで、「スタート」→「プログラム」→「管理ツール」→「Active Directory ユーザーおよびコンピュータ (Active DirectoryUsers and Computers)」を選択します。

2. 新規ユーザーを作成し、この新規ユーザーを Administrators、 Domain Admins、Enterprise Admins および Schema Admins のグループに追加します。このユーザーは、単なる Active Directory ユーザーであり、Tivoli Access Manager ユーザーではありません。 Tivoli Access Manager アドミニストレーター用に予約済みの sec_master 以外は、どの名前もユーザー・ログイン名として選択できます。

Active Directory 複製ドメイン・コントローラーが Active Directory のローカル・コピーに変更を書き込む場合、ドメイン・コントローラーの複製パートナーにその変更を通知すべき時間



を判別するタイマーが開始されます。デフォルトでは、その間隔は 300 秒 (5 分)

です。この間隔が経過すると、ドメイン・コントローラーは、各サイト内複製パートナーに伝搬する必要のある変更の通知を開始します。構成可能な別のパラメーターで、通知と通知の間の休止時間を秒数を判別します。このパラメーターを使用すると、複製パートナー同士が同時に応答するのを回避できます。デフォルトでは、この間隔は 30 秒です。これら両方の間隔は、レジストリーを編集すると変更できます。

Active Directory の変更と複製パートナーへの最初の通知との間の遅延を変更するには、「レジストリエディタ」を使用して、以下のレジストリー・キーの「変更後のレプリケーター通知の一時停止 (秒) (Replicator notify pause after modify(secs))」の DWORD 値の値データを変更します。

HKEY_LOCAL_MACHINE¥System¥CurrentControlSet¥Services¥NTDS¥Parameters

重要: 「レジストリエディタ」を使用してデータを変更するときは、注意が必要です。誤って使用すると深刻な問題を起こすおそれがあり、オペレーティング・システムの再インストールが必要になる場合もあります。

「変更後のレプリケーター通知の一時停止 (秒) (Replicator notify pause aftermodify (secs))」の DWORD 値のデフォルト値データは、16 進形式で 0x12c、10

進数で 300 (5 分) です。

ドメイン・コントローラー間の通知の遅延を変更するには、「レジストリエディタ」を使用して、以下のレジストリー・キーの「DSA 間のレプリケーター通知の一時停止 (秒) (Replicator notify pause between DSAs (secs))」の DWORD 値の値データを変更します。

HKEY_LOCAL_MACHINE¥System¥CurrentControlSet¥Services¥NTDS¥Parameters

「DSA 間のレプリケーター通知の一時停止 (秒) (Replicator notify pausebetween DSAs (secs))」の DWORD 値のデフォルト値データは、16 進形式で0x1e、10 進数で 30 (30 秒) です。

注: レジストリーを編集する前に Policy Server を停止し、その後にシステムを再始動する必要があります。

Active Directory 複数ドメインの構成中には、デフォルトで 5 分のデータ伝搬遅延が生じます。非ルート・ドメインに作成されたばかりのユーザーまたはグループは、ユーザー・リスト・コマンドまたはグループ・リスト・コマンドの発行時には不可視かもしれません。同様に、プライマリー・ルート・ドメイン・コントローラーに新規作成されたユーザーまたはグループも、セカンダリー・ルート・ドメインではすぐに可視にならない可能性があります。 Windows システム・レジストリーの「変更後のレプリケーター通知の一時停止 (Replicator notify pause aftermodify)」および「DSA 間のレプリケーター通知の一時停止 (Replicator notifypause between DSAs)」の値を変更すると、ご使用の環境に最も合う動作に変更できます。



Novell eDirectory のセットアップ開始する前に、次の Web アドレスにある Novell 製品の資料に記載されているように、Novell eDirectory および ConsoleOne ツール用に基本的なサーバーのインストールと構成が完了していることを確認してください。

Novell eDirectory バージョン 8.6.2 については、次の Web サイトを参照してください。

http://www.novell.com/documentation/lg/ndsedir86/index.html

Novell eDirectory バージョン Version 8.7 については、次の Web サイトを参照してください。

http://www.novell.com/documentation/lg/edir87/index.html

さらに、 19ページの『サポートされるレジストリー』のシステム要件をよく読み、適合していることを確認してください。

Novell eDirectory を Tivoli Access Manager 用に構成するには、以下のステップに従ってください。

1. Novell Client ワークステーションにログインし、ConsoleOne を開始します。

2. NDS ツリーを展開し、インストール時に作成したツリーを展開します。そのツリーの下に、2 つの子ツリーがあります。 1 つは組織オブジェクトで、1 つは「セキュリティー」コンテナー・オブジェクトです。

3. 組織アイコンを選択します。ウィンドウの右ペインに、組織のオブジェクトが表示されます。

4. スキーマを、Tivoli Access Manager がインストールできるように更新するには、「LDAP グループ」を右マウス・ボタン・クリックし、「プロパティー」を選択します。「プロパティー」ノートブックが表示されます。

5. 「LDAP グループのプロパティー」ウィンドウから、「クラス・マッピング」タブを選択します。

6. 「LDAP グループ・クラス・マッピングのテーブル (Table of LDAP Group

Class Mappings)」ウィンドウから以下のエントリーを削除し、「適用」を選択します。

inetOrgPersongroupOFNames

7. 「LDAP グループのプロパティー」ウィンドウから、「属性マッピング」タブを選択します。「LDAP グループ属性マッピングのテーブル (Table of LDAP

Group Attribute Mappings)」ウィンドウが表示されます。

8. テーブルをスクロールし、NDS 属性の Member 属性を選択します。対応するLDAP 属性の値も Member であることを確認します。 LDAP 属性値が Member

でない場合は、「変更」をクリックします。

9. 「属性マッピング」ウィンドウから、次のように入力し、「OK」を選択します。

v NDS Attribute = Member

v Primary LDAP Attribute = Member

v Secondary LDAP attribute = uniqueMember

Novell eDirectory のセットアップ




10. 「LDAP グループのプロパティー」ウィンドウから、「適用」および「クローズ」をクリックします。

Tivoli Access Manager で使用できるよう Novell eDirectory をセットアップした後、次に Policy Server をセットアップします。手順については、 97ページの『第5 章 Policy Server のセットアップ』を参照してください。

Novell eDirectory の使用Novell eDirectory は、基本スキーマの一部としてオブジェクト・クラス User および Group を定義します。これらのオブジェクト・クラスのインスタンスは、それぞれユーザーまたはグループを定義すると、eDirectory アドミニストレーターによって作成されます。どちらのオブジェクト・クラスも、eDirectory によってリーフ・ノードとして定義されます。 eDirectory は、これらのオブジェクト・クラスの各定義に、属性 X-NDS_NOT_CONTAINER ’1’ を追加します。この属性は、これらのオブジェクトがコンテナー・オブジェクトではないことを指定します。コンテナー・オブジェクトではないということは、これらのオブジェクト・クラスのインスタンスの下にオブジェクトを定義できないことを意味します。

Tivoli Access Manager では、eDirectory のユーザーやグループをインポートしてTivoli Access Manager で使用できるようにするために、それ自身のオブジェクトをeDirectory の既存のユーザーおよびグループの下に追加する必要があります。 Tivoli

Access Manager は、それ自体のオブジェクト・クラス定義を eDirectory スキーマに追加するときに、eDirectory の User および Group のオブジェクト・クラスも再定義して、これらのクラスのインスタンスがコンテナー・オブジェクトになれるようにします。 Novell eDirectory は、スキーマ定義に対するこの変更を許可します。

以下の Novell eDirectory アドミニストレーター・アクションが実行されると、Userオブジェクト・クラスに対する Tivoli Access Manager の変更は取り消されます。Group オブジェクト・クラスは影響を受けません。

v eDirectory データベース修復ツール ndsrepair を、「スキーマの再ビルド(rebuild schema)」オプションを指定して実行します。

v iManager コンソールから「基本修復 (Basic Repair)」を実行し、「操作可能スキーマの再ビルド (rebuild operational schema)」オプションを指定して「ローカル・データベース修復 (local database repair)」を実行します。

v Novell eDirectory にパッチ更新を適用します。

v Novell eDirectory を新しいバージョンにアップグレードします。

Tivoli Access Manager を eDirectory サーバーに構成した後でこれらの操作を行う必要がある場合は、次の Tivoli Access Manager ユーティリティーを直後に実行し、User オブジェクト・クラスの定義を復元してください。

ivrgy_tool -h edir_server_name -p port -D edir_admin_dn -w edir_admin_pwd schema

ivrgy_tool.exe は、sbin サブディレクトリーにあります。例:

v Windows システムの場合: d:¥Program Files¥Tivoli¥Policy Director¥sbin

v UNIX システムの場合: /opt/PolicyDirector/sbin

Tivoli Access Manager は sbin ディレクトリーをシステムの PATH に追加しないため、このユーティリティーは sbin ディレクトリーから実行する必要があります。このユーティリティーについて詳しくは、 317ページの『ivrgy_tool』を参照してく



ださい。



Sun ONE Directory Server のセットアップ開始する前に、Sun ONE Directory Server 製品の資料に記載されているように、サーバーの基本的なインストールと構成を確実に完了してください。詳しくは、以下の Web アドレスで Sun の資料を参照してください。


Sun ONE Directory Server を Tivoli Access Manager 用に構成するには、以下のステップを実行します。

注: 非 ASCII 文字を属性に保管する場合は、ディレクトリー・サーバーを構成する間、7 ビット検査プラグインを使用不可にする必要があります。このプラグインのデフォルト値は、on に設定されています。

1. ディレクトリー・サーバー・デーモン slapd-serverID が稼働していることを検査します (ps コマンド、またはご使用のオペレーティング・システムにおける同等のコマンドを使用)。

2. ディレクトリー・サーバー・デーモン (slapd-serverID) および管理サーバー・デーモン (admin-serv) が稼働していることを確認します。稼働していない場合は、次のコマンドを入力して開始します。


% ServerRoot/slapd-serverID/start-slapd

% ServerRoot/start-admin

v Window システムの場合は、「サービス」を使用して、Sun ONE

Administration Server 5.2 サービスおよび Sun ONE Directory Server 5.2 サービスを開始します。

3. コンソールを開始するには、次のどちらかを行います。


% ServerRoot/startconsole

v Windows システムの場合は、「スタート」→「プログラム」→ 「Sun ONEServer Products」→「Sun ONE Server Console 5.2」を選択します。

構成ディレクトリー (o=NetscapeRoot ディレクトリー) が Sun ONE Directory

Server の別のインスタンスに保管されていなければ、「Sun ONE Console ログイン (Sun ONE Console Login)」ダイアログが表示されます。別のインスタンスに保管されている場合は、アドミニストレーター・ユーザー DN、パスワード、およびそのディレクトリー・サーバーにおける管理サーバーの Web アドレスを入力するためのウィンドウが表示されます。

4. LDAP アドミニストレーターのユーザー ID とパスワードを使用してログインします。たとえば、cn=Directory Manager と適切なパスワードを入力して、「OK」をクリックします。

Sun ONE Directory Server のセットアップ



Sun ONE Server Console が表示されます。

5. 左側のペインのツリーをナビゲートして、Directory Server をホスティングしているシステムを探し、それをクリックして一般プロパティーを表示します。

6. ツリーで Directory Server の名前をダブルクリックするか、または「オープン(Open)」ボタンをクリックします。その Directory Server インスタンスを管理するための Directory Server Console が表示されます。



7. 「構成 (Configuration)」タブで、左側のペインの「データ (Data)」を右マウス・ボタンでクリックし、「新規サフィックス (New Suffix)」を選択します。「データ (Data)」を選択し、メニュー・バーから「オブジェクト (Object)」→「新規サフィックス (New Suffix)」を選択しても、新しいサフィックスを作成できます。

8. Tivoli Access Manager のデータを保守するサフィックスを作成するには、secAuthority=Default と入力して「OK」をクリックします。

サフィックス作成の進行が、状況ウィンドウに表示されます。

9. 「データ (Data)」ノードを展開し、サフィックスが作成されたことを確認します。ユーザーとグループのデータを保持するサフィックスを作成する場合は、この手順を再度実行して、サフィックスをもう 1 つ作成します。たとえば、o=tivoli,c=us といった名前のサフィックスを作成します。


v secAuthority=Default 以外のサフィックスを追加しなかった場合は、以上で構成は完了です。Policy Server の構成時に、 secAuthority=Default のディレクトリー・エントリーが自動的に追加されます。



v secAuthority=Default 以外のサフィックスを追加した場合は、ステップ 11

に進み、新しいサフィックスごとにディレクトリー・エントリーを作成します。

11. 「ディレクトリー (Directory)」タブを選択し、左側ペインの上部にあるサーバー名を強調表示します。

12. 「オブジェクト (Objects)」→「新規ルート・オブジェクト (New RootObject)」を選択します。まだエントリーが存在していない新規サフィックスのリストが、次のように表示されます。

13. 新規のサフィックス (secAuthority=Default を除く) ごとに、その新規のサフィックスを選択します。「新規オブジェクト (New Object)」ペインが表示されます。スクロールダウンして、作成しているサフィックスに対応するエントリー・タイプを見つけます。たとえば、o=tivoli,c=us という名前のサフィックスに対して組織を選択することができます。次のように、エントリー・タイプを強調表示して、「OK」をクリックします。



14. 「汎用エディター (Generic Editor)」ウィンドウで、エントリーの値を入力します。 o=tivoli,c=us の例の場合は、組織の値として tivoli と入力し、「OK」をクリックします。

15. 追加したサフィックスごとにエントリーを作成したら、「コンソール(Console)」→「終了 (Exit)」を選択してコンソールを閉じます。

Tivoli Access Manager で使用できるよう Sun ONE Directory Server をセットアップしたら、次に Policy Server をセットアップします。手順については、 97ページの『第 5 章 Policy Server のセットアップ』を参照してください。



第 5 章 Policy Server のセットアップ

この章では、Tivoli Access Manager Policy Server システムのインストールおよび構成について説明します。セキュア・ドメインごとに 1 つの Policy Server をインストールし、構成する必要があります。 Policy Server は、レジストリー・サーバーとは別のシステムにセットアップするようお勧めします。

オプション: システム障害に備えて、スタンバイ Policy Server をセットアップできます (AIX の場合のみ)。この機能には High Availability Cluster Multiprocessing

(HACMP) ソフトウェアを含む追加のソフトウェアおよびハードウェアが必要です。説明および基本的な指示については、 287ページの『第 18 章 AIX: スタンバイpolicy server のセットアップ』を参照してください。

このシステムは、以下のいずれかのインストール方法でセットアップできます。

v 『インストール・ウィザードを使用したインストール』


インストール・ウィザードを使用したインストールinstall_ammgr インストール・ウィザードを使用すると、以下のコンポーネントを正しい順序でインストールおよび構成することによって、Tivoli Access Manager

Policy Server システムのセットアップを単純化できます。


v IBM Tivoli Directory Client バージョン 5.2 (必要な場合)

v Access Manager Runtime バージョン 5.1

v Access Manager Policy Server バージョン 5.1

注: ウィザードはコンポーネントがインストール済みかどうかを検出し、再インストールを試みません。

install_ammgr ウィザードを使用して Policy Server システムをインストールし、構成するには、以下のステップに従ってください。


2. Policy Server をインストールする前に、レジストリー・サーバーが (通常モードで) 稼働中であることを確認します。



4. 状況およびメッセージを英語 (デフォルト) 以外の言語で表示するには、インストール・ウィザードを実行する前に言語サポート・パッケージをインストールしてください。手順については、 35ページの『言語サポート・パッケージのインストール』を参照してください。



6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows プラットフォーム用の Tivoli Access Manager Base CD の root ディレクトリーにあるinstall_ammgr プログラムを実行します。

まずインストール・ウィザードは、構成情報 ( 217ページの『install_ammgr ウィザードの使用』を参照) を入力するよう指示します。この情報を指定する (またはデフォルト値を受け入れる) と、この後は介入なしにコンポーネントがインストールおよび構成されます。

これで、Policy Server システムのセットアップが完了しました。別の Tivoli Access

Manager システムをセットアップするには、 18ページの『インストール・プロセス』のステップに従います。

ネイティブ・ユーティリティーを使用したインストール以下の節では、使い慣れたプラットフォーム固有のユーティリティーを使用してTivoli Access Manager ソフトウェアをインストールする方法について説明します。自動インストール・ウィザードとは異なり、正しい順序で各コンポーネントのパッケージおよび前提条件ソフトウェアを手動でインストールしなければなりません。インストールの後でソフトウェア・パッケージを構成するには、pdconfig ユーティリティーを使用します。







AIX: Policy Server のインストール以下の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager Policy Server システムを AIX にインストールするには、以下のステップに従ってください。



3. IBM Tivoli Access Manager Base for AIX CD を挿入してマウントします。


5. IBM Tivoli Directory Client をインストールします。手順については、171 ページを参照してください。

6. 次のパッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images packages

Policy Server のセットアップ



PD.RTE Access Manager Runtime パッケージを指定します。

PD.Mgr Access Manager Policy Server パッケージを指定します。

注: Policy Server をインストールするときは、まず Access Manager Runtime をインストールする必要があります。ただし、Policy Server がインストールされるまで、このコンポーネントを構成しないでください。

7. 状況およびメッセージを英語 (デフォルト) 以外の言語で表示するには、パッケージを構成する前に言語サポート・パッケージをインストールする必要があります。手順については、 35ページの『言語サポート・パッケージのインストール』を参照してください。

8. 以下のようにして、Access Manager Runtime に続いて Access Manager Policy

Server パッケージを構成します。

a. 構成ユーティリティーを開始します。

pdconfig

Tivoli Access Manager セットアップ・メニューが表示されます。

b. 「パッケージの構成」にメニュー番号 1 を入力します。 Tivoli AccessManager 構成メニューが表示されます。

c. 構成するパッケージのメニュー番号を一度に 1 つずつ選択します。

選択したパッケージに応じて、構成オプションを入力するプロンプトが出されます。これらの構成オプションについては、 249ページの『第 16 章pdconfig オプション』を参照してください。

パッケージが正常に構成されたことを示すメッセージが表示されたら、Enterを押して他のパッケージを構成するか、または x オプションを 2 回選択して構成ユーティリティーをクローズします。



Tivoli Access Manager Policy Server の構成によって、pdcacert.b64 という名前のデフォルト SSL 認証局ファイルが作成されることに注意してください。 Access

Manager Policy Server コンポーネントが正常に構成されると、次のようなメッセージが表示されます。

Access Manager Policy Server が正常に構成されました。Manager の CA 証明書は base64 でエンコード化され、テキスト・ファイル/var/PolicyDirector/keytab/pdcacert.b64に保管されます。このファイルをセキュア・ドメインの各マシンに配布してください。正常な構成のために必要です。

Tivoli Access Manager Runtime システムが Tivoli Access Manager サーバーの認証を受けるためには、各ランタイム・システムにこのファイルのコピーが必要です。このファイルを入手するには、以下のいずれかを実行してください。

v Access Manager Runtime パッケージの構成 (pdconfig ユーティリティー) の間に、pdcacert.b64 ファイルの自動ダウンロードを選択します。


第 5 章 Policy Server のセットアップ 99

v Access Manager Runtime コンポーネントを構成する前に、pdcacert.b64 ファイルを Tivoli Access Manager システムに手動でコピーします。

HP-UX: Policy Server のインストール以下の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager Policy Server システムを HP-UX にインストールするには、以下のステップに従ってください。



3. IBM Tivoli Access Manager Base for HP-UX CD を挿入します。







am_update_ldap.sh




PDRTE Access Manager Runtime パッケージを指定します。

PDMgr Access Manager Policy Server パッケージを指定します。

注: Policy Server をインストールするときは、まず Access Manager Runtime

をインストールする必要があります。ただし、Policy Server がインストールされるまで、このコンポーネントを構成しないでください。





pdconfig







パッケージが正常に構成されたことを示すメッセージが表示されたら、Enter を押して他のパッケージを構成するか、または x オプションを 2 回選択して構成ユーティリティーをクローズします。

11. 次のように CD をアンマウントします。

pfs_umount -c /cd-rom

ここで、/cd-rom はマウント・ポイントです。









Linux: Policy Server のインストール以下の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager Policy Server システムを Linux にインストールするには、以下のステップに従ってください。

注: Linux on zSeries ユーザー: まず IBM Tivoli Access Manager for Linux on






3. xSeries または zSeries 用の IBM Tivoli Access Manager Base CD を挿入してマウントします。

4. /mnt/cdrom/series ディレクトリーに移動します。ここで、/mnt/cdrom はご使用の CD のマウント・ポイントで、series には、xSeries または zSeries を指定します。




rpm -ihv packages


Access Manager Runtime Access Manager Policy Server

Linux on xSeries PDRTE-PD-5.1.0-0.i386.rpm PDMgr-PD-5.1.0-0.i386.rpm

Linux on zSeries PDRTE-PD-5.1.0-0.s390.rpm PDMgr-PD-5.1.0-0.s390.rpm






pdconfig
















Solaris: Policy Server のインストール以下の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager Policy Server システムを Solaris にインストールするには、以下のステップに従ってください。



3. IBM Tivoli Access Manager Base for Solaris CD を挿入します。



6. 次のパッケージをインストールします (1 回に 1 つずつ)。


説明:







PDMgr Access Manager Policy Server パッケージを指定します。




各パッケージのインストール・プロセスが完了するたびに、以下のメッセージが表示されます。

Installation of package successful.





pdconfig
















Windows: Policy Server のインストール以下の手順では、setup.exe プログラムを使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager Policy Server システムを Windows にインストールするには、以下のステップに従ってください。



3. IBM Tivoli Access Manager Base for Windows NT、Windows XP、Windows 2000

and Windows 2003 CD を挿入します。



6. Access Manager Runtime および Access Manager Policy Server パッケージをインストールします。そのためには、次のディレクトリーにある setup.exe プログラムを実行します。

windows¥PolicyDirector¥Disk Images¥Disk1

インストールを完了するには、オンラインの指示に従ってください。






pdconfig

「Access Manager 構成」ウィンドウが表示されます。

b. 「Access Manager Runtime」パッケージを選択して、「構成」をクリックします。

c. Access Manager Policy Server パッケージを選択して、「構成」をクリックします。

選択したパッケージに応じて、構成オプションを入力するプロンプトが出されます。これらの構成オプションについては、 249ページの『第 16 章 pdconfig オプション』を参照してください。







Access Manager Policy Server が正常に構成されました。Manager の CA 証明書は base64 でエンコード化され、テキスト・ファイルC:¥PROGRA~1¥Tivoli¥POLICY~1¥keytab¥pdcacert.b64に保管されます。このファイルをセキュア・ドメインの各マシンに配布してください。正常な構成のために必要です。






第 6 章 Authorization server のセットアップ

この章では、Tivoli Access Manager Authorization server システムのインストールと構成について説明します。




インストール・ウィザードを使用したインストールinstall_amacld インストール・ウィザードは、以下のコンポーネントを適正な順序でインストールおよび構成することで、Tivoli Access Manager Authorization server

システムのセットアップを単純化します。




v Access Manager Authorization Server バージョン 5.1


install_amacld ウィザードを使用して Authorization server システムをインストールおよび構成するには、以下のステップに従います。


2. レジストリー・サーバーおよび Policy Server が (通常モードで) 稼働中であることを確認します。




5. Windows システムの場合のみ:

v 実行中のすべてのプログラムを終了します。

v Active Directory を使用している場合、このインストール・ウィザードを実行する前に、IBM Tivoli Directory Client をインストールする必要があります。そのためには、cd_drive:¥windows¥directory¥ にある setup.exe プログラムを実行します。「Client SDK 5.2」機能を選択してインストールし、オンライン手順を終了します。


6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows プラットフォーム用の Tivoli Access Manager Base CD の root ディレクトリーにあるinstall_amacld プログラムを実行します。

まずインストール・ウィザードは、構成情報 ( 237ページの『install_amacld』を参照) を入力するよう指示します。この情報を指定する (またはデフォルト値を受け入れる) と、この後は介入なしにコンポーネントがインストールおよび構成されます。

これで、Authorization server システムのセットアップは完了です。別の Tivoli

Access Manager システムをセットアップするには、 18ページの『インストール・プロセス』のステップに従います。

ネイティブ・ユーティリティーを使用したインストール以下の節では、使い慣れたプラットフォーム固有のユーティリティーを使用してTivoli Access Manager ソフトウェアをインストールする方法について説明します。自動化されたインストール・ウィザードとは異なり、各コンポーネントおよび前提条件ソフトウェアを正しい順序で手動インストールしなければなりません。インストールの後でソフトウェア・パッケージを構成するには、pdconfig ユーティリティーを使用します。







AIX: Authorization server のインストール以下の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager Authorization server システムをインストールするには、以下の手順に従います。








Authorization server のセットアップ




PD.Acld Access Manager Authorization Server パッケージを指定します。


8. Access Manager Runtime に続いて、以下の手順で Access Manager Authorization



pdconfig








HP-UX: Authorization server のインストール以下の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。









第 6 章 Authorization server のセットアップ 109




am_update_ldap.sh





PDAcld Access Manager Authorization Server パッケージを指定します。





pdconfig











Linux: Authorization server のインストール以下の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。













rpm -ihv packages


Access Manager Runtime Access Manager Authorizationserver

Linux on xSeries PDRTE-PD-5.1.0-0.i386.rpm PDAcld-PD-5.1.0-0.i386.rpm

Linux on zSeries PDRTE-PD-5.1.0-0.s390.rpm PDAcld-PD-5.1.0-0.s390.rpm





pdconfig










Solaris: Authorization server のインストール以下の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。









ここで:







PDAcld Access Manager Authorization Server パッケージを指定します。









pdconfig








Windows: Authorization server のインストール以下の手順では、setup.exe プログラムを使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。








6. Access Manager Runtime および Access Manager Authorization Server パッケージをインストールします。そのためには、次のディレクトリーにある setup.exeプログラムを実行します。









pdconfig



c. 「Access Manager Authorization Server」パッケージを選択して、「構成」をクリックします。






第 7 章開発 (ADK) システムのセットアップ

この章では、Tivoli Access Manager 開発 (ADK) システムのインストールと構成について説明します。




インストール・ウィザードを使用したインストールinstall_amadk インストール・ウィザードは、以下のコンポーネントを適正な順序でインストールおよび構成することで、Tivoli Access Manager 開発 (ADK) システムのセットアップを単純化します。




v Access Manager Application Development Kit バージョン 5.1


install_amadk ウィザードを使用して開発 (ADK) システムをインストールおよび構成するには、以下のステップに従います。







6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows プラットフォーム用の Tivoli Access Manager Base CD の root ディレクトリーにあるinstall_amadk プログラムを実行します。


まずインストール・ウィザードは、構成情報 ( 239ページの『install_amadk』を参照) を入力するよう指示します。この情報を指定する (またはデフォルト値を受け入れる) と、この後は介入なしにコンポーネントがインストールおよび構成されます。

これで開発 (ADK) システムのセットアップが完了します。別の Tivoli Access


ネイティブ・ユーティリティーを使用したインストール以下の節では、使い慣れたプラットフォーム固有のユーティリティーを使用してTivoli Access Manager ソフトウェアをインストールする方法について説明します。自動化されたインストール・ウィザードとは異なり、各コンポーネントおよび前提条件ソフトウェアを正しい順序で手動インストールしなければなりません。インストールの後で Access Manager Runtime コンポーネントを構成するには、pdconfigユーティリティーを使用します。







AIX: 開発 (ADK) システムのインストール以下の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager 開発 (ADK) システムをインストールするには、以下のステップに従います。










開発 (ADK) システムのセットアップ


PD.AuthADK Access Manager Application Development Kit パッケージを指定します。


8. Access Manager Runtime パッケージを以下のようにして構成します。


pdconfig



c. 構成するパッケージのメニュー番号を選択します。構成オプションについては、 249ページの『第 16 章 pdconfig オプション』を参照してください。

パッケージが正常に構成されたことを示すメッセージが表示されたら、x オプションを 2 回選択して構成ユーティリティーをクローズします。

これで、Tivoli Access Manager 開発 (ADK) システムのセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 18ページの『インストール・プロセス』のステップに従います。

HP-UX: 開発 (ADK) システムのインストール以下の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。












第 7 章開発 (ADK) システムのセットアップ 117

am_update_ldap.sh





PDAuthADK Access Manager Application Development Kit パッケージを指定します。


10. 以下の手順に従い Access Manager Runtime コンポーネントを構成します。


pdconfig









Linux: 開発 (ADK) システムのインストール以下の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。









Base CD を挿入してマウントします。

4. /mnt/cdrom/series ディレクトリーに移動します。ここで、/mnt/cdrom はご使用の CD のマウント・ポイント、series には xSeries、zSeries または pSeries

を指定します。




rpm -ihv packages


Access Manager Runtime Access Manager ApplicationDevelopment Kit

Linux on xSeries PDRTE-PD-5.1.0-0.i386.rpm PDAuthADK-PD-5.1.0-0.i386.rpm

Linux on zSeries PDRTE-PD-5.1.0-0.s390.rpm PDAuthADK-PD-5.1.0-0.s390.rpm

Linux on pSeries and

iSeries

PDRTE-PD-5.1.0-0.ppc.rpm PDAuthADK-PD-5.1.0-0.ppc.rpm




pdconfig






Solaris: 開発 (ADK) システムのインストール以下の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。











ここで:







PDAuthADK Access Manager Application Development Kit パッケージを指定します。






pdconfig








Windows: 開発 (ADK) システムのインストール以下の手順では、setup.exe プログラムを使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。








6. Access Manager Runtime および Access Manager Application Development Kit パッケージをインストールします。そのためには、次のディレクトリーにあるsetup.exe プログラムを実行します。






pdconfig



構成オプションについては、 249ページの『第 16 章 pdconfig オプション』を参照してください。

パッケージが正常にインストールされたことを示すメッセージが表示されたら、「クローズ」をクリックして構成ユーティリティーを終了します。





第 8 章 Java Runtime Environment システムのセットアップ

この章では、Tivoli Access Manager Java Runtime Environment システムのインストールおよび構成について説明します。




インストール・ウィザードを使用したインストールinstall_amjrte インストール・ウィザードを使用すると、Access Manager Java

Runtime Environment バージョン 5.1 コンポーネントをインストールおよび構成することによって、Tivoli Access Manager Java Runtime Environment システムのセットアップを単純化できます。


install_amjrte ウィザードを使用して Java Runtime Environment システムをインストールし、構成するには、以下のステップに従ってください。




3. Policy Server が稼働中であることを確認します。



6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows プラットフォーム用の Tivoli Access Manager Base CD の root ディレクトリーにあるinstall_amjrte プログラムを実行します。

まずインストール・ウィザードは、構成情報 ( 240ページの『install_amjrte』を参照) を入力するよう指示します。この情報を指定する (またはデフォルト値を受け入れる) と、この後は介入なしにコンポーネントがインストールおよび構成されます。

これで、Java Runtime Environment システムのセットアップが完了しました。別のTivoli Access Manager システムをセットアップするには、 18ページの『インストール・プロセス』のステップに従います。


ネイティブ・ユーティリティーを使用したインストール以下の節では、使い慣れたプラットフォーム固有のユーティリティーを使用してTivoli Access Manager ソフトウェアをインストールする方法について説明します。自動化されたインストール・ウィザードとは異なり、各コンポーネントおよび前提条件ソフトウェアを正しい順序で手動インストールしなければなりません。インストールの後でソフトウェア・パッケージを構成するには、pdjrtecfg ユーティリティーを使用します。

注: Access Manager Runtime コンポーネントがこのシステムにインストールされている場合、pdconfig または pdjrtecfg のいずれかのユーティリティーを使用して、Access Manager Java Runtime Environment コンポーネントを構成できます。







AIX: Java Runtime Environment システムのインストール以下の手順では、installp を使用して Access Manager Java Runtime Environment

パッケージをインストールし、pdjrtecfg ユーティリティーで構成します。

Tivoli Access Manager Java Runtime Environment システムを AIX にインストールするには、以下のステップに従ってください。


2. IBM JRE バージョン 1.3.1.5 をインストールします。手順については、175 ページを参照してください。


4. Access Manager Java Runtime Environment パッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images PDJ.rte



6. Access Manager Java Runtime Environment コンポーネントを構成するには、/opt/PolicyDirector/sbin ディレクトリーに移動して、以下を実行します。

v IBM JRE 1.3.1.5 で使用するように構成するには、次のコマンドを入力します。

./pdjrtecfg -action config -interactive

Java Runtime Environment システムのセットアップ


v Sun JRE 1.4 で使用するように構成するには、次のコマンドを入力します。

./pdjrtecfg -action config -host policy_server_host -port port -java_home jre_path

注:

1. 構成タイプが「完全」である Java Runtime Environment をセットアップするには、Policy Server とレジストリー・サーバーの両方が稼働していることを確認します。構成タイプが「独立型」である場合、これは必要ありません。

2. Sun JRE 1.4 を使用している場合は、pdjrtecfg -interactive または pdconfigユーティリティーを使用しないでください。使用すると構成が失敗することがあります。これらのユーティリティーについて詳しくは、 329ページの『pdjrtecfg』および 328ページの『pdconfig』を参照してください。


HP-UX: Java Runtime Environment システムのインストール以下の手順では、swinstall を使用して Access Manager Java Runtime Environment


Tivoli Access Manager Java Runtime Environment システムを HP-UX にインストールするには、以下のステップに従ってください。


2. IBM JRE バージョン 1.3.1 をインストールします。手順については、176 ページを参照してください。






swinstall -s /cd-rom/hp PDJrte



v IBM JRE 1.3.1 で使用するように構成するには、次のコマンドを入力します。





第 8 章 Java Runtime Environment システムのセットアップ 125

注:


2. Sun JRE 1.4 を使用している場合は、pdjrtecfg -interactive またはpdconfig ユーティリティーを使用しないでください。使用すると構成が失敗することがあります。これらのユーティリティーについて詳しくは、329ページの『pdjrtecfg』および 328ページの『pdconfig』を参照してください。

v 次のように CD をアンマウントします。



これで、Java Runtime Environment システムのセットアップが完了しました。別の Tivoli Access Manager システムをセットアップするには、 18ページの『インストール・プロセス』のステップに従います。

Linux: Java Runtime Environment システムのインストール以下の手順では、rpm を使用して Access Manager Java Runtime Environment パッケージをインストールし、pdjrtecfg ユーティリティーで構成します。

Tivoli Access Manager Java Runtime Environment システムを Linux にインストールするには、以下のステップに従ってください。










rpm -ihv package

ここで、package は以下のとおりです。

v Linux on xSeries の場合: PDJrte-PD-5.1.0-0.i386.rpm

v Linux on zSeries の場合: PDJrte-PD-5.1.0-0.s390.rpm

v Linux on pSeries および iSeries の場合: PDJrte-PD-5.1.0-0.ppc.rpm









注:


2. Sun JRE 1.4 を使用している場合は、pdjrtecfg -interactive またはpdconfig ユーティリティーを使用しないでください。使用すると構成が失敗することがあります。これらのユーティリティーについて詳しくは、 329ページの『pdjrtecfg』および 328ページの『pdconfig』を参照してください。


Solaris: Java Runtime Environment システムのインストール以下の手順では、pkgadd を使用して Access Manager Java Runtime Environment


Tivoli Access Manager Java Runtime Environment システムを Solaris にインストールし、構成するには、以下のステップに従ってください。





pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDJrte










注:


2. Sun JRE 1.4 を使用している場合は、pdjrtecfg -interactive またはpdconfig ユーティリティーを使用しないでください。使用すると構成が失敗することがあります。これらのユーティリティーについて詳しくは、 329ページの『pdjrtecfg』および 328ページの『pdconfig』を参照してください。


Windows: Java Runtime Environment システムのインストール以下の手順では、setup.exe プログラムを使用して Access Manager Java Runtime

Environment パッケージをインストールし、pdjrtecfg ユーティリティーで構成します。

Tivoli Access Manager Java Runtime Environment システムを Windows にインストールし、構成するには、以下のステップに従ってください。

1. Windows アドミニストレーター特権を持つユーザーとしてシステムにログオンします。




4. Access Manager Java Runtime Environment パッケージをインストールします。これを行うには、次のディレクトリーにある setup.exe ファイルを実行してください。


オンラインの指示に従ってインストールを完了します。


6. Access Manager Java Runtime Environment コンポーネントを構成するには、c:¥Program Files¥Tivoli¥Policy Director¥sbin ディレクトリーに移動して、以下を実行します。




pdjrtecfg -action config -interactive


pdjrtecfg -action config -host policy_server_host -port port -java_home jre_path

注:


2. Sun JRE 1.4 を使用している場合は、pdjrtecfg -interactive または pdconfigユーティリティーを使用しないでください。使用すると構成が失敗することがあります。これらのユーティリティーについて詳しくは、 329ページの『pdjrtecfg』および 328ページの『pdconfig』を参照してください。





第 9 章 Policy Proxy Server のセットアップ

この章では、Tivoli Access Manager Policy Proxy Server システムのインストールおよび構成について説明します。




インストール・ウィザードを使用したインストールinstall_amproxy インストール・ウィザードを使用すると、以下のコンポーネントを正しい順序でインストールおよび構成することによって、Tivoli Access Manager

Policy Proxy Server システムのセットアップを単純化できます。




v Access Manager Policy Proxy Server バージョン 5.1


install_amproxy ウィザードを使用して Policy Proxy Server システムをインストールし、構成するには、以下のステップに従ってください。






5. Windows システムの場合のみ:

v 実行中のすべてのプログラムを終了します。

v Active Directory を使用している場合、このインストール・ウィザードを実行する前に、IBM Tivoli Directory Client をインストールする必要があります。そのためには、cd_drive:¥windows¥directory¥ にある setup.exe プログラムを実行します。「Client SDK 5.2」機能を選択してインストールし、オンライン手順を終了します。


6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows プラットフォーム用の Tivoli Access Manager Base CD の root ディレクトリーにあるinstall_amproxy プログラムを実行します。

まずインストール・ウィザードは、構成情報 ( 243ページの『install_amproxy』を参照) を入力するよう指示します。この情報を指定する (またはデフォルト値を受け入れる) と、この後は介入なしにコンポーネントがインストールおよび構成されます。

これで、Policy Proxy Server システムのセットアップが完了しました。別の Tivoli









AIX: Policy Proxy Server のインストール以下の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager Policy Proxy Server システムをインストールするには、以下のステップに従ってください。








Policy Proxy Server のセットアップ




PD.Proxy Access Manager Proxy Policy Server パッケージを指定します。



Proxy Server パッケージを構成します。


pdconfig








HP-UX: Policy Proxy Server のインストール以下の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。









第 9 章 Policy Proxy Server のセットアップ 133




am_update_ldap.sh



ここで /cd-rom/hp はディレクトリーで、packages は以下のようになります。


PDProxy Access Manager Policy Proxy Server パッケージを指定します。





pdconfig











Linux: Policy Proxy Server のインストール以下の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。













rpm -ihv packages


Access Manager Runtime Access Manager Policy ProxyServer

Linux on xSeries PDRTE-PD-5.1.0-0.i386.rpm PDMgrPrxy-PD-5.1.0-0.i386.rpm

Linux on zSeries PDRTE-PD-5.1.0-0.s390.rpm PDMgrPrxy-PD-5.1.0-0.s390.rpm





pdconfig










Solaris: Policy Proxy Server のインストール以下の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。









説明:







PDProxy Access Manager Policy Proxy Server パッケージを指定します。









pdconfig








Windows: Policy Proxy Server のインストール以下の手順では、setup.exe プログラムを使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。








6. Access Manager Runtime および Access Manager Policy Proxy Server パッケージをインストールします。そのためには、次のディレクトリーにある setup.exeプログラムを実行します。









pdconfig



c. Access Manager Policy Proxy Server パッケージを選択して、「構成」をクリックします。






第 10 章 Runtime システムのセットアップ

この章では、Tivoli Access Manager Runtime システムのインストールおよび構成について説明します。




インストール・ウィザードを使用したインストールinstall_amrte インストール・ウィザードを使用すると、以下のコンポーネントを正しい順序でインストールおよび構成することによって、Tivoli Access Manager

Runtime システムのセットアップを単純化できます。





install_amrte ウィザードを使用して Runtime システムをインストールし、構成するには、以下のステップに従ってください。







6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows プラットフォーム用の Tivoli Access Manager Base CD の root ディレクトリーにあるinstall_amrte プログラムを実行します。

まずインストール・ウィザードは、構成情報を入力するよう指示します。 228

ページ (LDAP)、231 ページ (Active Directory)、または 235 ページ (Domino)

を参照してください。この情報を指定する (またはデフォルト値を受け入れる)

と、この後は介入なしにコンポーネントがインストールおよび構成されます。


これで、Runtime システムのセットアップが完了しました。別の Tivoli Access


Runtime システムのセットアップ









AIX: Runtime システムのインストール以下の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager Runtime システムをインストールし、構成するには、以下のステップに従ってください。






6. Access Manager Runtime パッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images PD.RTE





pdconfig




第 10 章 Runtime システムのセットアップ 141

c. 構成するパッケージのメニュー番号を一度に 1 つずつ選択します。構成オプションについては、 249ページの『第 16 章 pdconfig オプション』を参照してください。


これで、Runtime システムのセットアップが完了しました。別の Tivoli Access


HP-UX: Runtime システムのインストール以下の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager を HP-UX にインストールするには、以下のステップに従ってください。










am_update_ldap.sh


swinstall -s /cd-rom/hp PDRTE

ここで /cd-rom/hp はディレクトリーで、PDRTE は Runtime パッケージです。




pdconfig





構成するパッケージのメニュー番号を選択します。構成オプションについては、 249ページの『第 16 章 pdconfig オプション』を参照してください。





これで、Tivoli Access Manager Runtime システムのセットアップが完了しました。別の Tivoli Access Manager システムをセットアップするには、 18ページの『インストール・プロセス』のステップに従います。

Linux: Runtime システムのインストール以下の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager パッケージを Linux にインストールするには、以下のステップに従ってください。












rpm -ihv package


v Linux on xSeries の場合: PDRTE-PD-5.1.0-0.i386.rpm

v Linux on zSeries の場合: PDRTE-PD-5.1.0-0.s390.rpm

v Linux on pSeries および iSeries の場合: PDRTE-PD-5.1.0-0.ppc.rpm






pdconfig





Solaris: Runtime システムのインストール以下の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Managerパッケージをインストールするには、以下のステップに従ってください。







pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDRTE









pdconfig






Windows: Runtime システムのインストール以下の手順では、setup.exe プログラムを使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーで構成します。

Tivoli Access Manager Runtime システムをインストールするには、以下のステップに従ってください。







6. Access Manager Runtime パッケージをインストールします。そのためには、次のディレクトリーにある setup.exe プログラムを実行します。



7. 状況およびメッセージを英語 (デフォルト) 以外の言語で表示するには、パッケージを構成する前に言語サポート・パッケージをインストールしてください。手順については、 35ページの『言語サポート・パッケージのインストール』を参照してください。



pdconfig





構成オプションのプロンプトが出されます。これらの構成オプションについては、 249ページの『第 16 章 pdconfig オプション』を参照してください。




第 11 章 Web Portal Manager システムのセットアップ

この章では、Tivoli Access Manager Web Portal Manager システムのインストールおよび構成について説明します。




インストール・ウィザードを使用したインストールinstall_amwpm インストール・ウィザードを使用すると、以下のコンポーネントを正しい順序でインストールおよび構成することによって、Tivoli Access Manager

Web Portal Manager システムのセットアップを単純化できます。

v IBM WebSphere Application Server バージョン 5.0.2 (IBM HTTP Server バージョン 1.3.26 を含む)

v Access Manager Java Runtime Environment バージョン 5.1

v Access Manager Web Portal Manager バージョン 5.1


install_amwpm ウィザードを使用して Web Portal Manager システムをインストールおよび構成するには、以下のステップに従ってください。

注: Web Portal Manager インストール・ウィザードは、HP-UX では使用できません。 IBM Tivoli Directory Server が HP-UX 上にインストールされている場合は、 152ページの『HP-UX: Web Portal Manager システムのインストール』にある指示を参照してください。





注: サポートされている IBM JRE 以外の JRE に対して Web Portal Manager

を構成しても、構成が失敗することがあります。



5. サポートされている Web ブラウザーがセキュア・ドメインのシステムにインストールされていることを確認します。 Web Portal Manager は、以下をサポートしています。




7. AIX、Linux、Solaris、Windows 2000、および Windows 2003 プラットフォーム用の Tivoli Access Manager Web Administration Interfaces CD のルート・ディレクトリーにある install_amwpm プログラムを実行します。

まずインストール・ウィザードは、構成情報 ( 245ページの『install_amwpm』を参照) を入力するよう指示します。この情報を指定する (またはデフォルト値を受け入れる) と、この後は介入なしにコンポーネントがインストールおよび構成されます。

8. AIX、Linux on xSeries、Solaris、または Windows 2000 にインストールする場合は、以下のようにしてフィックスパック 2 をインストールします。

注: サポートされているその他のプラットフォームは、WebSphere Application

Server 5.0.2 レベルでインストール済みです。

a. WebSphere Application Server および IBM HTTP Server を停止します。同じマシンに LDAP レジストリー・サーバーがインストールされている場合は、LDAP サーバーが停止していることも確認してください。

b. JAVA_HOME システム変数が設定されていることを確認します。

c. プラットフォームに対応する IBM Tivoli Access Manager WebSphere Fix

Pack CD を挿入します。

d. CD の内容を、ハード・ディスクの一時ディレクトリーにコピーします。

e. platform/websphere_fixpack サブディレクトリー (CD の内容がコピーされている場所) にある updateWizard スクリプト (UNIX) またはバッチ・ファイル (Windows) を実行します。

「更新インストール・ウィザード (Update Installation Wizard)」が表示されます。

f. オンライン指示に従ってフィックスパック 2 をインストールします。フィックスパック・ファイルをコピーした一時ディレクトリーを入力します。たとえば websphere_fixpack ディレクトリーを CD からシステム上の C:¥temp

ディレクトリーにコピーした場合、フィックスパック・ディレクトリー・フィールドに次のように入力します。

C:¥temp¥websphere_fixpack¥fixpacks

インストールが完了したら、「終了 (Finish)」をクリックします。

注: Tivoli Access Manager は、Embedded Messaging を必要としません。このインストール・ウィザードは、このフィーチャーをインストールしません。 WebSphere Application Server 5.0 に Embedded Messaging がすでにセットアップされている場合、この機能の更新を選択できます。

Web Portal Manager システムのセットアップ


g. WebSphere とともにインストールされた JRE で使用できるよう、Access

Manager Java Runtime Environment コンポーネントを構成します。これを行うには、以下のステップに従います。

1) /opt/PolicyDirector/sbin ディレクトリーに移動し、次のコマンドを入力します。


2) 「完全」構成タイプを選択します。

3) IBM WebSphere Application Server とともにインストールされた JRE を指定します。例:

/usr/WebSphere/AppServer/java/jre

4) Policy Server のホスト名、ポート、およびドメインを指定します。

注: このユーティリティーについて詳しくは、 329ページの『pdjrtecfg』を参照してください。

h. WebSphere Application Server および IBM HTTP Server を以下のようにして再始動します。

1) WebSphere Application Server を再始動するには、以下のいずれかを実行します。

v UNIX システムの場合、/usr/WebSphere/AppServer/bin ディレクトリーにある startServer.sh スクリプトを以下のようにして実行します。

./stopServer.sh server1

./startServer.sh server1

v Windows 2000 システムの場合、「スタート」→「設定」→「コントロールパネル」→ 「管理ツール」を選択し、「サービス」アイコンをダブルクリックしてこのサーバーを再始動します。

2) IBM HTTP Server を再始動するには、以下のいずれかを実行します。

v AIX システムでは、次のコマンドを入力します。

/usr/HTTPServer/apachectl restart

v HP-UX、Linux on xSeries、および Solaris システムでは、次のコマンドを入力します。

/opt/IBMHTTPServer/apachectl restart

v Windows 2000 システムの場合、「スタート」→「設定」→「コントロールパネル」→ 「管理ツール」を選択し、「サービス」アイコンをダブルクリックしてこのサーバーを再始動します。

9. Web Portal Manager インターフェースにアクセスするには、次のアドレスをWeb ブラウザーに入力します。

http://hostname/pdadmin

ここで hostname は、IBM WebSphere Application Server が IBM HTTP Server

を実行しているシステムの名前です。

これで、Web Portal Manager システムのセットアップが完了しました。別の Tivoli

Access Manager システムをセットアップするには、 18ページの『インストール・プロセス』のステップに従います。 Web Portal Manager 管理タスクについて詳しくは、「IBM Tivoli Access Manager Base 管理者ガイド」を参照してください。


第 11 章 Web Portal Manager システムのセットアップ 149

Tivoli Access Manager は、ブラウザーと WebSphere Application Server によって使用される HTTP サーバーとの間のセキュア接続を Web Portal Manager に行わせるためのデフォルトの証明書を提供していません。 CA 証明書を購入し、Web Portal

Manager 環境に構成するようお勧めします。

ネイティブ・ユーティリティーを使用したインストール以下の節では、使い慣れたプラットフォーム固有のユーティリティーを使用してTivoli Access Manager ソフトウェアをインストールする方法について説明します。自動化されたインストール・ウィザードとは異なり、各コンポーネントおよび前提条件ソフトウェアを正しい順序で手動インストールしなければなりません。インストール後にソフトウェア・パッケージを構成するには、以下の手順に説明されているように pdjrtecfg および amwpmcfg ユーティリティーを使用してください。







AIX: Web Portal Manager システムのインストール以下の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および amwpmcfg ユーティリティーで構成します。

Tivoli Access Manager Web Portal Manager システムを AIX にインストールするには、以下のステップに従ってください。






4. IBM JRE 1.3.1.5 がインストールされていることを確認します。手順については、175 ページを参照してください。




6. IBM Tivoli Access Manager Web Administration Interfaces for AIX CD を挿入し、マウントします。






PDJ.rte Access Manager Java Runtime Environment パッケージを指定します。

PD.WPM Access Manager Web Portal Manager パッケージを指定します。

注: これらのパッケージは、IBM WebSphere Application Server と同じシステムにインストールしなければなりません。


9. WebSphere とともにインストールされた JRE で使用できるよう、Access


a. /opt/PolicyDirector/sbin ディレクトリーに移動し、次のコマンドを入力します。


b. 「完全」構成タイプを選択します。

c. IBM WebSphere Application Server とともにインストールされた JRE を指定します。例:


d. Policy Server のホスト名、ポート、およびドメインを指定します。


10. Access Manager Web Portal Manager パッケージを構成します。

./amwpmcfg -action config -interactive

注: このユーティリティーについて詳しくは、 314ページの『amwpmcfg』を参照してください。

11. Web Portal Manager インターフェースを開始する前に、WebSphere Application

Server および IBM HTTP Server を再始動します。

WebSphere Application Server を再始動するには、/usr/WebSphere/AppServer/bin ディレクトリーにある startServer.sh スクリプトを以下のようにして実行します。



IBM HTTP Server を再始動するには、次のコマンドを入力します。

/usr/HTTPServer/apachectl restart

注: IBM HTTP Server を使用しないレジストリー・サーバーがインストールされていて、さらに同じシステム上に Web Portal Manager をインストール



する場合は、必ず Web サーバー・ポートが異なっていることを確認してください。 IBM HTTP Server のデフォルト・ポートを変更するには、/usr/HTTPServer/conf/httpd.conf ファイルを開いて、以下のようにデフォルト・ポート 80 を 8080 に変更します。その後、IBM HTTP

Server を再始動してください。

# Port: The port the standalone listens to.Port 8080









HP-UX: Web Portal Manager システムのインストール以下の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および amwpmcfg ユーティリティーで構成します。

Tivoli Access Manager Web Portal Manager システムを HP-UX にインストールするには、以下のステップに従ってください。






4. IBM JRE 1.3.1 がインストールされていることを確認します。手順については、176 ページを参照してください。




6. IBM Tivoli Access Manager Web Administration Interfaces for HP-UX CD を挿入してマウントします。








ここで /cd-rom/hp はディレクトリーで、packages は以下のようになります。

PDJrte Access Manager Java Runtime Environment パッケージを指定します。

PDWPM Access Manager Web Portal Manager パッケージを指定します。






















WebSphere Application Server を再始動するには、/usr/WebSphere/AppServer/bin ディレクトリーにある startServer.sh スクリプトを以下のようにして実行します。





注: IBM HTTP Server を使用しないレジストリー・サーバーがインストールされていて、さらに同じシステム上に Web Portal Manager をインストールする場合は、必ず Web サーバー・ポートが異なっていることを確認してください。 IBM HTTP Server のデフォルト・ポートを変更するには、/opt/IBMHTTPServer/conf/httpd.conf ファイルを開いて、以下のようにデフォルト・ポート 80 を 8080 に変更します。その後、IBM HTTP











Linux: Web Portal Manager システムのインストール以下の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および amwpmcfg ユーティリティーで構成します。

Tivoli Access Manager Web Portal Manager システムを Linux にインストールするには、以下のステップに従ってください。












6. xSeries、zSeries、または pSeries および iSeries 用の IBM Tivoli Access

Manager Web Administration Interfaces CD を挿入してマウントします。




rpm -ihv packages


Access Manager Java RuntimeEnvironment

Access Manager Web PortalManager

Linux on xSeries PDJrte-PD-5.1.0-0.i386.rpm PDWPM-PD-5.1.0-0.i386.rpm

Linux on zSeries PDJrte-PD-5.1.0-0.s390.rpm PDWPM-PD-5.1.0-0.s390.rpm

Linux on pSeries and

iSeries

PDJrte-PD-5.1.0-0.ppc.rpm PDWPM-PD-5.1.0-0.ppc.rpm









/opt/WebSphere/AppServer/java/jre










WebSphere Application Server を再始動するには、/opt/WebSphere/AppServer/bin ディレクトリーにある startServer.sh スクリプトを以下のようにして実行します。
















Solaris: Web Portal Manager システムのインストール以下の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および amwpmcfg ユーティリティーで構成します。



Web Portal Manager システムを Solaris にインストールし、構成するには、以下のステップに従ってください。










6. IBM Tivoli Access Manager Web Administration Interfaces for Solaris CD を挿入します。



説明:






PDJrte Access Manager Java Runtime Environment パッケージを指定します。

PDWPM Access Manager Web Portal Manager パッケージを指定します。











/opt/WebSphere/AppServer/java/jre



e. Access Manager Web Portal Manager パッケージを構成します。





WebSphere Application Server を再始動するには、/opt/WebSphere/AppServer/bin ディレクトリーにある startServer.sh スクリプトを以下のようにして実行します。




/opt/IBMHTTPServer/bin/apachectl restart










Tivoli Access Manager は、ブラウザーと WebSphere Application Server によって使用される HTTP サーバーとの間のセキュア接続を Web Portal Manager に行わせる



ためのデフォルトの証明書を提供していません。 CA 証明書を購入し、Web Portal


Windows: Web Portal Manager システムのインストール以下の手順では、setup.exe を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および amwpmcfg ユーティリティーで構成します。

Web Portal Manager システムを Windows にインストールし、構成するには、以下のステップに従ってください。









5. IBM WebSphere Application Server をインストールします。 188ページの『Windows: WebSphere Application Server のインストール』を参照してください。

6. Windows 2000 または Windows 2003 用の IBM Tivoli Access Manager Web

Administration Interfaces CD を挿入します。

7. Access Manager Java Runtime Environment および Access Manager Web Portal

Manager パッケージをインストールします。これを行うには、次のディレクトリーにある setup.exe ファイルを実行してください。







a. install_dir¥sbin ディレクトリー (たとえば C:¥Program

Files¥Tivoli¥Policy Director¥sbin) に移動して、次のコマンドを入力します。




b. 「完全」構成タイプを選択して、「次へ」をクリックします。構成オプションについて詳しくは「ヘルプ」をクリックします。


C:¥Program Files¥WebSphere¥AppServer¥java¥jre


d. Policy Server のホスト名、ポート、およびドメインを指定します。「OK」をクリックして、構成を開始します。

e. 構成が正常に完了したら、「OK」をクリックして構成ユーティリティーを終了します。


10. Access Manager Web Portal Manager パッケージを構成します。これを行うには、以下のステップに従います。

a. install_dir¥sbin ディレクトリー (たとえば C:¥Program

Files¥Tivoli¥Policy Director¥sbin) に移動して、次のコマンドを入力します。

amwpmcfg -action config -interactive


b. IBM WebSphere Application Server がインストールされているインストール・パスを指定します。たとえば、デフォルト・パスは次のようになります。

C:¥Program Files¥WebSphere¥AppServer


c. Policy Server のホスト名とポートを指定します。「OK」をクリックして先に進みます。

d. Tivoli Access Manager アドミニストレーター名 (sec_master)、アドミニストレーター・パスワード、およびドメインを指定します。「OK」をクリックして、構成を開始します。

e. 構成が正常に完了したら、「OK」をクリックして構成ユーティリティーを終了します。

11. 推奨: IBM WebSphere Application Server および IBM HTTP Server を再始動してください。たとえば、「スタート」→「設定」→「コントロールパネル」→「管理ツール」を選択し、「サービス」アイコンをダブルクリックしてこれらのサーバーを再始動します。

注: IBM HTTP Server を使用しないレジストリー・サーバーがインストールされていて、さらに同じシステム上に Web Portal Manager をインストールする場合は、必ず Web サーバー・ポートが異なっていることを確認してください。 IBM HTTP Server のデフォルト・ポートを変更するには、C:¥Program Files¥IBMHTTPServer¥conf¥httpd.conf ファイルを開いて、以



下のようにデフォルト・ポート 80 を 8080 に変更します。その後、IBM

HTTP Server を再始動してください。


12. Web Portal Manager を開始するには、次のアドレスを Web ブラウザーに入力します。











第 3 部参照情報第 12 章前提条件製品のインストール . . . . 165Global Security Kit のインストール . . . . . . 165

AIX: Global Security Kit のインストール . . . 165HP-UX: Global Security Kit のインストール . . 166Linux: Global Security Kit のインストール . . . 166Solaris: Global Security Kit のインストール . . 167Windows: Global Security Kit のインストール 168GSKit iKeyman ユーティリティーのセットアップ . . . . . . . . . . . . . . . . 168

IBM Tivoli Directory Client のインストール . . . 171AIX: IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . . 171HP-UX: IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . 171Linux: IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . . 172Solaris: IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . 173Windows: IBM Tivoli Directory Client のインストール . . . . . . . . . . . . . . . 173

IBM JRE のインストール . . . . . . . . . 175AIX: IBM JRE バージョン 1.3.1.5 のインストール . . . . . . . . . . . . . . . . 175HP-UX: IBM JRE バージョン 1.3.1 のインストール . . . . . . . . . . . . . . . 176Linux: IBM JRE, バージョン 1.3.1 のインストール . . . . . . . . . . . . . . . . 176Solaris: IBM JRE バージョン 1.3.1 のインストール . . . . . . . . . . . . . . . 177Windows: IBM JRE バージョン 1.3.1 のインストール . . . . . . . . . . . . . . . 178

WebSphere Application Server のインストール . . 179AIX: WebSphere Application Server のインストール . . . . . . . . . . . . . . . 179

AIX: WebSphere Application Server (フィックスパック 2 付き) のインストール . . . . 180

HP-UX: WebSphere Application Server のインストール . . . . . . . . . . . . . . . 181

HP-UX: WebSphere Application Server (フィックスパック 2 付き) のインストール . . . . 183

Linux: WebSphere Application Server のインストール . . . . . . . . . . . . . . . 184

Linux on xSeries: WebSphere ApplicationServer (フィックスパック 2 付き) のインストール . . . . . . . . . . . . . . 185

Solaris: WebSphere Application Server のインストール . . . . . . . . . . . . . . . 186

Solaris: WebSphere Application Server (フィックスパック 2 付き) のインストール . . . . 187

Windows: WebSphere Application Server のインストール . . . . . . . . . . . . . . 188

Windows 2000: WebSphere Application Server(フィックスパック 2 付き) のインストール . 190

Web Administration Tool のインストール . . . . 191AIX: Web Administration Tool のインストール 191HP-UX: Web Administration Tool のインストール . . . . . . . . . . . . . . . . 192Linux: Web Administration Tool のインストール 193Solaris: Web Administration Tool のインストール 194Windows: Web Administration Tool のインストール . . . . . . . . . . . . . . . . 195WebSphere への Web Administration Tool のインストール . . . . . . . . . . . . . . 196

第 13 章コンポーネントのアンインストール . . 199Tivoli Access Manager コンポーネントの構成解除 199IBM Tivoli Directory Server の構成解除 . . . . 200AIX: パッケージの除去 . . . . . . . . . . 201HP-UX: パッケージの除去 . . . . . . . . . 201Linux: パッケージの除去 . . . . . . . . . 202Solaris: パッケージの除去 . . . . . . . . . 203Windows: パッケージの除去 . . . . . . . . 204

第 14 章インストール・ウィザードのシナリオ 205install_ldap_server ウィザードの使用 . . . . . . 206プリインストール要件 . . . . . . . . . 206install_ldap_server のシナリオ . . . . . . . 208

install_ammgr ウィザードの使用 . . . . . . . 217

第 15 章インストール・ウィザードのオプション 227Access Manager Runtime (LDAP) . . . . . . . 228Access Manager Runtime (Active Directory). . . . 231Access Manager Runtime (Domino) . . . . . . 235install_amacld . . . . . . . . . . . . . 237install_amadk . . . . . . . . . . . . . . 239install_amjrte . . . . . . . . . . . . . . 240install_ammgr . . . . . . . . . . . . . 241install_amproxy . . . . . . . . . . . . . 243install_amrte . . . . . . . . . . . . . . 244install_amwpm . . . . . . . . . . . . . 245install_ldap_server . . . . . . . . . . . . 247

第 16 章 pdconfig オプション . . . . . . . 249Access Manager Runtime — LDAP . . . . . . 250Access Manager Runtime — Active Directory . . . 251Access Manager Runtime — Domino . . . . . . 253Access Manager Authorization Server . . . . . . 254Access Manager Java Runtime Environment . . . . 255Access Manager Policy Server . . . . . . . . 256Access Manager Policy Proxy Server . . . . . . 257Access Manager Web Portal Manager . . . . . . 258

第 17 章 Secure Sockets Layer の使用可能化 259


SSL アクセスのための IBM Tivoli Directory Serverの構成 . . . . . . . . . . . . . . . . 260鍵データベース・ファイルおよび証明書の作成 260認証局からの個人証明書の取得 . . . . . . 261自己署名証明書の作成と抽出 . . . . . . . 262SSL アクセスの使用可能化 . . . . . . . . 263

SSL アクセスのための IBM z/OS および OS/390セキュリティー・サーバーの構成 . . . . . . . 265セキュリティー・オプションのセットアップ . . 266鍵データベース・ファイルの作成 . . . . . . 267

SSL アクセスのための Microsoft Active Directoryの構成 . . . . . . . . . . . . . . . . 268

Active Directory サーバー上の証明書のエクスポート . . . . . . . . . . . . . . . 268LDAP クライアント・システムへの証明書のインポート . . . . . . . . . . . . . . 269SSL アクセスのテスト . . . . . . . . . 270

SSL アクセスのための Novell eDirectory サーバーの構成 . . . . . . . . . . . . . . . . 270組織の認証局オブジェクトの作成 . . . . . . 271自己署名証明書の作成 . . . . . . . . . 272LDAP サーバー用のサーバー証明書の作成 . . 272SSL の使用可能化 . . . . . . . . . . . 273IBM 鍵ファイルへの自己署名 CA 証明書の追加 273

SSL アクセスのための Sun ONE Directory Serverの構成 . . . . . . . . . . . . . . . . 274サーバー証明書の取得 . . . . . . . . . 274サーバー証明書のインストール . . . . . . 276SSL アクセスの使用可能化 . . . . . . . . 277

SSL アクセスのための IBM Tivoli Directory Clientの構成 . . . . . . . . . . . . . . . . 278鍵データベース・ファイルの作成 . . . . . . 278署名者証明書の追加 . . . . . . . . . . 279SSL アクセスのテスト . . . . . . . . . 280

LDAP サーバーおよびクライアント認証の構成 . . 281鍵データベース・ファイルの作成 . . . . . . 281認証局からの個人証明書の取得 . . . . . . 282自己署名証明書の作成と抽出 . . . . . . . 283署名者証明書の追加 . . . . . . . . . . 284SSL アクセスのテスト . . . . . . . . . 285

第 18 章 AIX: スタンバイ policy server のセットアップ . . . . . . . . . . . . . . . 287プリインストール要件 . . . . . . . . . . 289HACMP 環境のシナリオ. . . . . . . . . . 290

HACMP の構成の例 . . . . . . . . . . 293パート 1: HACMP の全体的なクラスター・トポロジー . . . . . . . . . . . . 294パート 2: HACMP トポロジー内のクラスター・リソース . . . . . . . . . . . 295パート 3: HACMP トポロジー内のアプリケーション・サーバーの定義 . . . . . . . 300

スタンバイ policy server 環境の作成 . . . . . 300スクリプト: 主システムとスタンバイ・システムの両方に対する UID の設定 . . . . . . . 305

スクリプト: 主システムのファイルとディレクトリーのリンク . . . . . . . . . . . . 307例: 主サーバーのディレクトリー、ソフト・リンク、アクセス許可の確認 . . . . . . . . . 308スクリプト: AIX システム・ファイルからスタンバイ・システム上の共用ディレクトリーへのリンク . . . . . . . . . . . . . . . 310例: スタンバイ・サーバーのディレクトリー、ソフト・リンク、アクセス許可の確認 . . . . . 311

第 19 章 Tivoli Access Manager ユーティリティー . . . . . . . . . . . . . . . . 313amwpmcfg . . . . . . . . . . . . . . 314ivrgy_tool . . . . . . . . . . . . . . . 317pdbackup . . . . . . . . . . . . . . . 319pdconfig . . . . . . . . . . . . . . . 328pdjrtecfg . . . . . . . . . . . . . . . 329pd_start . . . . . . . . . . . . . . . 333

第 20 章応答ファイルの使用 . . . . . . . 335応答ファイル・テンプレート . . . . . . . . 336


第 12 章前提条件製品のインストール

本書の第 2 部で、Tivoli Access Manager Base システムの中に指示された場合は、次の情報を参照してください。

Global Security Kit のインストールIBM Global Security Kit (GSKit) は、Tivoli Access Manager システムとサポートされるレジストリー・サーバーとの間で、Secure Sockets Layer (SSL) データ暗号化を行います。 GSKit パッケージでは、鍵データベース、公開鍵と秘密鍵のペア、および証明書要求の作成を可能にする iKeyman 鍵管理ユーティリティー (gsk7ikm) もインストールされます。







AIX: Global Security Kit のインストールGSKit を AIX システム上にインストールするには、以下のステップを実行します。


2. IBM Tivoli Access Manager for AIX CD を挿入してマウントします。

3. 以下のコマンドを入力して、32 ビット・ランタイム・パッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images gskta.rte


注: GSKit を IBM Tivoli Directory Server システム上にインストールする場合は、32 ビットおよび 64 ビットの両方のランタイム・パッケージが必要です。 64 ビット・パッケージをインストールするには、次のコマンドを入力します。

installp -acgXd cd_mount_point/usr/sys/inst.images gsksa.rte

4. GSKit がインストールされていることを検証するには、次を入力します。

lslpp -l | grep gsk

GSKit をインストールした後、構成作業は必要ありません。

GSKit と共にインストールされた鍵管理ユーティリティーをセットアップするには、 168ページの『GSKit iKeyman ユーティリティーのセットアップ』の手順を参照してください。詳しくは、 259ページの『第 17 章 Secure Sockets Layer の使用


可能化』または「IBM Global Security Kit Secure Sockets Layer の入門およびiKeyman ユーザーズ・ガイド」を参照してください。

HP-UX: Global Security Kit のインストールGSKit を HP-UX システム上にインストールするには、以下のステップを実行します。


2. IBM Tivoli Access Manager for HP-UX CD を挿入します。





swinstall -s /cd-rom/hp/gsk7bas gsk7bas

/cd-rom/hp はディレクトリーです。





GSKit と共にインストールされた鍵管理ユーティリティーをセットアップするには、 168ページの『GSKit iKeyman ユーティリティーのセットアップ』の手順を参照してください。詳しくは、 259ページの『第 17 章 Secure Sockets Layer の使用可能化』または「IBM Global Security Kit Secure Sockets Layer の入門およびiKeyman ユーザーズ・ガイド」を参照してください。

Linux: Global Security Kit のインストールGSKit を Linux システム上にインストールするには、以下のステップを実行します。





CD を挿入してマウントします。




Global Security Kit のインストール


v GSKit をデフォルトの場所にインストールには、次のようにします。

rpm -ih package


– Linux on xSeries の場合: gsk7bas-7.0-1.9.i386.rpm

– Linux on zSeries の場合: gsk7bas-7.0-1.9.s390.rpm

– Linux on pSeries および Linux on iSeries の場合:

gsk7bas-7.0-1.0.ppc32.rpm

v 指定したロケーションにインストールするには、ディレクトリーへの書き込みアクセス権限が必要で、--noscripts フラグを使用します。次のようにします。

rpm -ih --prefix new_location package --noscripts

ここで、new_location に GSKit のインストール先のパスを指定します。次に例を示します。

rpm -ihv --prefix /tmp/usr gsk7bas-7.0-1.9.i386.rpm --noscripts



Solaris: Global Security Kit のインストールGSKit を Solaris システム上にインストールするには、以下のステップを実行します。


2. IBM Tivoli Access Manager for Solaris CD を挿入します。

3. Global Security Kit パッケージをインストールします。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault gsk7bas





第 12 章前提条件製品のインストール 167

Windows: Global Security Kit のインストールGSKit を Windows 上にインストールするには、以下のステップを実行します。


2. IBM Tivoli Access Manager for Windows CD を挿入します。

3. Global Security Kit (GSKit) をインストールするには、CD が入っているドライブ上の ¥windows¥GSKit ディレクトリーに移動し、次のように入力します。

setup policydirector

4. 「次へ」をクリックします。「宛先ロケーションの選択 (Choose Destination

Location)」ダイアログが表示されます。

5. デフォルトの宛先ディレクトリーを受け入れるか、または「ブラウズ(Browse)」をクリックしてローカル・システム上の他のディレクトリーへのパスを選択します。そのディレクトリーが存在しない場合は、そのディレクトリーを作成することを確認するか、または存在するディレクトリーを指定します。

6. 「次へ」をクリックして、GSKit をインストールします。「セットアップの完了(Setup Complete)」ダイアログが表示されます。

7. 「終了 (Finish)」をクリックして、インストール・プログラムを終了します。


GSKit と共にインストールされた鍵管理ユーティリティーをセットアップするには、『GSKit iKeyman ユーティリティーのセットアップ』の手順を参照してください。詳しくは、 259ページの『第 17 章 Secure Sockets Layer の使用可能化』または「IBM Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。

GSKit iKeyman ユーティリティーのセットアップiKeyman ユーティリティーを実行する前に、Certificate Management System (CMS)

鍵データベース・ファイルがサポートされるように GSKit をセットアップする必要があります。これを行うには、以下のステップに従います。

1. システムに次のコンポーネントがインストールされていることを確認します。

v GSKit バージョン 7 (詳しくは、 165ページの『Global Security Kit のインストール』を参照)

v IBM JRE 1.3.1 (詳しくは、 175ページの『IBM JRE のインストール』を参照)

v Access Manager Java Runtime Environment コンポーネント

注: このコンポーネントを構成する必要はありません。

パッケージ名とインストールの説明については、 123ページの『第 8 章 Java

Runtime Environment システムのセットアップ』を参照してください。

2. JAVA_HOME 変数が、JRE のインストールされているディレクトリーをポイントするようにします。 JAVA_HOME は、UNIX システムでは $JAVA_HOME で、Windows では %JAVA_HOME% です。

3. Certificate Management System (CMS) 鍵データベースをサポートするようにGSKit をセットアップするには、以下のステップを実行します。



a. 次のファイルを JAVA_HOME/jre/lib/ext ディレクトリーから除去します (存在する場合)。

gskikm.jaribmjcaprovider.jar

b. 次のファイルを accessmgr_install_dir/java/export/pdjrte からJAVA_HOME/jre/lib/ext にコピーします。:

v JDK バージョン 1.3.1 がインストールされている場合:

– lib/ext/ibmjceprovider.jar

– lib/ext/ibmpkcs.jar

– lib/ext/ibmjcefw.jar

– lib/ext/local_policy.jar

– lib/ext/US_export_policy.jar

– lib/ext/ibmpkcs11.jar

JDK バージョン 1.4.1 がインストールされている場合:

– lib/ext/ibmjceprovider.jar

– lib/ext/ibmpkcs.jar

– lib/ibmjcefw.jar

– lib/security/local_policy.jar

– lib/ext/US_export_policy.jar

– lib/ext/ibmpkcs11.jar

v IBM CMS および JCE サービス・プロバイダーを登録するには、以下のいずれかを実行します。

注: セキュリティー・プロバイダーを指定する順序は重要です。各プロバイダーは最初のプロバイダーから順番にテストされます。最初の暗号プロバイダーに同じ暗号化方式が用意されていて一致すると、このプロバイダーが暗号化のために使用されます。

– GSKit ユーザーが IBM CMS サービス・プロバイダーを登録する場合は、JAVA_HOME/jre/lib/security/java.security ファイルを編集して次のプロバイダーを構成します。

security.provider.1=sun.security.provider.Sunsecurity.provider.2=com.ibm.spi.IBMCMSProvider

– GSKit および JSSE ユーザーが IBM CMS および IBM JCE サービス・プロバイダーの両方を登録する場合は、JAVA_HOME/jre/lib/security/java.security ファイルを編集して次のプロバイダーを構成します。

security.provider.1=sun.security.provider.Sunsecurity.provider.2=com.ibm.spi.IBMCMSProvidersecurity.provider.3=com.ibm.crypto.provider.IBMJCE

4. ハードウェア・アクセラレーション・カードのユーザーのみ: IBM PCI 4758

Cryptographic Coprocessor Card などの暗号化ハードウェアにアクセスする計画の場合は、以下の追加ステップを実行する必要があります。例えば、WebSEAL はGSKit 7 API を使用する PKCS#11 で、PKCS#11 デバイスにアクセスできます。



a. プラットフォーム固有の共用ライブラリーをGSKIT_HOME/classes/native/native-support.zip からユーザー・システム上のディレクトリーにコピーします。例えば AIX の場合、native-support.zip

ファイルを /usr/lib に、Windows の場合は C:¥Program

Files¥ibm¥gsk7¥lib にコピーします。

b. ZIP ファイルの内容を抽出します。例えば AIX の場合、共用ライブラリーは以下のとおりです。

libjpkcs11.solibpkcslog.solibpseudotoken.so

c. IBMPKCS11 サービス・プロバイダーを登録するには、JAVA_HOME/jre/lib/security/java.security ファイルを次のようにして更新します。

security.provider.1=sun.security.provider.Sunsecurity.provider.2=com.ibm.spi.IBMCMSProvidersecurity.provider.3=com.ibm.crypto.provider.IBMJCEsecurity.provider.4=com.ibm.crypto.pkcs11.provider.IBMPKCS11

d. オプション: gsk7ikm ユーティリティーか gsk7cli ユーティリティーのいずれを使用するかにより、以下のいずれかを実行します。

v gsk7ikm ユーティリティーを使用して、暗号操作で使用するデフォルトのPKCS#11 共用ライブラリーを構成します。これによって、暗号トークンをオープンするたびに入力する必要がなくなります。このデフォルトをGSKIT_HOME/classes/ikmuser.properties ファイルに設定できます。このファイルが存在しない場合は、例えばGSKIT_HOME/classes/ikmuser.sample からコピーします。

DEFAULT_CRYPTOGRAPHIC_MODULE を、PKCS#11 デバイスで提供されたPKCS#11 共用ライブラリーへの絶対パスに更新します。例えば、AIX 5.2

上の /usr/lib/pkcs11/PKCS11_API.so が IBM Cryptographic Accelerator

に使用されます。

gsk7ikm GUI の「開く (Open)」を選択すると、暗号プロバイダーの選択が可能になります。暗号の初期ダイアログにプロンプトされるファイル名は、PKCS#11 デバイスの PKCS#11 共用ライブラリーです。これがDEFAULT_CRYPTOGRAPHIC_MODULE に設定される値のデフォルトです。

v gsk7cli ユーティリティーを使用して、gskit_install/classes/ikeycmd.properties ファイルに暗号ハードウェアで規定された疑似トークン・ライブラリーを次のように指定します。

– Windows システムの場合:

DEFAULT_CRYPTOGRAPHIC_MODULE=path¥¥pseudotoken.dll

– UNIX システムの場合:

DEFAULT_CRYPTOGRAPHIC_MODULE=path¥¥libpseudotoken.so

これで iKeyman ユーティリティーのセットアップは完了です。iKeyman ユーティリティーを使用して、サポート・レジストリー・サーバーで SSL を使用可能にするには、 259ページの『第 17 章 Secure Sockets Layer の使用可能化』または「IBM

Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。



IBM Tivoli Directory Client のインストールIBM Tivoli Directory Client は、サポートされる AIX、HP-UX、Linux、Solaris、および Windows プラットフォーム用の IBM Tivoli Access Manager CD 上の IBM

Tivoli Directory Server に付属しています。

IBM Tivoli Directory Client は、Tivoli Access Manager を実行する各システムにインストールする必要があります。ただし、以下の場合は例外です。



v レジストリー・サーバーとして Lotus Domino を使用している。







AIX: IBM Tivoli Directory Client のインストールIBM Tivoli Directory Client を AIX システム上にインストールするには、以下のステップを実行します。




installp -acgXd cd_mount_point/usr/sys/inst.images ldap.client ldap.max_crypto_client


IBM Tivoli Directory Client をインストールしたら、構成作業は必要ありません。

HP-UX: IBM Tivoli Directory Client のインストールIBM Tivoli Directory Client を HP-UX にインストールするには、以下のステップを実行します。

1. このバージョンをインストールする前に、以前の LDAP クライアント・パッケージがあれば、必ずそれらを除去してください。





IBM Tivoli Directory Client のインストール




swinstall -s /cd-rom/hp LDAPClient

ここで、 /cd-rom/hp はディレクトリーで、LDAPClient に IBM Tivoli Directory

Client パッケージを指定します。


am_update_ldap.sh





Linux: IBM Tivoli Directory Client のインストールIBM Tivoli Directory Client を Linux にインストールするには、以下のステップを実行します。

注: 既存のバージョンの IBM Tivoli Directory Client を除去してからこのバージョンをインストールしてください。


2. openldap2-client-2.1.4-30 パッケージまたはインストールされている他の競合する LDAP パッケージを除去します。

注: IBM Tivoli Directory Client と同じシステムに openldap2-client をインストールする必要がある場合は、/usr/bin の以下の競合するプログラムが、以下のようにして IBM LDAP クライアント・バージョンにシンボリック・リンクされていることを確認します。

/usr/bin/ldapadd → /usr/ldap/bin/ldapmodify/usr/bin/ldapdelete → /usr/ldap/bin/ldapdelete/usr/bin/ldapmodify → /usr/ldap/bin/ldapmodify/usr/bin/ldapmodrdn → /usr/ldap/bin/ldapmodrdn/usr/bin/ldapsearch → /usr/ldap/bin/ldapsearch






rpm -ihv package


v Linux on xSeries の場合: ldap-clientd-5.2-1.i386.rpm

v Linux on zSeries の場合: ldap-clientd-5.2-1.s390.rpm

v Linux on pSeries および iSeries の場合: ldap-client-5.2-1.ppc.rpm




Solaris: IBM Tivoli Directory Client のインストールIBM Tivoli Directory Client を Solaris にインストールするには、以下のステップを実行します。



3. /cdrom/cdrom0/solaris ディレクトリーに変更します。


pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldapc


5. インストール中に、基本ディレクトリーとして /opt を使用するかどうか尋ねられます。スペースに余裕があれば、/opt を基本インストール・ディレクトリーとして使用してください。 /opt を基本ディレクトリーとして受け入れるには、Enter を押します。


Windows: IBM Tivoli Directory Client のインストールIBM Tivoli Directory Client を Windows にインストールするには、以下のステップを実行します。



3. 次のディレクトリーにある setup.exe ファイルを実行します。

windows¥Directory


4. インストールに使用したい言語を選択して、「OK」をクリックします。

5. 「ようこそ (Welcome)」ダイアログが表示されます。「次へ」をクリックして先に進みます。

6. ご使用条件をお読みください。条件に同意することを選択し、「次へ」をクリックします。ダイアログにはすでにインストールされているパッケージ、および必要な処置が表示されます。必要に応じた処理を実行し、「次へ」をクリックします。

7. 「次へ」をクリックして、IBM Tivoli Directory Client を指定されたデフォルト・ディレクトリーにインストールします。別のディレクトリーを指定するには、ディレクトリー・パスを入力するか、「ブラウズ」をクリックしてディレクトリーを選択します。

8. IBM Tivoli Directory Client の言語を選択して、「次へ」をクリックします。

9. 「標準 (Typical)」セットアップ・タイプを選択して、「次へ」をクリックして先に進みます。



10. Client SDK 5.2 フィーチャーのインストールを選択して、「次へ」をクリックします。

11. 選択した構成オプションを確認します。いずれかの選択内容を変更する場合は、「戻る」をクリックします。インストールを開始するには、「次へ」をクリックします。

インストール・プロセスが開始されます。お待ちください。

注: Windows システムでは、何度かシステムの再始動を求められます。

12. ファイルがインストールされた後、README ファイルが表示されます。README を検討した後、「次へ」をクリックして先に進みます。

13. すぐにシステムを再始動するか、または後で再始動するかを選択してから、「次へ」をクリックします。




IBM JRE のインストールAccess Manager Java Runtime Environment をインストールするか、またはインストール・ウィザードを使用する場合は、IBM JRE バージョン 1.3.1 (AIX では 1.3.1.5)

が必要です。







AIX: IBM JRE バージョン 1.3.1.5 のインストールJRE バージョン 1.3.1.5 を AIX にインストールするには、以下のステップを実行します。




installp -acgXd cd_mount_point/usr/sys/inst.images Java131.rte



v PATH 環境変数を設定します。次に例を示します。

export PATH=/usr/java131/jre/bin:$PATH

注: IBM JRE 1.3.1.5 がすでにパスに存在するかどうかを表示するには、java-version コマンドを使用します。

v JAVA_HOME 環境変数を JRE 1.3.1 がインストールされている場所へのパスに設定します。例えば、ksh を使用し、次を入力して JAVA_HOME を定義します。

export JAVA_HOME=/usr/java131/jre

5. IBM Tivoli Directory Server のユーザーのみ:

v JAVA_HOME を、システムにインストールされた Java かまたは IBM Tivoli

Directory Server に組み込まれた Java バージョン (インストールされている場合) に設定できます。 IBM Tivoli Directory Server バージョンを使用する場合は、LIBPATH システム変数も次のようにして設定する必要があります。

export LIBPATH=/usr/ldap/java/bin:/usr/ldap/java/bin/classes:$LIBPATH

v IBM Tivoli Directory Server システムで GSKit iKeyman ユーティリティーを使用する予定である場合は、次を入力して /usr/ldap/jre から/usr/ldap/java へのリンクを作成する必要があります。

ln -s /usr/ldap/java /usr/ldap/jre

IBM JRE 1.3.1.5 をインストールしたら、構成作業は必要ありません。

IBM JRE のインストール


HP-UX: IBM JRE バージョン 1.3.1 のインストールJRE 1.3.1 を HP-UX システム上にインストールするには、以下のステップを実行します。







swinstall -s /cd_drive/hp rte_13101os11.depot B9789AA

ここで、/cd_drive は CD マウント・ポイントで、/cd_drive/hp はディレクトリーです。

5. PATH 環境変数を設定します。

export PATH=java_path:$PATH

6. GSKit iKeyman ユーティリティーを使用する予定である場合は、ユーザー環境に次のパスが設定されていることを次のように確認します。

SHLIB_PATH=/usr/lib

次に例を示します。

export SHLIB_PATH=/usr/lib;$SHLIB_PATH

注: この変数が設定されていないと、Tivoli Access Manager 許可サービスがGSKit ライブラリーにアクセスできなくなるおそれがあります。




IBM JRE 1.3.1 をインストールしたら、構成作業は必要ありません。

Linux: IBM JRE, バージョン 1.3.1 のインストール

JRE 1.3.1 を Linux にインストールするには、以下のステップを実行します。






4. IBM JRE 1.3.1 パッケージをインストールします。

rpm -ihv package




v Linux on xSeries の場合: IBMJava2-JRE-1.3.1-3.0.i386.rpm

v Linux on zSeries の場合: IBMJava2-JRE-1.3.1-3.0.s390.rpm

v Linux on pSeries および Linux on iSeries の場合:

IBMJava2-JRE-1.3.1-3.0.ppc.rpm


export PATH=jre_path:$PATH

例えば、JRE が PATH システム変数によってアクセスできることを確認するには、次のように入力します。

export PATH=/opt/IBMJava2-s390-131/jre/bin:$PATH

6. Red Hat Enterprise Linux 2.1 の場合のみ、次のように入力します。

export LD_PRELOAD=/usr/lib/libstdc++-libc6.2-2.so.3

注: Tivoli Access Manager は、Access Manager Plug-in for Edge Server 用のRed Hat Enterprise Linux 2.1 のみをサポートします。

7. Red Hat Enterprise Linux 3.0 の場合のみ、Red Hat Linux 3 でインプリメントされた新規のスレッド化ライブラリー (NPTL) は、Tivoli Access Manager に付属する IBM JDK 1.3.1 と互換性がなく、インストールは失敗します。この問題を解決するには、インストール・スクリプトを実行する前に、LD_ASSUME_KERNEL

環境変数を JDK 1.3.1 と互換性のある値に設定します。次に例を示します。

export LD_ASSUME_KERNEL=2.4.0export LD_ASSUME_KERNEL=2.2.5

また次善策として、最新の JRE サービス・パックをインストールします。これは次の IBM Web サイトから入手できます。

http://www.ibm.com/developerworks/java/jdk/index.html


Solaris: IBM JRE バージョン 1.3.1 のインストールJRE 1.3.1 を Solaris にインストールするには、以下のステップを実行します。



3. IBM JRE 1.3.1 パッケージをインストールします。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault SUNWj3rt



PATH=/usr/j2se/jre/bin:$PATHexport PATH




http://www.ibm.com/developerworks/java/jdk/index.html

Windows: IBM JRE バージョン 1.3.1 のインストールIBM JRE 1.3.1 を Windows にインストールするには、以下のステップを実行します。

1. アドミニストレーター特権のあるユーザーとしてログオンします。



cd_drive¥windows¥JRE¥install.exe

オンラインの指示を完了します。インストールが完了したら、「終了 (Finish)」をクリックします。


set PATH=install_dir;%PATH%

例えば、デフォルトのインストール・ディレクトリーを使用してインストールする場合は、次のように入力します。

set PATH=c:¥Program Files¥IBM¥Java131¥jre¥bin;%PATH%

5. GSKit iKeyman ユーティリティーを使用する予定である場合は、以下を実行します。

a. JAVA_HOME 環境変数を Java がインストールされている場所への絶対パスに設定します。次に例を示します。

set JAVA_HOME=c:¥Program Files¥IBM¥Java131

b. GSKit bin および lib ディレクトリーを PATH 変数に追加します。次に例を示します。

set PATH="C:¥Program Files¥ibm¥gsk7¥bin";%PATH%set PATH="C:¥Program Files¥ibm¥gsk7¥lib";%PATH%




WebSphere Application Server のインストールIBM WebSphere Application Server 5.0.2 は、サポートされるプラットフォームのIBM Tivoli Access Manager Web Administration Interfaces CD に組み込まれています。

WebSphere Application Server によって、Tivoli Access Manager の管理に使用される Web Portal Manager インターフェースと、IBM Tivoli Directory Server の管理に使用される Web Administration Tool の両方がサポートされます。

AIX、HP-UX、Linux on xSeries、Solaris、および Windows 2000 システムでは、IBM WebSphere Application Server のフィックスパック 2 が必要です。他のすべてのサポートされるオペレーティング・システム・バージョンは 5.0.2 レベルです。

IBM WebSphere Application Server については、次の Web サイトを参照してください。








AIX: WebSphere Application Server のインストールWeb Portal Manager または Web Administration Tool インターフェースのセットアップを計画するシステムに、WebSphere Application Server が必要です。WebSphere

Application Server 5.0.2 を AIX にインストールするには、以下のステップを実行します。

注: WebSphere 文書は、IBM Tivoli Access Manager Web Administration Interfaces

for AIX CD の usr/sys/inst.images/websphere/docs ディレクトリーにあります。



3. CD を入れたドライブの /usr/sys/inst.images/websphere/aix ディレクトリーに移動します。


./install



WebSphere Application Server のインストール



6. 「ようこそ (Welcome)」画面が表示されます。「次へ」をクリックして先に進みます。

7. 使用許諾契約書を読み、その条件を受け入れるのであれば「はい (Yes)」をクリックします。

インストール・ウィザードにより、システム前提条件が検査されます。お待ちください。

8. 「カスタム (Custom)」セットアップ・タイプを選択して、「組み込みメッセージング (Embedded Messaging)」を選択解除します。これには Embedded

Messaging および IBM WebSphere MQSeries 用の JMS テクノロジー互換クライアントが組み込まれています。「次へ」をクリックして先に進みます。

9. 以下の製品のデフォルトの宛先ディレクトリーを受け入れて、「次へ」をクリックします。「ブラウズ (Browse)」をクリックして、ローカル・システム上の他のディレクトリーへのパスを選択することもできます。

v IBM WebSphere Application Server バージョン 5

v IBM HTTP Server サーバー 1.3.26

10. このインストールに使用するノード名とホスト名を入力するか、またはデフォルトを受け入れて、「次へ」をクリックします。

注: 管理にはノード名が使用されるので、ノードのグループ (セル) 内で固有でなければなりません。ホスト名は、ローカル・システムの DNS 名またはIP アドレスです。

11. 選択を確認します。変更するには「戻る」をクリックし、インストール・プロセスを開始するには「次へ」をクリックします。

インストールが開始されます。お待ちください。

12. 「次へ」をクリックして製品を登録するか、またはチェック・ボックスを選択解除し、「次へ」をクリックして後で登録します。

13. 「終了 (Finish)」をクリックして、インストール・ウィザードを終了します。「WebSphere Application Server - 第 1 ステップ (WebSphere Application Server

— First Steps)」ウィンドウが表示されます。このウィンドウを使用して、インストールを検証またはトラブルシューティングします。

14. インストール後、フィックスパック 2 をインストールする必要があります。『AIX: WebSphere Application Server (フィックスパック 2 付き) のインストール』を参照してください。

AIX: WebSphere Application Server (フィックスパック 2 付き)のインストールWebSphere Application Server (フィックスパック 2 付き) を AIX にインストールするには、以下のステップを実行します。

1. WebSphere Application Server および IBM HTTP Server を停止します。同じマシンに LDAP レジストリー・サーバーがインストールされている場合は、LDAP サーバーが停止していることも確認してください。

2. JAVA_HOME システム変数が設定されていることを確認します。次に例を示します。

export JAVA_HOME=/opt/WebSphere/AppServer/java



3. IBM Tivoli Access Manager WebSphere Fix Pack for AIX CD を挿入してマウントします。

4. CD の内容を、ハード・ディスクの一時ディレクトリーにコピーします。

5. aix/websphere_fixpack サブディレクトリー (CD 内容がコピーされている場所) にある次のスクリプトを実行します。

./updateWizard.sh




8. 更新する製品として「IBM WebSphere Application Server v5.0.0」を選択して、「次へ」をクリックします。

9. 「フィックスパックのインストール (Install fix packs)」を選択して、「次へ」をクリックします。

10. フィックスパック・ファイルをコピーした一時ディレクトリーを入力します。たとえば websphere_fixpack ディレクトリーを CD からシステム上のC:¥temp ディレクトリーにコピーした場合、フィックスパック・ディレクトリー・フィールドに次のように入力します。



11. フィックスパックのインストールを選択して、「次へ」をクリックします。

12. IBM HTTP Server の更新を選択して、「次へ」をクリックします。

注: Tivoli Access Manager は、Embedded Messaging を必要としません。WebSphere Application Server 5.0 に Embedded Messaging がすでにセットアップされている場合、この機能の更新を選択できます。

13. 要約ダイアログの「次へ」をクリックしてインストールを開始します。インストール・プロセスが開始されます。お待ちください。

14. インストールが完了したら、「終了 (Finish)」をクリックします。

15. WebSphere Application Server と IBM HTTP Server を再始動します。

HP-UX: WebSphere Application Server のインストールWeb Portal Manager または Web Administration Tool インターフェースのセットアップを計画するシステムに、WebSphere Application Server が必要です。WebSphere

Application Server 5.0.2 を HP-UX にインストールするには、以下のステップを実行します。


for HP-UX CD の hp/websphere/docs ディレクトリーにあります。








4. CD を入れたドライブの hp/websphere/hp ディレクトリーへ移動します。


./install























16. インストール後、フィックスパック 2 をインストールする必要があります。『HP-UX: WebSphere Application Server (フィックスパック 2 付き) のインストール』を参照してください。

HP-UX: WebSphere Application Server (フィックスパック 2 付き) のインストールWebSphere Application Server (フィックスパック 2 付き) を HP-UX にインストールするには、以下のステップを実行します。




3. IBM Tivoli Access Manager WebSphere Fix Pack for HP-UX CD を挿入します。


5. hp/websphere_fixpack サブディレクトリー (CD 内容がコピーされている場所)

にある次のスクリプトを実行します。

./updateWizard.sh

















Linux: WebSphere Application Server のインストールWeb Portal Manager または Web Administration Tool インターフェースのセットアップを計画するシステムに、WebSphere Application Server が必要です。WebSphere

Application Server 5.0.2 を Linux にインストールするには、以下のステップを実行します。

注: WebSphere 文書は、Linux on xSeries、Linux on zSeries、または Linux on

pSeries/iSeries 用の IBM Tivoli Access Manager Web Administration Interfaces

CD の series/websphere/docs ディレクトリーにあります。


2. Linux on xSeries、Linux on zSeries、または Linux on pSeries/iSeries 用の IBM

Tivoli Access Manager Web Administration Interfaces CD を挿入してマウントします。

3. CD を入れたドライブの、以下のいずれかのディレクトリーに移動します。

Linux on xSeries の場合: /xSeries/websphere/linuxi386

Linux on zSeries の場合: /zSeries/websphere/linuxs390

Linux on pSeries および Linux on iSeries の場合:

/pSeries/websphere/linuxppc


./install




















14. Linux on xSeries の場合のみ、フィックスパック 2 をインストールする必要があります。『Linux on xSeries: WebSphere Application Server (フィックスパック 2 付き) のインストール』を参照してください。

Linux on xSeries: WebSphere Application Server (フィックスパック 2 付き) のインストールWebSphere Application Server (フィックスパック 2 付き) を Linux on xSeries にインストールするには、以下のステップを実行します。




3. IBM Tivoli Access Manager WebSphere Fix Pack for Linux on xSeries CD を挿入してマウントします。


5. platform/websphere_fixpack サブディレクトリー (CD 内容がコピーされている場所) にある次のスクリプトを実行します。

./updateWizard.sh

















Solaris: WebSphere Application Server のインストールWeb Portal Manager または Web Administration Tool インターフェースのセットアップを計画するシステムに、WebSphere Application Server が必要です。WebSphere

Application Server 5.0.2 を Solaris にインストールするには、以下のステップを実行します。


for Solaris CD の solaris/websphere/docs ディレクトリーにあります。



3. CD を入れたドライブの solaris/websphere/sun ディレクトリーへ移動します。


./install




















14. フィックスパック 2 をインストールします。この手順については『Solaris:

WebSphere Application Server (フィックスパック 2 付き) のインストール』を参照してください。

Solaris: WebSphere Application Server (フィックスパック 2 付き) のインストールWebSphere Application Server (フィックスパック 2 付き) を Solaris にインストールするには、以下のステップを実行します。




3. IBM Tivoli Access Manager WebSphere Fix Pack for Solaris CD を挿入します。


5. solaris/websphere_fixpack サブディレクトリー (CD 内容がコピーされている場所) にある次のスクリプトを実行します。

./updateWizard.sh

















Windows: WebSphere Application Server のインストールWeb Portal Manager または Web Administration Tool インターフェースのセットアップを計画するシステムに、WebSphere Application Server が必要です。WebSphere

Application Server 5.0.2 を Windows にインストールするには、以下のステップを実行します。


CD の windows¥websphere¥docs (Windows 2000 用の場合) またはwindows2003¥websphere¥docs (Windows 2003 用の場合) にあります。


2. 実行中の Windows プログラムをすべてクローズしたことを確認します。



4. CD を入れたドライブの、以下のいずれかのディレクトリーに移動します。

v Windows 2000 システムの場合:

windows¥websphere¥nt

v Windows 2003 システムの場合:

windows2003¥websphere¥windows2003

5. 次のプログラムを実行します。

install.exe















12. WebSphere Application Server と IBM HTTP Server を Windows サービスとして実行できます。このためには、指定されたユーザー ID のパスワードを入力して、「次へ」をクリックします。これは、WebSphere 用のユーザー名およびパスワードであり、ローカル・システム上のユーザー ID およびパスワードでなければなりません。






16. Windows 2000 システムの場合のみ、フィックスパック 2 をインストールします。詳しくは 190ページの『Windows 2000: WebSphere Application Server (フィックスパック 2 付き) のインストール』を参照してください。



Windows 2000: WebSphere Application Server (フィックスパック 2 付き) のインストールWebSphere Application Server (フィックスパック 2 付き) を Windows にインストールするには、以下のステップを実行します。


2. JAVA_HOME システム変数が設定されていることを確認します。このためには、install_dir¥bin ディレクトリーの setupCmdLine.bat ファイルを実行します。ここで、install_dir は WebSphere Application Server をインストールしたインストール・ディレクトリーです。次に例を示します。

C:¥Program Files¥WebSphere¥AppServer¥bin¥setupCmdLine.bat

3. IBM Tivoli Access Manager WebSphere Fix Pack for Windows 2000 CD を挿入します。


5. windows/websphere_fixpack サブディレクトリー (CD 内容がコピーされている場所) に存在する、次のバッチ・ファイルを実行します。

updateWizard

















Web Administration Tool のインストールWeb Administration Tool は、IBM Tivoli Directory Server をローカルまたはリモートで管理するのに使用されます。このインターフェースは、いつでもインストールできます。

Web Administration Tool アプリケーションをインストールするには、ユーザーのプラットフォーム用の手順に従います。

注: IBM Tivoli Directory Server バージョン 4.1 または 5.1 を実行している場合は、am_update_ldap.sh LDAP パッチを実行してから、Web Administration

Tool をインストールしてください。






注: IBM WebSphere Application Server バージョン 5.0.2 (Tivoli Access Manager に付属) などのアプリケーション・サーバーが必要です。デプロイメント計画に、Web Portal Manager インターフェースのインストールが含まれている場合は、同じ WebSphere インスタンスを使用して Web Administration Tool をホスティングできます。

AIX: Web Administration Tool のインストールWeb Administration Tool を AIX にインストールするには、以下のステップを実行します。


2. Web Administration Tool のシステム要件に合致していることを確認します。詳しくは 20 ページを参照してください。

3. 以下のサーバーがユーザーのセキュア・ドメインにセットアップされていることを確認します。


v IBM WebSphere Application Server バージョン 5.0.2

これらのサーバーのインストールについて詳しくは 48ページの『IBM Tivoli

Directory Server のセットアップ』および 179ページの『WebSphere Application

Server のインストール』を参照してください。


5. Web Administration Tool パッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images ldap.webdadmin ldap.max_crypto_webdadmin


Web Administration Tool のインストール


6. Web Administration Tool をユーザーの WebSphere Application Server 構成にインストールします。手順については、196 ページを参照してください。

これで Web Administration Tool のインストールは完了です。Web Administration

Tool を開始するには、WebSphere Application Server をインストールしたディレクトリーに移動して、次のいずれかのコマンドを発行します。


または


コンソールにログインするには、Web ブラウザーをオープンして次のアドレスを入力します。


ここで、localhost は Web Administration Tool と WebSphere Application Server がインストールされているホスト・システムの名前または IP アドレスです。 Web

Administration Tool の使用法について詳しくは以下の Web サイトの「IBM Tivoli

Directory Server Administration Guide, Version 5.2」を参照してください。


HP-UX: Web Administration Tool のインストールWeb Administration Tool を HP-UX にインストールするには、以下のステップを実行します。














swinstall -s /cd-rom/hp ldapwebadmin




/cd-rom/hp はディレクトリーです。








または








Linux: Web Administration Tool のインストールWeb Administration Tool を Linux にインストールするには、以下のステップを実行します。












Web Administration Interfaces CD を挿入してマウントします。







rpm -ihv package


v Linux on xSeries の場合: ldap-webadmind-5.2-1.i386.rpm

v Linux on zSeries の場合: ldap-webadmind-5.2-1.s390.rpm

v Linux on pSeries および Linux on iSeries の場合:

ldap-webadmind-5.2-1.ppc.rpm





または








Solaris: Web Administration Tool のインストールWeb Administration Tool を Solaris にインストールするには、以下のステップを実行します。














pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldapw






または








Windows: Web Administration Tool のインストールWeb Administration Tool を Windows 上にインストールするには、以下のステップを実行します。














5. Web Administration Tool パッケージをインストールします。そのためには、次のディレクトリーにある setup.exe プログラムを実行します。

¥windows¥Directory

オンラインの指示に従ってインストールを完了します。「Web AdministrationTool 5.2」を選択して、他のすべてのインストール・フィーチャーの選択を解除します。



Tool を開始するには、WebSphere Application Server をインストールしたディレクトリーに移動して、次のコマンドを発行します。

C:¥Program Files¥WebSphere¥AppServer¥bin¥startServer.bat server1







WebSphere への Web Administration Tool のインストールWeb Administration Tool パッケージをインストール後に、Web Administration Tool

を WebSphere Application Server にインストールする必要があります。このためには、以下の説明をガイドとして使用してください。

WebSphere 構成へのアプリケーションのインストールについて詳しくは次のサイトの IBM WebSphere Application Server 5.0 の資料を参照してください。


http://publib7b.boulder.ibm.com/wasinfo1/en/info/ae/ae/trun_app_instwiz.html

Web Administration Tool をユーザーの WebSphere Application Server 構成にインストールするには、以下の手順で行います。

1. WebSphere Application Server 管理コンソールにログインします。例えば、サポートされる Web ブラウザーから次のように入力します。

http://hostname:9090/admin/

ここで、hostname は IBM WebSphere Application Server がインストールされているホスト・システムの名前または IP アドレスを指定します。

2. コンソール・ナビゲーション・ツリーの「アプリケーション (Applications)」 →

「新規アプリケーションのインストール (Install New Applications)」をクリックします。 2 つのうちの最初のアプリケーション・インストールの準備ページが表示されます。





http://publib7b.boulder.ibm.com/wasinfo1/en/info/ae/ae/trun_app_instwiz.html

3. 最初のアプリケーション・インストールの準備ページで、以下を実行します。

a. Web Administration Tool のアプリケーション・スタンドアロンIDSWebApp.war ファイルの絶対パスを、以下のように指定します。

1) UNIX システムの場合:

install_dir/idstools/IDSWebApp.war

2) Windows システムの場合:

install_dir¥idstools¥IDSWebApp.war

ここで、install_dir は、Web Administration Tool のインストールで指定したインストール・ディレクトリーです。例: C:¥Program

Files¥IBM¥LDAP¥idstools¥IDSWebApp.war

注: ファイルは、クライアント・マシン (Web ブラウザーを実行するマシン)

またはサーバー・マシン (クライアントの接続先のマシン) のいずれにあってもかまいません。

b. 「コンテキスト・ルート (Context Root)」フィールドに、次を指定します。

/IDSWebApp

c. 「次へ」をクリックします。

4. デフォルトのバインディングを生成するかまたはデフォルトを受け入れるかを選択して、「次へ」をクリックします。デフォルトのバインディングを使用すると、アプリケーション内の不完全なバインディングはデフォルト値に設定されます。既存のバインディングは変更されません。デフォルトのバインディングの生成に使用されるデフォルト値はカスタマイズできます。

「新規アプリケーションのインストール (Install New Applications)」ページが表示されます。

5. (ステップ 1: インストールを実行するオプションの指定) 「アプリケーション名(Application Name)」フィールドに IDSWebApp_war が設定されていることを確認して、デフォルト値を受け入れ、「次へ」をクリックします。

6. (ステップ 2: Web モジュール用の仮想ホストのマップ) 「IBM Tivoli DirectoryServer Web Application v2.0」を Web モジュールとして選択し、「default_host」を仮想ホストとして選択して、「次へ」をクリックします。

7. (ステップ 3: アプリケーション・サーバーへのモジュールのマップ) 「IBMTivoli Directory Server Web Application v2.0」を選択して、「次へ」をクリックします。

8. (ステップ 4: 要約) インストール・オプションを確認して、「終了 (Finish)」をクリックします。

9. 「マスター構成に保管 (Save to Master Configuration)」ページが表示されたら、「保管 (Save)」をクリックして構成に変更内容を保管します。アプリケーションが管理に登録されます。





第 13 章コンポーネントのアンインストール

Tivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。コンポーネントを構成解除し、Tivoli Access Manager パッケージを除去する必要があります。


v 『Tivoli Access Manager コンポーネントの構成解除』

v 200ページの『IBM Tivoli Directory Server の構成解除』

v パッケージの除去:

– AIX の場合、201 ページ

– HP-UX の場合、201 ページ

– Linux の場合、202 ページ

– Solaris の場合、203 ページ

– Windows の場合、204 ページ

始める前に

v Access Manager Policy Server または Access Manager Runtime コンポーネントを構成解除する前に、Tivoli Access Manager アプリケーションを構成解除してください。

v Policy Server システムは、最後に構成解除して除去します。

Tivoli Access Manager コンポーネントの構成解除Tivoli Access Manager パッケージを除去する前に、(必要に応じて) コンポーネントが構成解除されていることを確認する必要があります。これを行うには、以下のステップに従います。

1. UNIX では、root としてログオンします。 Windows では、Windows アドミニストレーター特権を持つユーザーとしてログオンします。

2. 構成ユーティリティーを開始するには、以下のコマンドを入力します。

pdconfig

注: Windows システムの場合、「スタート」→「プログラム」→「AccessManager」→「構成」と選択することもできます。

Access Manager for e-business セットアップ・メニューが表示されます。

3. 以下の順序でコンポーネントを構成解除してください。 UNIX でコンポーネントを構成解除するには、Tivoli Access Manager コンポーネントのメニュー項目番号を入力します。 Windows 上のコンポーネントを構成解除するには、コンポーネントを選択して「構成解除」をクリックします。構成解除したいパッケージごとに、この手順を繰り返してください。


a. Access Manager Web Portal Manager

b. Access Manager Authorization Server

c. Access Manager Policy Proxy Server

d. Access Manager Policy Server

e. Access Manager Runtime および Access Manager Java Runtime Environment

注:

v 構成されていなければ、ただ単にコンポーネントを除去できます。

v Policy Server または Policy Proxy Server を構成解除する場合、LDAP アドミニストレーターの識別名 (cn=root) およびパスワードを入力するよう指示が出されます。

v Policy Server を構成解除する場合は、管理ドメインにインストールされているすべての Tivoli Access Manager サーバーおよびアプリケーションに関する構成と許可情報が除去されることが警告されます。続行するには、y と入力してください。

LDAP 管理ユーザー DN およびパスワードを入力した後、レジストリーからドメイン情報を永続的に除去するプロンプトが出されます。ユーザーおよびグループ情報を含むすべてのドメイン情報を除去するには、y と入力してください。ドメイン情報を除去しても、ユーザーおよびグループ情報は保持して後で必要な場合にドメインを再作成できるようにするには、n と入力します。

v Access Manager Java Runtime Environment がインストールされていても、Access Manager Runtime はインストールされていない場合は、以下のように/opt/PolicyDirector/sbin/pdjrtecfg ユーティリティーを使用して、このコンポーネントを構成解除します。

./pdjrtecfg -action unconfig -interactive

IBM Tivoli Directory Server の構成解除IBM Tivoli Directory Server を構成解除するには、以下のステップに従ってください。この手順を開始する前に、ディレクトリーおよび既存のスキーマ・ファイルをバックアップしておくようお勧めします。

1. UNIX では、root としてログオンします。 Windows では、Windows アドミニストレーター特権を持つユーザーとしてログオンします。

2. ibmslapd サーバーを停止します。

3. ldapucfg ユーティリティーを使用して、IBM Tivoli Directory Server から DB2

構成情報を除去します。これを行うには、以下のコマンドを実行してください。

ldapucfg -d -i

1 を入力して構成解除を確認するよう指示が出されます。デフォルト・データベースが構成されていると、ldapucfg ユーティリティーによって、このステップでそのデータベースがシステムから削除されます。カスタム・データベースが構成されている場合、そのデータベースはシステムに残ります。

注: カスタム・データベースを除去するには、インスタンス所有者としてログインし、以下のコマンドを入力します。

コンポーネントのアンインストール


db2stopdb2ilistdb2idrop instance_name

AIX: パッケージの除去Tivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。アップグレード・プロセスのときのように他の方法を指示されているのでなければ、コンポーネントを構成解除してから、それらを除去する必要があります。

注: パッケージを除去する前に、すべての Tivoli Access Manager サービスおよびアプリケーションを停止します。

コンポーネントを AIX システムから除去するには、以下のステップに従ってください。

1. (必要に応じて) コンポーネントが構成解除されていることを確認します。 199

ページの『Tivoli Access Manager コンポーネントの構成解除』の手順に従ってください。


installp -u -g packages

ここで packages には、以下の 1 つまたは複数が入ります。

注: -g オプションは、指定したパッケージの従属ソフトウェアを除去する場合のみ使用してください。

IBM Global Security Kit gsksa.rte および gskta.rte

IBM Tivoli Directory Client ldap.client およびldap.max_crypto_client

IBM Tivoli Directory Server ldap.server およびldap.max_crypto_server

Access Manager Application Development Kit PD.AuthADK

Access Manager Authorization Server PD.Acld

Access Manager Java Runtime Environment PDJ.rte

Access Manager Policy Server PD.Mgr

Access Manager Policy Proxy Server PD.MgrPrxy

Access Manager Runtime PD.RTE

Access Manager Web Portal Manager PD.WPM

HP-UX: パッケージの除去Tivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。アップグレード・プロセスのときのように他の方法を指示されているのでなければ、コンポーネントを構成解除してから、それらを除去する必要があります。



第 13 章コンポーネントのアンインストール 201

コンポーネントを HP-UX システムから除去するには、以下のステップに従ってください。

1. コンポーネントが構成解除されていることを確認します。 199ページの『Tivoli

Access Manager コンポーネントの構成解除』の手順に従ってください。


swremove packages


IBM Global Security Kit gsk7bas および gsk7ikm

IBM Tivoli Directory Client LDAPClient

IBM Tivoli Directory Server LDAPServer

Access Manager Application Development Kit PDAuthADK

Access Manager Authorization Server PDAcld

Access Manager Java Runtime Environment PDJrte

Access Manager Policy Server PDMgr

Access Manager Policy Proxy Server PDMgrPrxy

Access Manager Runtime PDRTE

Access Manager Web Portal Manager PDWPM

除去前のスクリプトが実行されていることを示すプロンプトが表示されます。ファイルはそれぞれ、除去されるときにリストされます。

Linux: パッケージの除去Tivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。コンポーネントを構成解除し、Tivoli Access Manager パッケージを除去する必要があります。


コンポーネントを Linux システムから除去するには、以下のステップに従ってください。

1. コンポーネントが構成解除されていることを確認します。 199ページの『Tivoli

Access Manager コンポーネントの構成解除』の手順に従ってください。

2. インストールされているパッケージ名をリストするには、以下のように入力します。

v LDAP パッケージの場合:

rpm -qa | grep ldap

v GSKit パッケージの場合:

rpm -qa | grep gsk

v Tivoli Access Manager パッケージの場合:

rpm -qa | grep PD




rpm -e packages


IBM Global Security Kit gsk7bas-7-0-1.9

IBM Tivoli Directory Client ldap-clientd-5.2-1

IBM Tivoli Directory Server ldap-serverd-5.2-1

Access Manager Application Development Kit PDAuthADK-PD-5.1.0-0

Access Manager Authorization Server PDAcld-PD-5.1.0-0

Access Manager Java Runtime Environment PDJrte-PD-5.1.0-0

Access Manager Policy Server PDMgr-PD-5.1.0-0

Access Manager Policy Proxy Server PDMgrPrxy-PD-5.1.0-0

Access Manager Runtime PDRTE-PD-5.1.0-0

Access Manager Web Portal Manager PDWPM-PD-5.1.0-0

Solaris: パッケージの除去Tivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。アップグレード・プロセスのときのように他の方法を指示されているのでなければ、コンポーネントを構成解除してから、それらを除去する必要があります。


コンポーネントを Solaris システムから除去するには、以下のステップに従ってください。

1. コンポーネントが構成解除されていることを確認します。コンポーネントを構成解除するには、 199ページの『Tivoli Access Manager コンポーネントの構成解除』の手順に従ってください。

2. パッケージを除去するには、次のコマンドを入力します。

pkgrm package

ここで package には、以下のいずれかが入ります。

IBM Global Security Kit gsk7bas および gsk7ikm

IBM Tivoli Directory Client IBMldapc

IBM Tivoli Directory Server IBMldaps

Access Manager Application Development Kit PDAuthADK

Access Manager Authorization Server PDAcld

Access Manager Java Runtime Environment PDJrte

Access Manager Policy Server PDMgr

Access Manager Policy Proxy Server PDMgrPrxy

Access Manager Runtime PDRTE

Access Manager Web Portal Manager PDWPM


第 13 章コンポーネントのアンインストール 203

3. これらのコンポーネントの除去を確認するプロンプトが出されたら、y と入力します。

除去前のスクリプトが実行されていることを示すプロンプトが表示されます。ファイルはそれぞれ、除去されるときにリストされます。

Windows: パッケージの除去Tivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。アップグレード・プロセスのときのように他の方法を指示されているのでなければ、コンポーネントを構成解除してから、それらを除去する必要があります。


コンポーネントを Windows システムから除去するには、以下のステップに従ってください。

1. Windows アドミニストレーター特権を持つユーザーとしてシステムにログオンします。

2. 「スタート」→「設定」→「コントロールパネル」を選択してから、「アプリケーションの追加と削除」をクリックします。

3. インストール済みコンポーネントのいずれかを選択して、「変更と削除」をクリックします。

4. リストから他のコンポーネントを選択するか、または「OK」をクリックしてプログラムを終了します。

5. GSKit をシステムから除去するには、次のコマンドを入力します。

isuninst -f"c:¥program files¥ibm¥gsk7¥gsk7bui.isu"

ここで c:¥program files¥ibm¥gsk7 は、gsk7BUI.isu ファイルが置かれている場所の完全修飾パスです。

注: その他の Tivoli Access Manager コンポーネントと同じように、「アプリケーションの追加と削除」アイコンを使用して GSKit をアンインストールすることはできません。



第 14 章インストール・ウィザードのシナリオ

この章では、インストール・ウィザードを使用して以下の Tivoli Access Manager

システムのインストールと構成を行う方法を、ステップごとに図を付けて説明します。

v 206ページの『install_ldap_server ウィザードの使用』

v 217ページの『install_ammgr ウィザードの使用』

入力を求められる構成オプションについては、 227ページの『第 15 章インストール・ウィザードのオプション』を参照してください。


install_ldap_server ウィザードの使用次のシナリオでは、install_ldap_server ウィザードを使用して IBM Tivoli

Directory Server を Tivoli Access Manager レジストリーとしてインストールし、構成します。このプログラムは、前提条件製品、Tivoli Access Manager コンポーネント、および関連するパッチなど、必要なすべてのソフトウェアをシステムにインストールして構成します。

プリインストール要件IBM Tivoli Directory Server をインストールして構成する前に、(必要に応じて) 以下のプリインストール作業を行う必要があります。これらの要件は、どのようなインストール方法を使用する場合にも適用されます。

v DB2 データベースの所有者 ID を作成します (ldapdb2 (UNIX) や db2admin(Windows) など)。指定したユーザー ID が、DB2 データベースが存在するデータベース・インスタンスを所有します。構成時に、この ID とパスワードの入力を求められます。

注: Windows ユーザーのみ — install_ldap_server インストール・ウィザードを実行すると、作成する ID は、DB2 アドミニストレーター ID および DB2 データベース所有者 ID の両方として使用されます。ネイティブ・インストール・ユーティリティーを使用するときは、個別に ID を作成して使用するようお勧めします。たとえば、DB2 データベース所有者 ID として ldapdb2、DB2 アドミニストレーター ID として db2admin と名前を付けてください。

– ユーザー ID は、8 文字以下でなければなりません。

– Windows プラットフォームでは、ユーザーは、Administrators グループのメンバーでなければならず、アドミニストレーター ID と同じドメイン内に存在していなければなりません。

– UNIX プラットフォームでは、ユーザーはホーム・ディレクトリーを持ち、そのホーム・ディレクトリーの所有者でなければなりません。

– DB2 データベースが置かれるディレクトリーを選択します。インストール・ウィザードでは、「Directory Server のデータベース・ホーム」でこのディレクトリーの指定が求められます。

- DB2 データベース・ディレクトリーのグループ所有権は、DB2 のインストール時に作成された DB2 グループでなければなりません。AIX と Solaris

では通常、このグループの名前は dbsysadm です。Linux on zSeries では通常、このグループの名前は db2iadm1 です。たとえば、ユーザーの名前が ldapdb2 の場合には、AIX と Solaris ではデータベース・ディレクトリーの所有者は ldapdb2:dbsysadm になり、Linux on zSeries ではldapdb2:db2iadm1 になります。

データベースを構成するときに、ユーザーの基本グループとして正しく動作しないグループが存在する場合があります。たとえば、Linux でユーザーの基本グループが users の場合は、問題が発生する可能性があります。基本グループを確実に動作させるためには、Linux では other を使用する必要があります。

インストール・ウィザードのシナリオ


– ユーザー root は、DB2 データベース・ディレクトリーの所有者として選択したグループのメンバーでなければなりません。root がこのグループのメンバーでない場合は、グループのメンバーとして root を追加する必要があります。

– 最善の結果を得るためには、ユーザーのログイン・シェルは Korn シェル(/usr/bin/ksh) でなければなりません。

– ユーザーのパスワードを正しく設定し、使用できる状態にしておく必要があります。たとえば、パスワードの有効期限が切れたり、初回使用時に何らかの妥当性検査で待たされることがないようにします。(パスワードが正しく設定されていることを検査するための最善の方法として、同じコンピューターにtelnet でアクセスし、そのユーザー ID およびパスワードで正常にログインできることを確認してください。)

– データベースを構成する際、必須ではありませんが、データベースの場所として通常はユーザー ID のホーム・ディレクトリーを指定してください。ただし、別の場所を指定する場合、ユーザーのホーム・ディレクトリーには 3 から 4 MB のスペースがなければなりません。これは、データベース自体は別の場所に存在していても、DB2 は、インスタンス所有者 (つまり User) のホーム・ディレクトリーにリンクし、そこにファイルを追加するためです。ホーム・ディレクトリーに十分なスペースがない場合は、十分なスペースを作成するか、または別のディレクトリーをホーム・ディレクトリーとして指定します。

v AIX システムのみ: IBM Tivoli Directory Server バージョン 5.2 を使用するには、64 ビット・ハードウェアおよび 64 ビット・カーネルが必要です。システムを正しくセットアップされていることを確認するには、以下のことを確認してください。

– AIX のハードウェアが 64 ビットであることを確認するには、次のコマンドを入力します。

bootinfo -y

表示された結果が 64 であれば、ハードウェアは 64 ビットです。さらに、lsattr —El proc0 というコマンドを入力すれば、サーバーのプロセッサーのタイプが表示されます。結果が RS64 I、II、III、IV、POWER3、POWER3

II、POWER4 のいずれかであれば、ハードウェアは 64 ビットです。

– 64 ビット・ハードウェアは、32 または 64 ビット・カーネルを使用できます。64 ビット・カーネル (/usr/lib/boot/unix_64) がインストールされ、稼働していることを確認するには、次のコマンドを入力します。

bootinfo -K

表示された結果が 64 であれば、カーネルは 64 ビットです。ただし、32 と表示された場合は、32 ビット・カーネルから 64 ビット・カーネルに切り替える必要があります。これを行うには、以下のステップに従います。

1. 次の 64 ビット・パッケージがあることを確認します。

bos.64bitbos.mp64

2. 64 ビット・カーネルに切り替えるには、次のコマンドを入力します。


第 14 章インストール・ウィザードのシナリオ 207

ln -sf /usr/lib/boot/unix_64 /unixln -sf /usr/lib/boot/unix_64 /usr/lib/boot/unixlslv -m hd5bosboot -ad /dev/ipldeviceshutdown -Fr

– 非同期入出力が可能になっていることを確認します。これを行うには、以下のコマンドを入力してください。

/usr/sbin/mkdev -l aio0/usr/sbin/chdev -l aio0 -P/usr/sbin/chdev -l aio0 -P -a autoconfig=available

install_ldap_server のシナリオIBM Tivoli Directory Server とその前提条件ソフトウェアをインストールし、構成するには、以下のステップを実行します。


2. ご使用のプラットフォーム用の IBM Tivoli Access Manager Directory Server

CD を挿入します。

3. サポートされる JVM がインストールされていて、JVM に対するパスが設定されていることを確認します。正しくインストールまたは設定されていない場合は、インストール時に次のメッセージが表示されます。

A suitable JVM could not be found.Please run the installer again using the option -is:javahome <JAVA HOME DIR>

Tivoli Access Manager に付属のサポートされる JRE パッケージのインストールについては、 175ページの『IBM JRE のインストール』を参照してください。

4. SSL を使用可能にする場合は、使用する SSL 鍵ファイルをローカル・システムのいずれかのディレクトリーに手動でコピーします。インストール・ウィザードは、サンプルの鍵ファイル (am_key.kdb) を、CD の common ディレクトリーから install_dir¥lib ディレクトリーにコピーします。

5. インストール・ウィザードを開始するには、CD が挿入されているドライブのルート・ディレクトリーに移動し、次のコマンドを入力します。

install_ldap_server

6. インストールで使用する言語を選択し、「OK」をクリックします。



7. 「ようこそ (Welcome)」画面が表示されます。「次へ」をクリックして先へ進みます。



8. 使用許諾契約書を読み、その条件を受け入れる場合は「同意する (I accept)」を選択します。「次へ」をクリックして先へ進みます。


v Windows システムの場合: 続く 3 つのパネルでは、GSKit、IBM DB2、および IBM Tivoli Directory Server に対するインストール・ディレクトリーの指定を求められます。デフォルトのディレクトリーを受け入れるか、または「ブラウズ」をクリックして別のディレクトリーを選択します。「次へ」をクリックして先に進みます。

v UNIX システムの場合: 10 (211ページ) 番目のステップまで進みます。インストール・ウィザードは、GSKit、IBM DB2、および IBM Tivoli Directory

Server を、以下のディレクトリーに自動的にインストールします。

– GSKit のインストール・ディレクトリー

AIX: /usr/opt/ibm/gsksa と /usr/opt/ibm/gskta

HP-UX および Solaris: /opt/ibm/gsk7

Linux: /usr/local/ibm/gsk7

– IBM DB2 のインストール・ディレクトリー

AIX および Linux: /usr/ldap/db2

HP-UX および Solaris: /opt/IBM/db2

– IBM Tivoli Directory Server のインストール・ディレクトリー

AIX および Linux: /usr/ldap

HP-UX および Solaris: /opt/IBMldaps



10. 206ページの『プリインストール要件』で作成した DB2 データベース所有者ID のユーザー ID とパスワードを入力します。「次へ」をクリックして先に進みます。

11. 以下のフィールドに入力した後、「次へ」をクリックして先へ進みます。

a. 「アドミニストレーター ID」 — 有効な DN を入力するか、またはデフォルトの DN (cn=root) を受け入れます。ディレクトリー内のすべてのデータに対する全アクセス権限を持つアドミニストレーターは、この DN を使用します。

注: DN では大文字と小文字は区別されません。 X.500 形式のことをよく知らない場合、またはその他の何らかの理由で新しい DN を定義したくない場合は、デフォルトの DN をそのまま使用してください。

b. 「アドミニストレーター・パスワード」 — アドミニストレーター ID のパスワードを作成します。パスワードでは大文字小文字が区別されることに注意してください。

c. 「パスワードの確認」 — 確認のためにパスワードを再度入力します。

d. 「ユーザー定義サフィックス」 — ユーザーとグループのデータを維持するためのサフィックスを入力します。例: o=ibm,c=us

e. 「ローカル・ホスト名」 — LDAP サーバーを置くホスト・システムの完全修飾名を入力します。



12. 以下のフィールドに入力した後、「次へ」をクリックして先へ進みます。

注: am_key.kdb を使用しない場合は、SSL 鍵ファイル・パス、パスワード、および証明書ラベルの値を変更してください。

a. SSL 鍵ファイルに対するパスワードを入力します。デフォルトの鍵ファイルのパスワードは key4ssl (小文字) です。

b. LDAP サーバーに送信される SSL 鍵ファイル証明書に関連するラベルを入力します。デフォルトの鍵ファイル証明書は PDLDAP です。

注: Policy server または Authorization server を構成する際には、このラベルは必要ありません。この値を指定する必要があるのは、SSL の確立時にサーバーとクライアントの両方の認証を実行するようにサーバーを構成する場合、または鍵ファイルでデフォルト以外の証明書を使用したい場合のみです。通常、LDAP サーバーに必要なのはクライアントの.kdb ファイルの作成時に指定されたサーバー側の証明書だけです。







注: Windows システムでは、何度かシステムの再始動を求められます。



14. IBM Tivoli Directory Server とその前提条件製品のインストールと構成をモニターします。

再始動パネルが表示されたら、コンピューターをすぐに再始動するように選択し、「終了」をクリックします。コンピューターが再始動すると、構成ツールが実行されて、サーバーの構成を完了するために必要な情報の指定を求めます。構成プロセスのモニターを継続し、構成が完了したら「終了」をクリックします。

注: インストール処理で問題が発生した場合は、次のディレクトリーにあるインストール・ログ・ファイル msg__ldaps_install.log で確認してください。


/tmp


C:¥Documents and Settings¥Administrator¥Local Settings¥Temp

15. オプション: Web Administration Tool をインストールします。このツールを使用すると、IBM Tivoli Directory Server をローカルまたはリモートで管理できます。このインターフェースは、いつでもインストールできます。 IBM

WebSphere Application Server 5.0.2 (Tivoli Access Manager に付属) などのアプリケーション・サーバーが必要であることに注意してください。デプロイメント計画に、Web Portal Manager インターフェースのインストールが含まれている場合は、同じ WebSphere インスタンスを使用して Web Administration Tool

をホスティングできます。

この GUI のインストールについては、191 ページを参照してください。



注: IBM Tivoli Directory Server バージョン 4.1 または 5.1 を使用している場合は、 Web Administration Tool をインストールする前に、必ずam_update_ldap.bat LDAP パッチを実行してください。

16. デフォルトの am_key.kdb 鍵ファイルを使用して SSL を使用可能にした場合でも、最終的には、SSL を使用可能にするため、またはこの鍵ファイルのデフォルト・パスワードを変更するために、独自の鍵ファイルを作成して使用することが必要になります。このために、GSKit とともにインストールされるiKeyman 鍵管理ユーティリティーを使用できます。手順については、 165ページの『Global Security Kit のインストール』内の GSKit iKeyman ユーティリティーのセットアップに関する情報を参照してください。



install_ammgr ウィザードの使用ユーザー・レジストリーのインストールが正常に終了したら、次に Tivoli Access

Manager policy server をセットアップします。次のシナリオでは、install_ammgrウィザードを使用して、LDAP レジストリーを使用する policy server のインストールと構成を行います。このプログラムは、Tivoli Access Manager コンポーネント、関連製品、および関連するパッチなど、必要なすべてのソフトウェアをシステムにインストールして構成します。

注: レジストリー・サーバーとは別のシステムに policy server システムをセットアップすることをお勧めします。

install_ammgr ウィザードを使用して Tivoli Access Manager policy server をインストールおよび構成するには、以下のステップを実行します。


2. 実行中のすべてのプログラムを停止し、すべてのウィンドウを閉じます。開いているウィンドウがあると、InstallShield ウィザードの最初のウィンドウが、他のウィンドウに隠れて見えないことがあります。


4. ご使用のプラットフォーム用の IBM Tivoli Access Manager Base CD を挿入します。

5. IBM Tivoli Directory Server と同じシステムに policy server をインストールする場合は、ステップ 6 まで進みます。それ以外の場合は、IBM Tivoli Directory

Server の構成に使用した SSL 鍵ファイルを、そのシステムのディレクトリーに手動でコピーします。たとえば、サンプルの am_key.kdb ファイルを使用した場合は、このファイルを IBM Tivoli Directory Server システムから現在のシステムにコピーします。

6. インストール・ウィザードを開始するには、CD が挿入されているドライブのルート・ディレクトリーに移動し、次のコマンドを入力します。

install_ammgr

7. インストールで使用する言語を選択し、「了解」をクリックします。



8. 「ようこそ」画面が表示されます。「次へ」をクリックして先へ進みます。



9. 使用許諾契約書を読み、その条件を受け入れる場合は「使用条件の条項に同意します」を選択します。「次へ」をクリックして先に進みます。



10. Tivoli Access Manager で使用するユーザー・レジストリーのタイプを選択します。「次へ」をクリックして先へ進みます。

11. ロギングのために Tivoli Common Directory を使用可能にするかどうかを選択します。これは、トレースやメッセージ・ログなどのファイルを格納するための、Tivoli ソフトウェアが稼働するシステム上の中央設置場所を表しています。

この機能を初めて構成する際に、ログ・ファイルを置くディレクトリーを指定できます。その後は、このディレクトリーを使用するように、Tivoli ソフトウェアを構成できます。




v Windows システムの場合: 続く 3 つのパネルでは、GSKit、IBM DB2、および IBM Tivoli Directory Client のインストール・ディレクトリーの指定を求められます。デフォルトのディレクトリーを受け入れるか、または「ブラウズ」をクリックして別のディレクトリーを選択します。「次へ」をクリックして先に進みます。

v UNIX システムの場合: 13 番目のステップまで進みます。インストール・ウィザードは、GSKit、IBM DB2、および IBM Tivoli Directory Client を、以下のディレクトリーに自動的にインストールします。

– GSKit のインストール・ディレクトリー

AIX: /usr/opt/ibm/gsksa と /usr/opt/ibm/gskta

HP-UX および Solaris: /opt/ibm/gsk7

Linux: /usr/local/ibm/gsk7

– IBM DB2 のインストール・ディレクトリー

AIX および Linux: /usr/ldap/db2

HP-UX および Solaris: /opt/IBM/db2

– IBM Tivoli Directory Client のインストール・ディレクトリー

AIX および Linux: /usr/ldap

HP-UX および Solaris: /opt/IBMldapc

13. 以下のフィールドに入力し、「次へ」をクリックします。



v 「LDAP サーバー・ホスト名」— LDAP サーバー・システムのホスト名を入力します。

v 「LDAP サーバー・ポート」 — LDAP サーバー・ポートは、すでに提供されています（389)。 LDAP サーバーの構成時にこのポート番号を変更した場合は、この値も同様に変更します。

v Windows システムのみ。「セキュア・ソケット・レイヤー (SSL) を LDAPサーバーで稼働可能にする」かどうかの指定を求められます。セキュリティー上の理由から、レジストリー・サーバーとの SSL 通信を使用可能にすることをお勧めします。そのためには、このチェック・ボックスにチェックマークを付けて、ステップ 15 でリストされる SSL オプションのプロンプトが表示されるようにします。SSL 通信を使用可能にしない場合は、ステップ16 (223ページ) に進みます。

14. UNIX システムのみ。 IBM Tivoli Directory Server でセキュア・ソケット・レイヤー (SSL) を使用可能にするかどうかの指定を求められます。セキュリティー上の理由から、LDAP サーバーとの SSL 通信を使用可能にすることをお勧めします。使用可能にするには、このチェック・ボックスにチェックマークを付けて「次へ」をクリックし、ステップ 15 でリストされる SSL オプションのプロンプトが表示されるようにします。

15. IBM Tivoli Directory Server との SSL を使用可能にすることを選択した場合は、以下のフィールドに入力し、「次へ」を選択します。



v 「SSL 鍵格納ファイル (絶対パス)」 — LDAP SSL クライアント鍵ファイルがある完全修飾パスを入力します。たとえば、am_key.kdb ファイルをc:¥keytabs ディレクトリーにコピーした場合は、 c:¥keytabs¥am_key.kdb

と入力します。

v 「SSL 鍵格納ファイルのパスワード」— キー・ファイルに関連付けられているパスワードを入力します。 am_key.kdb ファイルのデフォルトのパスワードは key4ssl です。将来、gsk7ikm ユーティリティーを使用してこのパスワードを変更する場合は、このデフォルト・パスワードを使用します。

v 「証明書ラベル」 — インストール・ウィザードのデフォルトの鍵ファイルam_key.kdb を使用している場合は、SSL 証明書ラベルは必要ありません。

v 「SSL ポート」 — SSL ポート番号には、デフォルト値が表示されます(636)。必要であれば、このポート番号を変更してください。

16. 以下のフィールドに入力し、「次へ」をクリックします。

v 「Tivoli Access Manager アドミニストレーター・パスワード」 — セキュリティー・マスター ID (sec_master) のアドミニストレーター・パスワードを作成します。 sec_master ID を使用して、独自の管理 ID、グループ、およびそれらの能力を定義できます。

v 「Policy server の SSL ポート」— SSL ポート番号にはデフォルト値(7135) が表示されています。必要であれば、このポート番号を変更してください。

v 「SSL 証明書存続期間 (日)」 — SSL 証明書ファイルが有効な日数を入力します。デフォルトの日数は 365 です。



v 「SSL 接続タイムアウト (秒)」 — SSL 接続がタイムアウトになるまでの応答の待機期間 (秒単位) を入力します。デフォルトの秒数は 7200 です。

v 「LDAP アドミニストレーター DN」 — LDAP アドミニストレーターのDN を入力するか、デフォルト値 (cn=root) をそのまま使用します。

v 「LDAP アドミニストレーター・パスワード」 — LDAP アドミニストレーター DN に対するパスワードを入力します。





18. Policy server とその前提条件製品のインストールと構成をモニターします。

Windows システムシステムの再始動を求めるプロンプトが表示されたら、「次へ」をクリックします。システムが再始動すると、インストール・ウィザードが表示されます。言語を指定して「次へ」をクリックします。 Policy server の構成が完了したら、「終了」をクリックしてインストール・ウィザードを終了します。

Policy server の構成が済めば、管理ドメイン内で他の Tivoli Access Manager システムをセットアップできます。 Tivoli Access Manager システムのリストについては、 11ページの『Tivoli Access Manager システムのタイプ』を参照してください。




第 15 章インストール・ウィザードのオプション

この章では、インストール・ウィザードの使用を促すプロンプトが出される構成オプションについて説明します。以下の項目に構成オプションが含まれています。

v 228ページの『Access Manager Runtime (LDAP)』

v 231ページの『Access Manager Runtime (Active Directory)』

v 235ページの『Access Manager Runtime (Domino)』

v 237ページの『install_amacld』

v 239ページの『install_amadk』

v 240ページの『install_amjrte』

v 241ページの『install_ammgr』

v 243ページの『install_amproxy』

v 244ページの『install_amrte』

v 245ページの『install_amwpm』

v 247ページの『install_ldap_server』


Access Manager Runtime (LDAP)表 6 は、LDAP レジストリーを使用するときの Access Manager Runtime パッケージの構成オプションのリストです。このインストール・コンポーネントを必要とする Tivoli Access Manager システムの構成では、これらのオプションに対するプロンプトが出されます。 139ページの『インストール・ウィザードを使用したインストール』で説明されているように、install_amrte インストール・ウィザードを使用するときも、これらのオプションに対するプロンプトが出されます。

注: install_ammgr ウィザードを使用して policy server のインストールを行っているときは、policy server のオプションに対するプロンプトは出されません。

表 6. Access Manager Runtime のオプション — LDAP： * は必須のオプションです。

構成オプションデフォルト値

レジストリー *

Tivoli Access Manager に対してセットアップされているレジストリー・サーバーのタイプを選択して指定します。デフォルト値は LDAP です。

IBM Global Security Kit のディレクトリー名 (Directory name for the IBM

Global Security Kit)

(Windows のみ)

GSKit のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは、以下のとおりです。

v AIX: /usr/opt/ibm/gsksa と/usr/opt/ibm/gskta

v HP-UX および Solaris: /opt/ibm/gsk7

v Linux: /usr/local/ibm/gsk7

v Windows: C:¥Program Files¥ibm¥gsk7

IBM Tivoli Directory Client のディレクトリー名 (Directory name for the

IBM Tivoli Directory Client)

(Windows のみ)

IBM Tivoli Directory Client のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは、以下のとおりです。

v AIX および Linux: /usr/ldap

v HP-UX および Solaris: /opt/IBMldapc

v Windows: C:¥Program Files¥ibm¥LDAP

Access Manager Runtime のディレクトリー名 (Directory name for the

Access Manager Runtime)

(Windows のみ)

Access Manager Runtime のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは、以下のとおりです。

v UNIX: /opt/PolicyDirector

v Windows: C:¥Program Files¥Tivoli¥Policy

Director

Tivoli Common Directory のロギングを使用可能にする

これを選択して、Tivoli Common Directory (Tivoli

ソフトウェアを実行するシステムにある中央設置場所) がトレースやメッセージ・ログなどのファイルを保管できるようにします。

インストール・ウィザードのオプション


表 6. Access Manager Runtime のオプション — LDAP (続き)： * は必須のオプションです。

ディレクトリー名 *

最初にインストールした Tivoli ソフトウェア・プロダクトに対するログ・ディレクトリーを指定します。

Tivoli Common Directory を初めて構成するとき、ログ・ファイルを置くディレクトリーを指定することができます。その後は、このディレクトリーを使用するように、Tivoli ソフトウェアを構成できます。

Policy server ホスト名 *

Policy server の完全修飾ホスト名を指定します。次に例を示します。

pdmgr.tivoli.com

Policy server SSL ポート *

Policy server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 7135 です。

Policy server CA 証明書のファイル名ファイルは、policy server から自動的にダウンロードまたはコピーできます。

ドメイン *ドメイン名を指定します。デフォルトは Defaultで、管理ドメインを表します。

LDAP サーバー・ホスト名 *LDAP サーバーが listen するポート番号を指定します。デフォルト・ポート番号は 389 です。

LDAP サーバー・ポート *

LDAP Server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 636 です。

セキュア・ソケット・レイヤー (SSL)

をレジストリー・サーバーで使用可能にする (Enable Secure Sockets Layer

(SSL) with the registry server)

(Windows のみ)

SSL を使用可能にするかどうかを指定します。このオプションは推奨です。

Windows においてのみ、LDAP サーバーで SSL を使用可能にできます。このオプションを選択すると、次の 4 つの値に対するプロンプトが出されます。

絶対パス付き SSL 鍵ファイル (SSL

key file with full path) *

ランタイム・システム上におけるクライアントLDAP 鍵データベース・ファイルの場所を示す完全修飾パス名を指定します。この鍵ファイルは、LDAP

サーバーから取得する必要があります。注: SSL 証明書の署名者は、クライアントの鍵データベースにおいて信頼される認証局として認識されなければなりません。


第 15 章インストール・ウィザードのオプション 229

表 6. Access Manager Runtime のオプション — LDAP (続き)： * は必須のオプションです。

SSL 鍵ファイル・パスワード * クライアント LDAP 鍵データベース・ファイルのパスワードを指定します。

Tivoli Access Manager に付属する am_key.kdb ファイルのデフォルトのパスワードは key4ssl です。

install_ldap_server プログラムを使用して IBM

Tivoli Directory Server をインストールおよび構成する場合は、これらのデフォルトを使用できます。gsk7ikm ユーティリティーを使用してこのパスワードを変更する場合は、デフォルトのパスワードを入力する必要があります。

証明書ラベルサーバーに送られるクライアント証明書のラベル(クライアント LDAP 鍵データベース・ファイル内にある) を指定します。

このラベルを指定する必要があるのは、SSL の確立時にクライアントの認証を必要とするようにサーバーを構成する場合、または鍵ファイルでデフォルト以外の証明書を使用したい場合だけです。

通常、LDAP サーバーが必要とするのは、クライアントの .kdb ファイルの作成時に指定されたサーバー側の証明書だけです。 SSL クライアントの鍵ファイル・ラベルが必要ない場合、このフィールドはブランクにしておきます。

SSL ポート * LDAP Server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 636 です。



Access Manager Runtime (Active Directory)表 7 は、Active Directory レジストリーを使用するときの Access Manager Runtime

コンポーネントに対する構成オプションのリストです。このインストール・コンポーネントを必要とする Tivoli Access Manager システムの構成では、これらのオプションに対するプロンプトが出されます。 139ページの『インストール・ウィザードを使用したインストール』で説明されているように、install_amrte インストール・ウィザードを使用するときも、これらのオプションに対するプロンプトが出されます。

Active Directory を使用する場合は、Tivoli Access Manager 製品で現在サポートされているすべての Windows プラットフォームおよび UNIX プラットフォームで、Tivoli Access Manager を実行できます (Windows NT は例外です)。

UNIX プラットフォームでは、Active Directory との通信に IBM Tivoli Directory

Client を使用します。この LDAP クライアントは、ポリシー・サーバー・ドメインがローカル・ホスト名のドメインと異なる場合にも使用されます。

表 7. Access Manager Runtime のオプション — Active Directory： * は必須のオプションです。

構成オプション説明


Tivoli Access Manager にセットアップされているレジストリー・サーバーのタイプ (ActiveDirectory) を選択して指定します。デフォルト値は LDAP です。

IBM Global Security Kit のディレクトリー名 (Directory name for the IBM

Global Security Kit)

(Windows のみ)






IBM Tivoli Directory Client のディレクトリー名 (Directory name for the IBM

Tivoli Directory Client)

(Windows のみ)

IBM Tivoli Directory Client のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは、以下のとおりです。

v AIX および Linux: /usr/ldap

v HP-UX および Solaris: /opt/IBMldapc

v Windows: C:¥Program Files¥ibm¥LDAP

Access Manager Runtime のディレクトリー名 (Directory name for the Access

Manager Runtime)

(Windows のみ)

Access Manager Runtime のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは、以下のとおりです。

v UNIX: /opt/PolicyDirector

v Windows: C:¥Program Files¥Tivoli¥Policy

Director



表 7. Access Manager Runtime のオプション — Active Directory (続き)： * は必須のオプションです。









pdmgr.tivoli.com


Policy server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 7135です。

Policy Server CA 証明書のファイル名ファイルは、policy server から自動的にダウンロードまたはコピーできます。

ドメイン *ドメイン名を指定します。デフォルトは Defaultで、管理ドメインを表します。

ローカル・ホスト名 *プラグインを置くホスト・システムの完全修飾名を指定します。

Active Directory ホスト名 *

Active Directory ドメイン・コントローラーのサーバー名を指定します。次に例を示します。

adserver.tivoli.com

Active Directory ドメイン *Active Directory ドメイン名を指定します。例:

dc=ibm,dc=com

複数の Active Directory ドメインに構成する(Windows のみ)

使用不可

複数のドメインに対して構成する場合に選択します。選択しないと、Tivoli Access Manager は単一のドメインに対して構成されます。(デフォルト値)

暗号化された接続を使用可能にする(Windows のみ)

使用不可

Active Directory Service Interface (ADSI) でKerberos を使用して、Active Directory サーバーへの接続でデータを暗号化するよう指定します。この設定は、Windows 以外の環境において SSL 接続を使用可能にすることと同じです。




セキュア・ソケット・レイヤー (SSL)

を Active Directory サーバーで使用可能にする (Enable Secure Sockets Layer

(SSL) with the Active Directory server)

(UNIX システムへのインストール時、または policy server を構成しているActive Directory ドメインに属さないシステムへのインストール時のみ)

暗号化された接続を使用可能にするかどうかを指定します。 UNIX システムに Tivoli Access

Manager をインストールしている場合、このオプションを指定することが推奨されます。

UNIX システムと Active Directory サーバーとの間の SSL 通信を使用可能にした場合は、次の 4 つの値に対するプロンプトが出されます。

絶対パス付き SSL 鍵ファイル (SSL

key file with full path) *

クライアント LDAP 鍵データベース・ファイルの場所を示す完全修飾パス名を指定します。この鍵ファイルは、LDAP サーバーから取得する必要があります。注: SSL 証明書の署名者は、クライアントの鍵データベースにおいて信頼される認証局として認識されなければなりません。




Tivoli Directory Server をインストールおよび構成する場合は、これらのデフォルトを使用できます。 gsk7ikm ユーティリティーを使用してこのパスワードを変更する場合は、デフォルトのパスワードを入力する必要があります。

証明書ラベルサーバーに送られるクライアント証明書のラベル(クライアント LDAP 鍵データベース・ファイル内にある) を指定します。


通常、LDAP サーバーが必要とするのは、クライアントの .kdb ファイルの作成時に指定されたサーバー側の証明書だけです。 SSL クライアントの鍵ファイル・ラベルが必要ない場合、このフィールドはブランクにしておきます。

SSL ポート LDAP Server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 636です。




Access Manager のデータの場所の識別名 *

Tivoli Access Manager のデータを保管する場所の識別名を指定します。例: dc=ibm,dc=com。デフォルト値は Active Directory ドメイン名です。



Access Manager Runtime (Domino)表 8 は、Domino レジストリーを使用するときの Access Manager Runtime コンポーネントの構成オプションのリストです (Windows のみ)。このインストール・コンポーネントを必要とする Tivoli Access Manager システムの構成では、これらのオプションに対するプロンプトが出されます。 139ページの『インストール・ウィザードを使用したインストール』で説明されているように、install_amrte インストール・ウィザードを使用するときも、これらのオプションに対するプロンプトが出されます。

表 8. Access Manager Runtime のオプション — Domino： * は必須のオプションです。



Tivoli Access Manager に対してセットアップされているレジストリー・サーバーのタイプ (Domino) を選択して指定します。デフォルト値は LDAP です。

IBM Global Security Kit のディレクトリー名(Directory name for the IBM Global Security

Kit)

GSKit のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは次のとおりです。

C:¥Program Files¥ibm¥gsk7

Access Manager Runtime のディレクトリー名(Directory name for the Access Manager

Runtime)

Access Manager Runtime のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは次のとおりです。

C:¥Program Files¥Tivoli¥Policy Director


これを選択して、Tivoli Common Directory

(Tivoli ソフトウェアを実行するシステムにある中央設置場所) がトレースやメッセージ・ログなどのファイルを保管できるようにします。






pdmgr.tivoli.com



Policy Server CA 証明書のファイル名ファイルは、policy server から自動的にダウンロードまたはコピーできます。

ドメイン *ドメイン名を指定します。デフォルトはDefault で、管理ドメインを表します。



表 8. Access Manager Runtime のオプション — Domino (続き)： * は必須のオプションです。

Domino Server 名 *

Domino Server の完全修飾名を指定します。次に例を示します。

Domino/tivoli

Notes クライアント・パスワード *

そのマシンに存在する管理ユーザーのNotes ID ファイルのパスワードを指定します。

Notes アドレス帳データベース名 * デフォルト値は names.nsf です。

Tivoli Access Manager データベース名 *

Tivoli Access Manager データに関連するデータベース名を指定します。デフォルト値は PDMdata.nsf です。



install_amacldTivoli Access Manager authorization server のインストール・ウィザード(install_amacld) では、最初に、レジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションに対するプロンプトが出されます。これらの構成オプションの説明については、以下のいずれかを参照してください。




表 9 は、 107ページの『インストール・ウィザードを使用したインストール』で説明されているように install_amacld ウィザードを使用してインストールを行う際にプロンプトが出される、他のオプションのリストです。

表 9. install_amacld の構成オプション： * は必須のオプションです。




pdmgr.tivoli.com



ドメイン *ドメイン名を指定します。デフォルトはDefault で、管理ドメインを表します。

アドミニストレーター ID *

管理ドメインのアドミニストレーターを指定します。デフォルトは sec_master です。

Tivoli Access Manager アドミニストレーター・パスワード *

Tivoli Access Manager sec_master アドミニストレーター・アカウントのパスワードを指定します。

ローカル・ホスト名 *Authorization server を置くホスト・システムの完全修飾名を指定します。

管理要求ポート *管理要求ポートを指定します。デフォルトのポート番号は 7137 です。

許可要求ポート *許可要求ポートの番号を指定します。デフォルト・ポート番号は 7136 です。

UNIX においてのみ、レジストリー・サーバーで SSL を使用可能にできます。このオプションを選択すると、次の 4 つの値に対するプロンプトが出されます。

絶対パス付き SSL 鍵ファイル (SSL key file

with full path) *

Policy proxy server におけるクライアントLDAP 鍵データベース・ファイルの場所を示す完全修飾パス名を指定します。この鍵ファイルは、LDAP サーバーから取得する必要があります。注: SSL 証明書の署名者は、クライアントの鍵データベースにおいて信頼される認証局として認識されなければなりません。



表 9. install_amacld の構成オプション (続き)： * は必須のオプションです。


Tivoli Access Manager に付属するam_key.kdb ファイルのデフォルトのパスワードは key4ssl です。

install_ldap_server プログラムを使用してIBM Tivoli Directory Server をインストールおよび構成する場合は、これらのデフォルトを使用できます。 gsk7ikm ユーティリティーを使用してこのパスワードを変更する場合は、デフォルトのパスワードを入力する必要があります。

証明書ラベルサーバーに送られるクライアント証明書のラベル (クライアント LDAP 鍵データベース・ファイル内にある) を指定します。


通常、LDAP サーバーが必要とするのは、クライアントの .kdb ファイルの作成時に指定されたサーバー側の証明書だけです。SSL クライアントの鍵ファイル・ラベルが必要ない場合、このフィールドはブランクにしておきます。




install_amadkTivoli Access Manager 開発 (ADK) システム・ウィザード (install_amadk) では、レジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションに対するプロンプトが出されます。これらの構成オプションの説明については、以下のいずれかを参照してください。




ADK に固有の構成オプションはありません。



install_amjrte表 10 は、Tivoli Access Manager Java Runtime Environment システムに対する構成オプションの説明です。 123ページの『第 8 章 Java Runtime Environment システムのセットアップ』で説明されているように、install_amjrte インストール・ウィザードを使用して構成を行うときには、これらのオプションに対するプロンプトが出されます。

表 10. install_amjrte の構成オプション： * は必須のオプションです。



これを選択して、Tivoli Common Directory

(Tivoli ソフトウェアを実行するシステムにある中央設置場所) がトレースやメッセージ・ログなどのファイルを保管できるようにします。






pdmgr.tivoli.com



JRE ディレクトリー *

Tivoli Access Manager に対して構成を行っている Java Runtime Environment のディレクトリーを指定します。



install_ammgrTivoli Access Manager policy server のインストール・ウィザード (install_ammgr)

では、最初にレジストリー・サーバーのタイプに基づいて、Access Manager

Runtime の構成オプションに対するプロンプトが出されます。これらの構成オプションの説明については、以下のいずれかを参照してください。




表 11 は、 97ページの『インストール・ウィザードを使用したインストール』で説明されているように install_ammgr ウィザードを使用してインストールを行う際に指定を求められる、他のオプションのリストです。

注: UNIX プラットフォームと Windows プラットフォームのどちらでインストールを行っているかにより、リストとは異なる順序でオプションに対するプロンプトが出される場合があります。

表 11. install_ammgr の構成オプション： * は必須のオプションです。


Tivoli Access Manager アドミニストレーター・パスワード * (sec_master に対するもの)


パスワードの確認 *確認のため、sec_master のパスワードを再度指定します。



SSL 証明書存続期間 (日) *SSL 証明書ファイルが有効な日数を指定します。デフォルトの日数は 365 です。

SSL 接続タイムアウト (秒) *

SSL 接続がタイムアウトになるまで応答を待機する期間 (秒単位) を指定します。デフォルトの秒数は 7200 です。

レジストリー・サーバーで SSL を使用可能にすることができます。このオプションを選択すると、次の 4 つの値に対するプロンプトが出されます。


with full path) *

Policy proxy server におけるクライアントLDAP 鍵データベース・ファイルの場所を示す完全修飾パス名を指定します。この鍵ファイルは、LDAP サーバーから取得する必要があります。注: SSL 証明書の署名者は、クライアントの鍵データベースにおいて信頼される認証局として認識されなければなりません。



表 11. install_ammgr の構成オプション (続き)： * は必須のオプションです。


Tivoli Access Manager に付属するam_key.kdb ファイルのデフォルトのパスワードは key4ssl です。

install_ldap_server プログラムを使用してIBM Tivoli Directory Server をインストールおよび構成する場合は、これらのデフォルトを使用できます。 gsk7ikm ユーティリティーを使用してこのパスワードを変更する場合は、デフォルトのパスワードを入力する必要があります。

証明書ラベルサーバーに送られるクライアント証明書のラベル (クライアント LDAP 鍵データベース・ファイル内にある) を指定します。


通常、LDAP サーバーが必要とするのは、クライアントの .kdb ファイルの作成時に指定されたサーバー側の証明書だけです。SSL クライアントの鍵ファイル・ラベルが必要ない場合、このフィールドはブランクにしておきます。


LDAP サーバーで SSL を使用可能にする場合は、以下の値を入力するプロンプトも出されます。

LDAP アドミニストレーター DN * LDAP アドミニストレーターの識別名を指定します。デフォルトの名前は、cn=rootです。

LDAP アドミニストレーター・パスワード * LDAP アドミニストレーター DN に対するパスワードを指定します。



install_amproxyTivoli Access Manager policy proxy server のインストール・ウィザード(install_amproxy) では、最初にレジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションに対するプロンプトが出されます。これらの構成オプションの説明については、以下のいずれかを参照してください。




表 12 は、 131ページの『インストール・ウィザードを使用したインストール』で説明されているように install_amproxy ウィザードを使用してインストールを行う際にプロンプトが出される、他のオプションのリストです。

表 12. install_amproxy の構成オプション： * は必須のオプションです。


アドミニストレーター ID *


Tivoli Access Manager アドミニストレーター・パスワード *


ローカル・ホスト名 *Policy proxy server を置くホスト・システムの完全修飾名を指定します。

管理要求ポート *管理要求ポートを指定します。デフォルトのポート番号は 7137 です。

プロキシー要求ポート *許可要求ポートの番号を指定します。デフォルトのポート番号は 7138 です。



install_amrteTivoli Access Manager Runtime システム・ウィザード (install_amrte) では、レジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションに対するプロンプトが出されます。これらの構成オプションの説明については、以下のいずれかを参照してください。






install_amwpm表 13 は、Tivoli Access Manager Web Portal Manager システムに対する構成オプションの説明です。 147ページの『インストール・ウィザードを使用したインストール』で説明されているように、install_amwpm インストール・ウィザードを使用して構成を行うときには、これらのオプションに対するプロンプトが出されます。

表 13. install_amwpm の構成オプション： * は必須のオプションです。


IBM HTTP Server のディレクトリー名(Directory name for IBM HTTP Server)

(Windows のみ)

IBM HTTP Server のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは、以下のとおりです。

v AIX: /usr/HTTPServer

v Linux および Solaris: /opt/IBMHTTPServer

v Windows: C:¥Program Files¥IBMHttpServer

IBM WebSphere Application Server のディレクトリー名 (Directory name for IBM

WebSphere Application Server)

(Windows のみ)

IBM WebSphere Application Server のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは、以下のとおりです。

v AIX: /usr/WebSphere/AppServer

v Linux および Solaris:

/opt/WebSphere/AppServer

v Windows: C:¥Program

Files¥WebSphere¥AppServer

ノード名 *

管理に使用する WebSphere のノード名を指定します。この名前は、ノードのグループ (セル) の範囲内で固有でなければなりません。ホスト名は、ローカル・システムの DNS 名または IP アドレスです。

ローカル・ホスト名 *Web Portal Manager を置くホスト・システムの完全修飾名を指定します。

ローカル・アドミニストレーター ID *

ログオンに使用するアドミニストレーター ID

を指定します。 (UNIX では、この値はcn=root です)

ローカル・アドミニストレーター・パスワード *

ローカル・アドミニストレーターのパスワードを指定します。



pdmgr.tivoli.com

注: 構成の際には、このオプションに対するプロンプトが 2 回出されます。


Policy server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は7135 です。注: 構成の際には、このオプションに対するプロンプトが 2 回出されます。



表 13. install_amwpm の構成オプション (続き)： * は必須のオプションです。

JRE ディレクトリー *

Tivoli Access Manager に対して構成を行っている Java Runtime Environment のディレクトリーを指定します。

Policy server アドミニストレーター ID *管理ドメインのアドミニストレーターを指定します。デフォルトは sec_master です。

Policy server アドミニストレーター・パスワード *




install_ldap_server表 14 は、IBM Tivoli Directory Server とその前提条件ソフトウェアの構成オプションをリストにしたものです。UNIX プラットフォームと Windows プラットフォームのどちらでインストールを行っているかにより、リストとは異なる順序でオプションに対するプロンプトが出される場合があります。

表 14. IBM Tivoli Directory Server のインストール


Global Security Kit ディレクトリー名 (Global

Security Kit Directory Name)

(Windows のみ)






IBM DB2 ディレクトリー名 (IBM DB2

Directory Name)

(Windows のみ)

IBM DB2 のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは、以下のとおりです。

v AIX および Linux:

/usr/ldap/db2

v Solaris:

/opt/IBM/db2

v Windows:

C:¥Program Files¥IBM¥SQLLIB

IBM Tivoli Directory Server ディレクトリー名(IBM Tivoli Directory Server Directory Name)

(Windows のみ)

IBM Tivoli Directory Server のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは、以下のとおりです。

v AIX および Linux:

/usr/ldap

v Solaris:

/opt/IBMldaps

v Windows:

C:¥Program Files¥IBM¥LDAP

DB2 アドミニストレーター ID *

インストールの前に、DB2 データベースの所有者 ID を作成する必要があります(ldapdb2 (UNIX) や db2admin (Windows)

など)。詳しくは、 48ページの『プリインストール要件』を参考にしてください。

DB2 アドミニストレーター・パスワード *DB2 アドミニストレーター ID のパスワードを指定します。



表 14. IBM Tivoli Directory Server のインストール (続き)

Directory Server のデータベース・ホーム *

Windows では C: です。

UNIX では ldapdb2 ユーザーのホーム・ディレクトリーです。

DB2 データベース名 * amdb

アドミニストレーター ID * cn=root

アドミニストレーター・パスワード *アドミニストレーター ID に対する新しいパスワードを作成します。

パスワードの確認 *

(Windows のみ)

確認のためにアドミニストレーター ID のパスワードを再度指定します。

ユーザー定義サフィックス

ユーザーとグループのデータを維持するためのサフィックスを指定します。次に例を示します。o=ibm,c=us

ローカル・ホスト名 *

(Windows のみ)

システムのホスト名は、インストール・ウィザードが検出して設定します。

LDAP サーバーを置くホスト・システムの完全修飾名を指定します。

非 SSL ポート番号 * (Non SSL port number

*)

LDAP サーバーが listen するポート番号を指定します。デフォルト・ポート番号は389 です。

SSL ポート番号 *

LDAP Server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 636 です。


with full path) *

ハード・ディスクに自動的にコピーされます。パネルには、プラットフォームに基づいて鍵ファイルのロケーションが表示されます。そのロケーションをそのまま使用するか、または別の鍵ファイルを参照して指定します。

SSL 証明書の署名者は、クライアントの鍵データベースにおいて信頼される認証局として認識されなければなりません。

SSL 鍵ファイル・パスワード *

SSL 鍵ファイルに関連するパスワードを指定します。 am_key.kdb ファイルのパスワードは key4ssl です。

SSL 鍵ファイル証明書ラベル (SSL key file

certificate label)

LDAP サーバーに送信される SSL 鍵ファイル証明書に関連するラベルを指定します。デフォルトの鍵ファイル証明書はPDLDAP です (am_key.kdb ファイルに対するもの)。



第 16 章 pdconfig オプション

この節では、pdconfig ユーティリティーを使用して Tivoli Access Manager のコンポーネントを構成する際にプロンプトが出されるオプションについて説明します。UNIX プラットフォームと Windows プラットフォームのどちらでインストールを行っているかにより、リストとは異なる順序でオプションに対するプロンプトが出される場合があります。

構成を必要とする Tivoli Access Manager パッケージは以下のとおりです。

v 250ページの『Access Manager Runtime — LDAP』

v 251ページの『Access Manager Runtime — Active Directory』

v 253ページの『Access Manager Runtime — Domino』

v 254ページの『Access Manager Authorization Server』

v 255ページの『Access Manager Java Runtime Environment』

v 256ページの『Access Manager Policy Server』

v 257ページの『Access Manager Policy Proxy Server』

v 258ページの『Access Manager Web Portal Manager』


Access Manager Runtime — LDAP表 15は、LDAP レジストリーを使用して Access Manager Runtime パッケージを構成する際にプロンプトが出されるオプションをリストしています。

表 15. Access Manager Runtime 構成オプション - LDAP


Policy server をこのマシンにインストールしますか

Policy Server を同じマシンにインストールするかどうかを指示します。




レジストリー「LDAP」を選択します。

LDAP サーバー・ホスト名 LDAP サーバーの完全修飾ホスト名を指定します。例:

ldapserver.tivoli.com

LDAP サーバー・ポート LDAP サーバーが listen するポート番号を指定します。デフォルト・ポート番号は 389 です。

Tivoli Access Manager Policy Server が Access Manager Runtime と同じシステムにインストールされていない場合は、以下の 2 つの値を入力するよう指示されます。

Policy server ホスト名 Policy Server の完全修飾ホスト名を指定します。例:

pdmgr.tivoli.com

Policy server の SSL ポート Policy Server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 7135 です。

ドメインドメイン名を指定します。デフォルトは Defaultで、管理ドメインを表します。

pdcacert.b64 ファイルを policy server

から自動的にダウンロードしますか?

Tivoli Access Manager Policy Server の構成によって、pdcacert.b64 という名前のデフォルト SSL 認証局 (CA) ファイルが作成されます。 Access

Manager Policy Server コンポーネントが正常に構成された後、セキュア・ドメイン内のマシンそれぞれに、このファイルを配布する必要があります。

Tivoli Access Manager Runtime システムが Tivoli

Access Manager サーバーの認証を受けるためには、各ランタイム・システムにこのファイルのコピーが必要です。このファイルを入手するには、以下のいずれかを実行してください。

v Access Manager Runtime パッケージの構成の間に、pdcacert.b64 ファイルの自動ダウンロードを選択します。

v Access Manager Runtime コンポーネントを構成する前に、pdcacert.b64 ファイルを Tivoli

Access Manager システムに手動でコピーします。

pdconfig オプション


Access Manager Runtime — Active Directory表 16は、Active Directory レジストリーを使用して Access Manager Runtime パッケージを構成する際にプロンプトが出されるオプションをリストしています。

表 16. Access Manager Runtime 構成オプション - Active Directory


Access Manager Policy Server の場所を指定します。「Access Manager Policy Server は別のマシンにインストールされています」を選択した場合は、以下の 2 つの値に対するプロンプトが表示されます。

ホスト名 Policy Server の完全修飾ホスト名を指定します。例:

pdmgr.tivoli.com

listen ポート Policy Server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 7135 です。

レジストリー Tivoli Access Manager レジストリーのタイプ「Active Directory」を指定します。

複数の Active Directory ドメインに構成する

使用不可

複数のドメインに対して構成する場合に選択します。選択しないと、Tivoli Access Manager は単一のドメインに対して構成されます。(デフォルト値)

Active Directory ホスト名 * Active Directory ドメイン・コントローラーのサーバー名を指定します。例:

adserver.tivoli.com

Active Directory ドメイン Active Directory ドメイン名を指定します。例:

dc=tivoli,dc=com

暗号化された接続を使用可能にする使用不可

Active Directory Service Interface (ADSI) で Kerberos

を使用して、Active Directory サーバーへの接続でデータを暗号化するよう指定します。この設定は、Windows 以外の環境において SSL 接続を使用可能にすることと同じです。

Windows 以外のシステムでは、Tivoli Access Manager Runtime システムと ActiveDirectory サーバーのと間の SSL 接続を使用可能にすることができます。このオプションを選択すると、次の 4 つの値に対するプロンプトが出されます。

ポート番号 LDAP Server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 636 です。

絶対パスでのキー・ファイル暗号化通信を使用可能にするときに作成した LDAP

クライアント鍵ファイルを指定します。

証明書ラベル SSL クライアントの証明書ラベルを指定します。このフィールドには、いずれかの文字を入力する必要があります。クライアント側の証明書の認証をセットアップする必要がないので、指定した文字は無視されます。


第 16 章 pdconfig オプション 251

表 16. Access Manager Runtime 構成オプション - Active Directory (続き)


鍵ファイルのパスワードクライアント LDAP 鍵データベース・ファイルのパスワードを指定します。



Tivoli Directory Server をインストールおよび構成する場合は、これらのデフォルトを使用できます。gsk7ikm ユーティリティーを使用してこのパスワードを変更する場合は、デフォルトのパスワードを入力する必要があります。

Active Directory アドミニストレーター ID

87ページの『Active Directory 管理ユーザーの作成』で作成した管理 ID を指定します。

Active Directory アドミニストレーター・パスワード

Active Directory アドミニストレーター ID に関連するパスワードを指定します。

Access Manager のデータの場所の識別名

Tivoli Access Manager データを保管する場所の識別名 (例: dc=tivoli,dc=com) を指定します。デフォルト値は Active Directory ドメイン名です。




ディレクトリー名最初にインストールした Tivoli ソフトウェア・プロダクトに対するログ・ディレクトリーを指定します。


レジストリーとして Active Directory を使用している場合は、次のディレクトリーに activedir.conf ファイルが作成されます。

%PD_INSTALL_DIR%¥etc

ここで PD_INSTALL_DIR は Tivoli Access Manager がインストールされているディレクトリーで、デフォルトは C:¥Program Files¥Tivoli¥Policy Director です。



Access Manager Runtime — Domino表 17は、Lotus Domino レジストリーを使用して Access Manager Runtime パッケージを構成する際にプロンプトが出されるオプションをリストしています。

表 17. Access Manager Runtime 構成オプション - Domino 構成オプション


Access Manager Policy Server の場所を指定します。「Access Manager Policy Server は別のマシンにインストールされています」を選択した場合は、以下の 2 つの値に対するプロンプトが表示されます。

ホスト名 Policy Server の完全修飾ホスト名を指定します。例:

pdmgr.tivoli.com

listen ポート Policy Server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 7135 です。

レジストリー Tivoli Access Manager レジストリーのタイプ「Domino」を指定します。

Domino Server 名 Domino Server の完全修飾名を指定します。例:

Domino/tivoli

レジストリー・サーバーに対する SSL

を使用可能にするパネルの選択項目は変更できません。「次へ」をクリックして先に進みます。

Notes クライアント・パスワードそのマシンに存在する管理ユーザーの Notes ID ファイルのパスワードを指定します。

Access Manager データベース名 Tivoli Access Manager データに関連するデータベース名を指定します。デフォルト値は PDMdata.nsfです。








Access Manager Authorization Server表 18は、Access Manager Authorization Server パッケージを構成する際にプロンプトが出されるオプションをリストしています。

注: Access Manager Authorization Server パッケージを構成する前に、Access

Manager Runtime パッケージを構成する必要があります。

表 18. Access Manager Authorization Server 構成オプション


ドメインドメイン名を指定します。デフォルトは Defaultで、管理ドメインを表します。この値を変更しないでください。

Policy server ホスト名そのサーバーに接続するために Policy Server によって使用されるホスト名を指定します。デフォルトは、ローカル・システムのホスト名です。

Policy server ポート Policy Server が要求を listen するポート番号を指定します。デフォルト・ポート番号は 7135 です。

Tivoli Access Manager アドミニストレーター (またはドメイン Default のアドミニストレーター ID)

管理ドメインのアドミニストレーターを指定します。デフォルトは sec_master です。この値を変更しないでください。

パスワード Tivoli Access Manager アドミニストレーター(sec_master) のパスワードを指定します。

ローカル・ホスト名 Authorization Server を置くホスト・システムの完全修飾名を指定します。

管理要求ポート管理要求ポートを指定します。デフォルト・ポート番号は 7137 です。

許可要求ポート許可要求ポートの番号を指定します。デフォルト・ポート番号は 7136 です。



Access Manager Java Runtime Environment表 19は、Access Manager Java Runtime Environment パッケージを構成する際にプロンプトが出されるオプションをリストしています。

表 19. Access Manager Java Runtime Environment 構成オプション


構成タイプ現在の JRE で使用できるよう Access Manager Java

Runtime Environment を構成するには、構成タイプを選択します。

完全: Web Portal Manager を構成している場合、または Java アプリケーションが Tivoli Access

Manager セキュリティーを管理および使用できるようにする場合に選択します。

独立型: Java Runtime Environment クラスを使用している開発者であれば、これを選択します。 Policy

Server 情報を要求するプロンプトは表示されません。

Tivoli Access Manager について構成する Java Runtime Environment (JRE)

の絶対パス

IBM JRE 1.3.1 のパスを指定します。例:

/usr/java131/jre

Web Portal Manager システムをインストールしている場合は、WebSphere Application Server とともにインストールした JRE を指定してください。次に例を示します。


Access Manager policy server マシンのホスト名

Policy Server の完全修飾ホスト名を指定します。次に例を示します。

pdmgr.tivoli.com

Access Manager policy server マシンのポート番号

Policy Server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 7135 です。

Access Manager Policy Server ドメイン情報

ヌル








Access Manager Policy Server注:

1. Access Manager Policy Server パッケージを構成する前に Access Manager

Runtime パッケージを構成してください。

2. UNIX プラットフォームでは、Active Directory または Domino のレジストリー・サーバーについて Policy Server はサポートされていません。

表 20. Access Manager Policy Server 構成オプション


Access Manager アドミニストレーター ID

管理ドメインのアドミニストレーターを指定します。デフォルトは sec_master です。Active

Directory Multiple Domain の場合、sec_master@domain_name です。

Access Manager アドミニストレーター・パスワード

Tivoli Access Manager 管理ユーザー ID のパスワードを指定します。

確認パスワード確認のため、sec_master のパスワードを再度指定します。

Policy server の SSL ポート Policy Server が SSL 要求を listen するポート番号を指定します。デフォルト・ポート番号は 7135 です。

SSL 証明書存続期間 SSL 証明書ファイルが有効な日数を指定します。デフォルトの日数は 365 です。

SSL 接続タイムアウト SSL 接続がタイムアウトになるまで応答を待機する期間 (秒単位) を指定します。デフォルトの秒数は7200 です。



Access Manager Policy Proxy Server表 21は、Access Manager Policy Proxy Server パッケージを構成する際にプロンプトが出されるオプションをリストしています。

注: Access Manager Policy Proxy Server パッケージを構成する前に、Access

Manager Runtime パッケージを構成する必要があります。.

表 21. Access Manager Policy Proxy Server 構成オプション


Policy server ホスト名 * Policy Server の完全修飾ホスト名を指定します。次に例を示します。

pdmgr.tivoli.com

Policy server ポート* Policy Server が要求を listen するポート番号を指定します。デフォルト・ポート番号は 7135 です。

アドミニストレーター ID * 管理ドメインのアドミニストレーターを指定します。デフォルトは sec_master です。Active

Directory Multiple Domain の場合、sec_master@domain_name です。

パスワード * Tivoli Access Manager 管理ユーザー ID のパスワードを指定します。

ローカル・ホスト名 * Policy Proxy Server を置くホスト・システムの完全修飾名を指定します。次に例を示します。

pdproxy.tivoli.com

管理要求ポート * 管理要求ポートを指定します。デフォルト・ポート番号は 7139 です。

プロキシー要求ポート * プロキシー要求ポートを指定します。デフォルト・ポート番号は 7138 です。



Access Manager Web Portal Manager表 22は、Access Manager Web Portal Manager パッケージを構成する際にプロンプトが出されるオプションをリストしています。

表 22. Access Manager Web Portal Manager 構成オプション


Tivoli Access Manager アドミニストレーター


Tivoli Access Manager アドミニストレーター・パスワード




第 17 章 Secure Sockets Layer の使用可能化

LDAP サーバーと IBM Tivoli Access Manager ソフトウェアをサポートする IBM

Tivoli Directory Client との間で、Secure Sockets Layer (SSL) 通信を使用可能にすることをお勧めします。

注: インストール・ウィザードを使用して IBM Tivoli Directory Server をインストールした場合は、この章の手順をスキップできます。 install_ldap_server プログラムは、LDAP サーバーとその前提条件ソフトウェアをインストールして構成すると同時に、SSL を使用可能にするプロセスも手順ごとにガイドします。

SSL 通信を使用可能にするには、まずサーバー上に SSL を構成し、その後、IBM

Tivoli Directory Client 上に SSL を構成する必要があります。 SSL を構成するときは、以下の認証タイプのうちのどちらかを選択するようにプロンプトが出されます。

サーバー認証サーバーがその証明書をクライアントに送信して、クライアントがそのサーバーを認証します。

サーバーおよびクライアント認証サーバーは、証明書をクライアントに送信してそのクライアントに認証された後で、クライアントの証明書を要求します。この場合は、クライアント・システムでもサーバーと同様に証明書が作成されている必要があります。

サーバー認証だけをインプリメントすることを選択した場合、サーバーおよび IBM

Tivoli Directory Client を SSL アクセス用に構成しなければなりません。ただし、サーバーおよびクライアント認証をインプリメントすることを選択した場合、サーバー上で SSL を構成し、クライアント上で SSL を構成してから、 281ページの『LDAP サーバーおよびクライアント認証の構成』の指示に従う必要があります。

この章は、以下の主な節に分かれています。

v 260ページの『SSL アクセスのための IBM Tivoli Directory Server の構成』

v 265ページの『SSL アクセスのための IBM z/OS および OS/390 セキュリティー・サーバーの構成』

v 268ページの『SSL アクセスのための Microsoft Active Directory の構成』

v 270ページの『SSL アクセスのための Novell eDirectory サーバーの構成』

v 274ページの『SSL アクセスのための Sun ONE Directory Server の構成』

v 278ページの『SSL アクセスのための IBM Tivoli Directory Client の構成』

v 281ページの『LDAP サーバーおよびクライアント認証の構成』


SSL アクセスのための IBM Tivoli Directory Server の構成SSL の使用を可能にすると、Tivoli Access Manager サーバーと LDAP サーバー間の通信を保護することができます。このステップは、LDAP サーバーと IBM Tivoli

Directory Client 間に SSL 通信を初めてセットアップするときにだけ実行する必要があります。

すでに LDAP サーバー構成の際に LDAP サーバーへの SSL アクセスを使用可能にしてある場合は、クライアントとサーバーの鍵格納ファイルのペアを、SSL アクセスを使用する他の各 Tivoli Access Manager システムへコピーする必要があります。

ご使用の LDAP サーバーに SSL アクセスが必要な場合は、GSKit を使用して SSL

鍵管理を行ってください。 GSKit は、gsk7ikm と呼ばれるグラフィカルな鍵管理ユーティリティーを提供しています。 gsk7ikm ユーティリティーを使用して SSL

を使用可能にする方法について詳しくは、「IBM Global Security Kit Secure Sockets

Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。

IBM Tivoli Directory Server 上で SSL アクセスを使用可能にするには、以下の節の手順を完了してください。

v 260 ページの『鍵データベース・ファイルおよび証明書の作成』

v 261 ページの『認証局からの個人証明書の取得』または 262ページの『自己署名証明書の作成と抽出』

v 263ページの『SSL アクセスの使用可能化』

鍵データベース・ファイルおよび証明書の作成LDAP サーバー上で SSL サポートを使用可能にするためには、サーバーを識別して、個人証明書として使用することのできる証明書がサーバーになければなりません。この個人証明書は、クライアントがサーバーを認証できるようにするために、サーバーがクライアントに送信する証明書です。証明書、および公開鍵と秘密鍵のペアは鍵データベース・ファイルに保管されています。ユーザーは普通、認証局から VeriSign などの署名付き証明書を取得します。

ユーザーは代わりに自己署名証明書を使用できます。自己署名証明書を使用する場合は、その証明書が生成されるシステムが認証局となります。

鍵データベース・ファイルと証明書は、gsk7ikm ユーティリティーを使用して作成してください。鍵データベース・ファイルと証明書 (自己署名付きまたは署名付き)

を作成するには、以下のステップを実行します。

1. LDAP サーバーと、SSL を使用する予定の IBM Tivoli Directory Client クライアントの両方に、サポートされているバージョンの GSKit および gsk7ikm がインストールされていることを確認します。

2. 認証局 (CA) からの証明書、または GSKit iKeyman ユーティリティーを使用して、サポートされるレジストリー・サーバーと IBM Tivoli Directory Client 間の SSL 通信を使用可能にすることをお勧めします。これを行うには、以下のステップに従います。

SSL — IBM Tivoli Directory Server






3. 次のいずれかのデフォルト・ディレクトリーに置かれている gsk7ikm ユーティリティーを開始します。

システムパス

AIX /usr/lpp/ibm/gsk7/bin/gsk7ikm

HP-UX /opt/ibm/gsk7/bin/gsk7ikm

Linux /usr/local/ibm/gsk7/bin/gsk7ikm

Solaris /opt/IBM/GSK7/bin/gsk7ikm

Windows C:¥Program Files¥IBM¥gsk7¥bin¥gsk7ikm.exe

4. 新規の鍵データベース・ファイルを作成するには、「鍵データベース・ファイル (Key Database File)」→「新規 (New)」を選択します。

5. 選択された鍵データベース・タイプが CMS であることを確認します。

6. 鍵データベース・ファイルを配置したい場所の情報を「ファイル名 (FileName)」と「位置 (Location)」フィールドに入力し、「OK」をクリックします。鍵データベース・ファイルの拡張子は、.kdb です。

7. 鍵データベース・ファイルのパスワードを入力し、それを確認します。このパスワードは、鍵データベース・ファイルを編集するときに必要ですので、覚えておいてください。

8. デフォルトの有効期限を受け入れるか、組織の必要に応じてそれを変更します。

9. パスワードをマスクして stash ファイルに保管する場合は、「ファイルに対してパスワードを隠しておく (Stash the password to a file)」を選択します。

stash ファイルは、幾つかのアプリケーションによる使用が可能なので、アプリケーションが鍵データベース・ファイルを使用するためのパスワードを知る必要はありません。 stash ファイルの場所と名前は鍵データベース・ファイルと同じで、拡張子は .sth です。

10. 「OK」をクリックします。これで、鍵データベース・ファイルの作成は完了です。デフォルトの署名者証明書が設定されています。これらの署名者証明書は、認識されているデフォルトの認証局です。

認証局からの個人証明書の取得認証局からの証明書を使用することを計画している場合は、自己署名証明書の代わりに、認証局からの証明書を要求し、完成してからそれを受け取る必要があります。


第 17 章 SSL の使用可能化 261

自己署名証明書を使用することを計画している場合は、この節は読まずに、『自己署名証明書の作成と抽出』に進んでください。

証明書を要求して受け取るには、以下のステップを実行します。

1. 認証局からの証明書を要求し、新しい証明書を鍵データベース・ファイル内に受信するには、gsk7ikm を使用します。

2. 鍵データベース・ファイルの「個人の認証要求 (Personal CertificateRequests)」セクションをクリックします。

3. 「新規 (New)」をクリックします。

4. 認証局に送信可能な要求を作成するには、情報を完成させてから「OK」をクリックします。

5. 認証局から証明書が返送されてきた後で、それを鍵データベース・ファイルにインストールするには、「個人の証明書 (Personal Certificates)」セクションをクリックしてから「受取 (Receive)」をクリックします。

6. 鍵データベース・ファイル内に LDAP サーバーの証明書をインストールしたら、LDAP サーバーを構成して SSL を使用可能にします。

263ページの『SSL アクセスの使用可能化』に進んでください。

自己署名証明書の作成と抽出261ページの『認証局からの個人証明書の取得』の説明のように、既知の認証局から証明書を入手した場合は、この節をスキップし、 263ページの『SSL アクセスの使用可能化』に進んでください。

新しい自己署名証明書を作成して、それを鍵データベース・ファイルに保管するには、以下のステップを実行します。

1. 「作成 (Create)」→ 「新規自己署名証明書 (New Self-Signed Certificate)」を選択します。

2. 「鍵ラベル (Key Label)」フィールドに、GSKit が鍵データベース内でこの新しい証明書を識別するために使用できる名前を入力します。このラベルは、たとえば、LDAP サーバーのシステム名にすることができます。

3. 「バージョン (Version)」フィールド (デフォルトは X509 V3) と「鍵サイズ(Key Size)」フィールドのデフォルトを受け入れます。

4. 「共通名 (Common Name)」フィールドで、この認証に対するデフォルトのシステム名を受け入れるか、別の識別名を入力します。

5. 「組織 (Organization)」フィールドに会社名を入力します。

6. 任意のオプショナル・フィールドを入力するか、ブランクのままにしておきます。

7. 「国 (Country)」フィールドのデフォルトと、「妥当性期間 (ValidityPeriod)」フィールドの 365 を受け入れるか、組織の必要に応じてこれらを変更します。

8. 「OK」をクリックします。 GSKit が新しい公開鍵と秘密鍵のペアを生成し、証明書を作成します。

鍵データベース・ファイル内に 2 つ以上の個人証明書がある場合は、GSKit

が、この鍵をデータベース内のデフォルトの鍵にするかどうか尋ねます。その



うちのいずれかをデフォルトとして受け入れることができます。デフォルトの証明書は、どの証明書を使用するかを選択するためのラベルが提供されない場合に実行時に使用されます。

これで、LDAP サーバーの個人証明書の作成は完了です。これは、鍵データベース・ファイルの「個人の証明書 (Personal Certificates)」セクションに表示されます。鍵管理ユーティリティーの中央のバーを使用して、鍵データベース・ファイル内に保管されている証明書のタイプを選択してください。

証明書は、鍵データベース・ファイルの「署名者証明書 (Signer Certificates)」セクションにも表示されます。鍵データベースの「署名者の証明書 (Signer

Certificates)」セクションに、新しい証明書があることを確認してください。

次に、LDAP サーバーの証明書を Base64-encoded ASCII データ・ファイルに抽出する必要があります。

9. LDAP サーバーの証明書を Base64-encoded ASCII データ・ファイルに抽出するには、gsk7ikm を使用します。このファイルは、279 ページの『署名者証明書の追加』で使用されます。

10. 作成した自己署名証明書を強調表示します。

11. 「証明書の抽出 (Extract Certificate)」をクリックします。

12. データ・タイプとして「Base64 コード化 ASCII データ (Base64-encodedASCII data)」をクリックします。

13. 新しく抽出された証明書の証明書ファイル名を入力します。証明書ファイルの拡張子は、通常 .arm です。

14. 抽出された証明書を保管する場所を入力します。

15. 「OK」をクリックします。

16. この抽出された証明書を IBM Tivoli Directory Client システムへコピーします。

これで、LDAP サーバーを構成して SSL を使用可能にすることができます。『SSL

アクセスの使用可能化』に進んでください。

SSL アクセスの使用可能化IBM Tivoli Directory Server で SSL を使用可能にするには、以下のステップに従います。

1. IBM Tivoli Directory Server と管理デーモンが稼働中であることを確認します。サーバーを始動するには、以下のいずれかを実行します。

v UNIX システムでは、ibmdirctl コマンドを使用します。

v Windows システムでは、ibmdirctl コマンドを使用するか、

a. 「スタート」 → 「設定」 → 「コントロールパネル」をクリックします。

b. 以下のいずれかを行います。

– Windows NT システムでは、「サービス」をクリックします。「IBMTivoli Directory V5.2」を選択し、「開始」をクリックします。IBMTivoli Directory Admin Daemon サービスについて、このステップを繰り返します。

– Windows 2000 システムでは、「管理ツール」→ 「サービス」をクリックします。「IBM Tivoli Directory V5.1」でマウスを右クリックし、



「開始」をクリックします。IBM Tivoli Directory Admin Daemon サービスについて、このステップを繰り返します。


v SSL 通信を構成するには、次のコマンドを入力します。

ldapmodify -D Admin_DN -w admin_password -i filename

ここで、filename には以下の内容が含まれます。

dn:cn=SSL,cn=Configurationchangetype:modifyreplace:ibm-slapdSecurityibm-slapdSecurity:SSL | none | SSLOnly-replace:ibm-slapdSslAuthibm-slapdSslAuth:serverauth | serverClientAuth-replace:ibm-slapdSslCertificateibm-slapdSslCertificate: ldapserv-replace:ibm-slapdSslKeyDatabaseibm-slapdSslKeyDatabase: /usr/ldap/etc/key.kdb

v ibmsladp.conf ファイルを編集し、以下をスタンザに追加します。スタンザは、以下のように開始します。

dn:cn=SSL,cn=Configuration

ibm-slapdSecurity:SSL | none | SSLOnlyibm-slapdSslAuth:serverauth | serverClientAuthibm-slapdSslCertificate: ldapservｔibm-slapdSslKeyDatabase: /usr/ldap/etc/key.kdb

3. 以下の手順で、IBM Tivoli Directory Server および管理デーモンの両方を停止します。


ibmdirctl -D ldap_admin -w ldap_pwd stopps -ef | grep ibmdiradmkill -9 pid_obtained_by_previous_command

v Windows システムでは、「スタート」 → 「設定」 → 「コントロールパネル」 → 「管理ツール」 → 「サービス」をクリックします。「IBM TivoliDirectory V5.2」を右マウス・ボタンでクリックし、「停止」をクリックします。IBM Tivoli Directory Admin Daemon サービスについて、このステップを繰り返します。

4. 以下の手順で、IBM Tivoli Directory Server および管理デーモンの両方を開始します。

v UNIX システムでは、ibmdirctl コマンドを使用して管理デーモンを開始した後、ibmdirctl コマンドを使用して次のようにディレクトリー・サーバーを開始します。

ibmdiradmibmdirctl -D ldap_admin -w ldap_pwd start

v Windows システムでは、ibmdirctl コマンドを使用するか、「スタート」 →

「設定」 → 「コントロールパネル」 → 「管理ツール」 → 「サービス」をクリックします。「IBM Tivoli Directory V5.2」を右マウス・ボタンでクリックし、「開始」をクリックします。IBM Tivoli Directory Admin Daemonサービスについて、このステップを繰り返します。



5. SSL が使用可能にされたかどうかテストするには、LDAP サーバーのコマンド行から次のコマンドを入力します。

ldapsearch -h ldaphost -Z -K keyfile -P key_pw -b "" -s base objectclass=*

ここで:

ldaphost

LDAP サーバーの DNS ホスト名を指定します。

keyfile_pwd

SSL 鍵データベースの名前 (デフォルトの拡張子 .kdb を持つ) を指定します。鍵データベース・ファイルが現在のディレクトリーにない場合、完全修飾鍵データベース・ファイル名を指定します。

key_pw 鍵ファイルのパスワードを指定します。このパスワードは、鍵データベース・ファイル (1 つ以上の秘密鍵を含む場合がある) 内の暗号化された情報にアクセスする場合に必要です。パスワード stash ファイルが鍵データベース・ファイルと関連付けられている場合、パスワードはパスワード stash ファイルから取得され、-P オプションは必要ありません。このオプションは、-Z も -K も指定されていない場合は無視されます。

ldapsearch コマンドは、LDAP サーバーのサフィックスを含む LDAP 基本情報を返します。

LDAP サーバーの SSL セットアップはこれで終了です。

6. 次に、SSL アクセスのための IBM Tivoli Directory Client のセットアップを行います。 278ページの『SSL アクセスのための IBM Tivoli Directory Client の構成』に進んでください。

SSL アクセスのための IBM z/OS および OS/390 セキュリティー・サーバーの構成

Tivoli Access Manager と LDAP サービスが同一の保護されたネットワーク上にない場合、 LDAP サーバーと Tivoli Access Manager ソフトウェアをサポートするクライアントの間で SSL 通信を使用可能にすることをお勧めします。このプロトコルは各サーバーおよびクライアント間に安全な暗号化された通信を提供します。Tivoli Access Manager はこうした通信チャネルを、認証および許可の決定を下すプロセスの一部として使用します。

SSL 通信用に LDAP サーバーを OS/390 または z/OS 上に構成するには、ご使用の OS/390 または z/OS のリリースに合った LDAP サーバーの管理と使用に関する資料を参照してください。この資料は、次の Web サイトに置かれています。


以下の高レベルのステップは、z/OS リリース 1.2 ～ 1.4 上で LDAP のためのSSL サポートを使用可能にするために必要です。これらのステップは、LDAP ディレクトリー・サーバーのインストールと構成、z/OS Cryptographic Services System

SSL の構成、および STEPLIB、LPALIB、または LINKLIST の設定が済んでいることを前提としています。




1. サーバー認証と、オプショナルのクライアント認証のために、SSL ポート上でLDAP 要求を listen するよう LDAP サーバーを構成します。『セキュリティー・オプションのセットアップ』を参照してください。

2. LDAP サーバーの秘密鍵とサーバー証明書を生成し、それをデフォルトとして鍵データベース内でマークを付けるか、そのラベルを sslCertificate 構成ファイル・オプションで使用します。 gskkyman ユーティリティーを使用して鍵データベース・ファイルを作成する例については、 267ページの『鍵データベース・ファイルの作成』を参照してください。

3. LDAP サーバーを再始動します。

セキュリティー・オプションのセットアップ以下の SSL 用オプションを slapd.conf ファイルの中で設定できます。

listen ldap_URL

LDAP サーバーが着信クライアント要求を listen する IP アドレス (またはホスト名) とポート番号を、LDAP URL フォーマットで指定します。このパラメーターは、構成ファイルの中で複数回指定することができます。

sslAuth {serverAuth | serverClientAuth}

SSL 認証方式を指定します。serverAuth 方式では、 LDAP クライアントは LDAP サーバーの妥当性を、クライアントとサーバー間の初期接触時に検査できます。serverAuth 方式がデフォルトです。

sslCertificate {certificateLabel | none}

サーバー認証に使用される証明書のラベルを指定します。このラベルは鍵データベース・ファイルに保管され、このファイルは gskkyman ツールを使用して作成され、管理されます。

sslCipherSpecs int

クライアントから受け入れられる SSL 暗号仕様を指定します。

表 23. サポートされる暗号

暗号 16 進値 10 進値

SLAPD_SSL_RC4_MD5_US 0x0800 2048

SLAPD_SSL_RC4_SHA_US 0x0400 1024

SLAPD_SSL_TRIPLE_DES_SHA_US 0x0100 256

SLAPD_SSL_DES_SHA_EXPORT 0x0200 512

SLAPD_SSL_RC2_MD5_EXPORT 0x1000 4096

SLAPD_SSL_RC4_MD5_EXPORT 0x2000 8192

sslCipherSpecs キーワードで使用される整数値は、表 23 の 16 進値を論理和演算して定義されたビット・マスクを 10 進数で表したものです。たとえば、米国内で使用可能なすべての暗号を使用するには、値を 15104 にします。 (米国外では、有効なすべての暗号仕様を示す値は 12288 です。) この場合、これらの暗号のいずれかをサポートするクライアントは、サーバーとの SSL 接続を確立できます。

sslKeyRingFile filename

サーバー用の SSL 鍵データベース・ファイルのパスおよびファイル名を指

SSL — z/OS および OS/390 Servers


定します。このファイル名は、gskkyman ツールを使用して作成された鍵データベース・ファイル名に一致する必要があります。

sslKeyRingFilePW string

SSL 鍵データベース・ファイルへのアクセスを保護するパスワードを指定します。このパスワード・ストリングは、gskkyman ツールを使用して作成された鍵データベース・ファイルのパスワードに一致する必要があります。

注: sslKeyRingFilePW 構成オプションの使用は、決してお勧めしません。その代わりに、RACF 鍵格納ファイル・サポートまたはsslKeyRingPWStashFile 構成オプションを使用してください。それによって、このパスワードを構成ファイルから除去できます。

sslKeyRingPWStashFile filename

サーバーの鍵データベース・ファイルのパスワードを隠しておくファイルの名前を指定します。このオプションが存在する場合は、この stash ファイルに入っているパスワードによって、sslKeyRingFilePW 構成オプションが存在しても指定変更されます。鍵データベース・パスワード stash ファイルを作成するには、gskkyman ユーティリティーと -s オプションを使用してください。

鍵データベース・ファイルの作成次の例では、gskkyman ユーティリティーを使用して鍵データベース・ファイルを作成する方法を示します。

1. シェル・プロンプト (OMVS または rlogin セッション) から、次のようにしてgskkyman ユーティリティーを開始します。

$ gskkyman

gskkyman ユーティリティーはメニュー形式のインターフェースを提供します。機能を実行するには、実行したいオプションの番号を選択して、コマンド・プロンプトに入力します。構成オプションのプロンプトが出されます。続行するには、各プロンプトの後に Enter を押します。

2. オプション 1 を入力し、新しい鍵データベース・ファイルを作成します。

3. 鍵データベース名を入力するか、デフォルト (key.kdb) を受け入れて、Enter を押します。

4. 鍵データベースを保護するには、パスワードを作成します。

5. 確認のために、データベース・パスワードを再入力します。

6. パスワードの有効期限を日数で入力するか、デフォルト (有効期限なし) を受け入れます。

7. データベース・レコード長を入力するか、デフォルト (2500) を受け入れます。

鍵データベースが作成され、この操作の成否を示すメッセージが表示されます。

8. 「鍵管理メニュー (Key Management Menu)」で、自己署名証明書を作成するためにオプション 6 を選択し、プロンプトに従います。

9. 証明書が作成された後、この証明書が LDAP クライアント・システムへ送信されてトラステッド CA 証明書として追加されるよう、抽出する必要があります。これを行うには、以下のステップに従います。



a. 鍵と証明書を管理するために、オプション 1 を選択します。

b. 「鍵および証明書のリスト (Key and Certificate List)」から、ラベル番号を入力します。

c. 「鍵および証明書のリスト (Key and Certificate List)」で、証明書をファイルへエクスポートするためにオプション 6 を入力します。

d. 「エクスポート・ファイル・フォーマット (Export File Format)」ダイアログで、エクスポート・フォーマットを選択します。たとえば、Binary ASN.1

DER へエクスポートするには、オプション 1 を選択します。

証明書がエクスポートされます。この時点で、エクスポートされたファイルを LDAP クライアント・システムへ転送し、トラステッド CA 証明書として追加できます。エクスポートで binary DER のファイル・フォーマットを指定した場合、「追加 (Add)」操作を行うときは、LDAP クライアント・システムで、gsk7ikm ユーティリティーに対して同じファイル・タイプを指定する必要があります。

SSL アクセスのための Microsoft Active Directory の構成Windows 2000 システム上に、Active Directory ドメインがセットアップされ、Tivoli

Access Manager Policy Server がインストールおよび構成されていることを確認してください。

Active Directory サーバー上の証明書のエクスポートActive Directory サーバー上の CA 証明書をエクスポートするには、以下のステップに従います。

1. スタンドアロン・コンピューターの場合は、ローカルの Administrator セキュリティー・グループ、ドメインに接続されているコンピューターの場合は Domain

Administrator セキュリティー・グループのメンバーとしてログオンします。

2. Windows Server に認証局 (CA) をインストールします。CA により、Active

Directory サーバーにサーバー証明書がインストールされます。これを行うには、以下のステップに従います。

a. 「スタート」 → 「管理ツール」 → 「認証局 (Certificate Authority)」をクリックし、CA Microsoft Management Console (MMC) GUI をオープンします。

b. CA マシンを強調表示し、右マウス・ボタンをクリックして CA の「プロパティ」を選択します。

c. 「全般」メニューから、「証明書の表示 (View Certificate)」をクリックします。

d. 「詳細」ビューを選択し、ウィンドウの右下隅にある「ファイルへコピー(Copy to File)...」ボタンをクリックします。

e. 証明書のエクスポート・ウィザード (Certificate Export Wizard) を使用して、CA 証明書をファイルに保管します。

注: CA 証明書は、DER Encoded Binary X-509 形式または Based-64 Encoded

X-509 形式のいずれかで保管できます。



3. SSL が Active Directory サーバー (Windows 2000 または Windows 2003) で使用可能かどうかを確認するには、以下のステップに従います。

a. Windows 2000 サポート・ツール (Windows 2003 では Windows サポート・ツール) が Active Directory マシンにインストールされていることを確認します。 suptools.msi セットアップ・プログラムは、Windows CD の¥Support¥Tools¥ ディレクトリーにあります。

b. 以下のいずれかを選択します。

v Windows 2000 システムの場合は、「スタート」 → 「Windows 2000 サポートツール (Windows 2000 Support Tools) 」→「ツール (Tools)」→「Active Directory 管理ツール (Active Directory AdministrationTool)」を選択し、ldp ツールを開始します。

v Windows 2003 システムの場合は、「スタート」 → 「Windows サポートツール (Windows Support Tools)」 → 「ツール (Tools)」 → 「コマンドプロンプト (Command Prompt)」を選択し、ldp ツールを開始します。

c. ldp ウィンドウから、「接続 (Connection)」 → 「接続 (Connect)」を選択し、ホスト名とポート番号 (636) を入力します。

注: Active Directory ドメイン・サーバー名を正しく入力していることを確認します。

正常に実行されると、Active Directory SSL 接続に関連した情報をリストしたウィンドウが表示されます。接続が成功しない場合は、システムを再始動して、この手順を繰り返します。

LDAP クライアント・システムへの証明書のインポートActive Directory サーバーの証明書をエクスポートした後、暗号化通信をセットアップする予定の非 Windows Tivoli Access Manager システムに証明書をインポートする必要があります。これを行うには、以下のステップに従います。

1. 以下のコンポーネントが Tivoli Access Manager システムにインストールされていることを確認してください。

重要: この時点では、Access Manager Runtime コンポーネントを構成しないでください。

v Global Security Kit (GSKit)

v IBM Tivoli Directory Client (LDAP クライアント)

v Access Manager Runtime

2. iKeyman Key Management Utility がセットアップ済みであることを確認します。これは、GSKit とともにインストールされます。手順については、 165ページの『Global Security Kit のインストール』内の GSKit iKeyman ユーティリティーのセットアップに関する情報を参照してください。

3. 抽出された CA 証明書を Tivoli Access Manager システムにインストールします。

4. GSKit iKeyman ユーティリティーを使用して、鍵データベース・ファイルを作成し、Active Directory サーバーの CA 証明書をこの鍵ファイルにインポートします。インポートされた CA 証明書が、Active Directory サーバー・システムから抽出された CA 証明書ファイルを指示していることを確認してください。手順

SSL — Microsoft Active Directory


については、 278ページの『SSL アクセスのための IBM Tivoli Directory Client

の構成』を参照するか、「IBM Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。

5. 作成した鍵ファイルで、Active Directory サーバーへの SSL 接続をテストするには、Tivoli Access Manager システムで ldapsearch コマンドを使用できます。手順については、『SSL アクセスのテスト』を参照してください。

6. Tivoli Access Manager の pdconfig ユーティリティーを使用して、Access

Manager Runtime コンポーネントを構成します。暗号化接続を使用可能にするプロンプトが出されたら、「はい (Yes)」を選択します。構成オプションの説明については、 251ページの『Access Manager Runtime — Active Directory』を参照してください。

7. このシステムに、Access Manager Authorization Server または Web Portal

Manager のような、追加の Tivoli Access Manager コンポーネントがインストールされている場合は、これらのコンポーネントをこの時点で構成します。

SSL セットアップはこれで完了です。

SSL アクセスのテストActive Directory サーバーが、クライアントの個人証明書を作成した認証局を認識したら、 LDAP クライアント上で以下のコマンドを使用して SSL アクセスをテストしてください。

ldapsearch -h AD_servername -s base -Z -K client_keyfile -P keyfile_pwd objectclass=*

コマンド変数は以下のとおりです。

変数説明

AD_servername Active Directory サーバーの DNS ホスト名を指定します。

client_keyfile 生成されたクライアント鍵ファイルの完全修飾パス名を指定します。

keyfile_pwd 生成された鍵ファイルのパスワードを指定します。

正常に実行されると、Active Directory サーバー情報をリストしたウィンドウが表示されます。接続が成功しない場合は、システムを再始動して、この手順を繰り返します。

SSL アクセスのための Novell eDirectory サーバーの構成Secure Socket Layer (SSL) を使用することによって、Tivoli Access Manager サービスと NDS eDirectory との間で伝送されるデータを暗号化して、データのプライバシーと保全性を維持することができます。管理者は、ユーザー・パスワードや専用データなどの情報を保護するために、SSL を使用可能にすることが推奨されます。ただし、Tivoli Access Manager の操作に SSL は必須ではありません。使用するTivoli Access Manager 環境に SSL が必要でなければ、この節をスキップしてください。

SSL — Microsoft Active Directory


Tivoli Access Manager は、Novell eDirectory によるサーバー側の認証のみをサポートします。 Novell eDirectory Server を SSL 用に構成するには、ConsoleOne ツールがインストールされていることを確認し、以下の節の手順を実行します。

v 『組織の認証局オブジェクトの作成』

v 272ページの『自己署名証明書の作成』

v 272ページの『LDAP サーバー用のサーバー証明書の作成』

v 273ページの『SSL の使用可能化』

v 273ページの『IBM 鍵ファイルへの自己署名 CA 証明書の追加』

注: 詳しくは次の Web サイトで Novell 製品資料を参照してください。

Novell eDirectory バージョン 8.6.2 については、次の Web サイトを参照してください。


Novell eDirectory バージョン Version 8.7 については、次の Web サイトを参照してください。


組織の認証局オブジェクトの作成eDirectory のインストール時に、デフォルトで「NDSPKI: 認証局(NDSPKI:Certificate Authority)」オブジェクトが (ネットワーク内にまだ存在していなければ) 作成されます。サブジェクト名 (オブジェクト名でなく) が有効な署名者であることが重要です。サブジェクト名は、Tivoli Access Manager によって有効と認識される組織フィールドと国フィールドを備えている必要があります。デフォルトのサブジェクト名は、次のとおりです。

0=organizational_entry_name.OU=Organizational CD

これは、有効な署名者ではありません。これを変更するには、有効なサブジェクト名を使用して、「認証局 (Certificate Authority)」オブジェクトを再作成する必要があります。これを行うには、以下のステップに従います。

1. ConsoleOne を開始します。

2. 「セキュリティー (Security)」コンテナー・オブジェクトを選択します。オブジェクトがウィンドウの右側のペインに表示されます。

3. 「組織 CA (Organization CA)」オブジェクトを選択し、削除します。

4. 「セキュリティー (Security)」コンテナー・オブジェクトを再び右マウス・ボタンでクリックし、「新規 (New)」→「オブジェクト (Object)」を順にクリックします。

5. 「新規オブジェクト (New Object)」ダイアログのリスト・ボックスで、「NDSPKI: 認証局 (NDSPKI: Certificate Authority)」をダブルクリックします。「組織認証局オブジェクトの作成 (Create an Organizational Certificate

Authority Object)」ダイアログが表示されます。オンラインの指示に従ってください。

6. ターゲット・サーバーを選択し、eDirectory オブジェクト名を入力します。次に例を示します。

SSL — Novell eDirectory Server




Host Server Field = C22Knt_NDS.AM

Object Name Field = C22KNT-CA

7. 「作成方式 (Creation Method)」に「カスタム (Custom)」を選択して「次へ」をクリックします。

インストールされている Novell eDirectory のバージョンによっては、さらに 2

つの画面が表示される可能性があります。「次へ」を 2 回クリックして先へ進みます。

8. Certificate Authority を定義するために、デフォルトのサブジェクト名を受け入れるか、有効な識別名を入力します。 Certificate Authority によって生成されるすべての証明書は、このロケーションに配置されます。

9. 「組織認証局 (Organizational Certificate Authority)」が ConsoleOne にC22KNT-CA として表示されます。

自己署名証明書の作成自己署名証明書を作成するには、次のようにします。

1. 「組織認証局 (Organizational Certificate Authority)」(C22KNT-CA) のプロパティーへ進みます。「プロパティー (Properties)」ウィンドウが表示されます。

2. 「証明書 (Certificate)」タブを選択し、ドロップダウン・メニューから「自己署名証明書 (Self Signed Certificate)」を選択します。

3. 証明書の妥当性検査を行います。

4. 証明書をエクスポートします。「証明書のエクスポート (Export a Certificate)」ウィンドウが表示されます。

5. デフォルト値を受け入れ、自己署名証明書が保管される場所を書き留めます。次に例を示します。

c:¥c22knt¥CA-SelfSignedCert.der

6. ファイルを Tivoli Access Manager ホスト・ディレクトリーへ転送 (FTP) します。次に例を示します。

c:¥Program Files¥Tivoli¥Policy Directory¥keytab

これがバイナリー・ファイルであることに注意してください。

LDAP サーバー用のサーバー証明書の作成Novell eDirectory Server 用のサーバー証明書を作成するには、以下のステップを実行します。

1. LDAP サーバー用のサーバー証明書を作成するために、「組織 (Organization)」エントリーを右マウス・ボタン・クリックし、「新規 (New)」→「オブジェクト(Object)」をクリックします。「新規オブジェクト (New Object)」ウィンドウが表示されます。

2. 「NDSPKI: 鍵素材 (NDSPKI: Key Material)」を選択し、「OK」をクリックします。「サーバー証明書の作成 (鍵素材) (Create Server Certificate (Key

Material))」ウィンドウが表示されます。

3. 証明書の名前 (たとえば「AM」) を入力し、作成方式に「カスタム (Custom)」を選択して「次へ」をクリックします。



4. 証明書に署名する「認証局の指定 (Specify the Certificate Authority)」オプションにデフォルト値を使用して「次へ」をクリックします。

5. 鍵サイズを指定し、他のすべてのオプションについてはデフォルト値を受け入れて、「次へ」をクリックします。

注: Novell eDirectory バージョン 8.6.2 のデフォルト鍵サイズは 1024 ビット、バージョン 8.7 では 2048 ビットです。

6. 「証明書パラメーターの指定 (Specify the Certificate Parameters)」ウィンドウで、「サブジェクト名 (Subject name)」フィールドの横にある「編集 (Edit)」ボタンをクリックします。「サブジェクトの編集 (Edit Subject)」ウィンドウが表示されます。

7. サブジェクト名を入力してから、「OK」をクリックします。「サーバー証明書(鍵素材) の作成 (Create Server Certificate (Key Material))」ウィンドウが、更新された「サブジェクト名 (Subject Name)」フィールドと共に表示されます。「次へ」をクリックして先に進みます。

8. 続くウィンドウでデフォルト値を受け入れるために「次へ」を 2 回クリックし、「終了 (Finish)」をクリックして鍵素材 (Key Material) を作成します。

「証明書を作成中 (Creating Certificate)」ウィンドウが一時的に表示されます。このウィンドウが消去されると、ConsoleOne の右側のペインが、「AM」という名前の「鍵素材 (Key Material)」エントリーによって更新されます。これがサーバー証明書です。

SSL の使用可能化SSL を Novell LDAP サーバーに使用可能にするには、次のようにします。

1. ConsoleOne の右側のペインで、「LDAP サーバー - hostname (LDAP Server -hostname)」という名前のエントリーを見つけ、それを右マウス・ボタン・クリックします。

2. ドロップダウン・メニューから「プロパティー (Properties)」を選択します。「プロパティー (Properties)」ノートブックから、「SSL 構成 (SSL

Configuration)」タブを選択します。

3. 「SSL 証明書 (SSL Certificate)」フィールドの横にある「ツリー構造探索 (Tree

Search)」アイコンをクリックします。「SSL 証明書の選択 (Select SSL

Certificate)」ウィンドウが表示されます。「SSL 証明書リスト (SSL Certificate

List)」ペインに、組織にとって既知の証明書が表示されます。

4. 「AM」証明書を選択し、「OK」をクリックします。「LDAP サーバー -

hostname のプロパティー (Properties of LDAP Server - hostname)」ウィンドウが再表示され、「SSL 証明書 (SSL Certificate)」フィールドが更新されています。

注: 「相互認証を使用可能にし、必要にする (Enable and Require Mutual

Authentication)」は選択しないでください。

IBM 鍵ファイルへの自己署名 CA 証明書の追加Tivoli Access Manager サーバー上の IBM 鍵ファイルに自己署名 CA 証明書を追加するには、以下のステップに従います。

1. gsk7ikm ユーティリティーを開始します。「IBM 鍵管理 (IBM Key Manager)」ウィンドウが表示されます。



2. 「鍵データベース・ファイル (Key Database File)」→ 「新規 (New)」を選択します。「新規 (New)」ウィンドウが表示されます。

3. 各フィールドを以下の値に更新し、「OK」をクリックします。

鍵データベース・タイプ (Key database type): CMS key database fileファイル名 (File name): key.kdb位置 (Location): /var/PolicyDirector/keytabs

「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。

4. パスワードを作成し、確認のために 2 回入力してから、「OK」をクリックします。「IBM 鍵管理 (IBM Key Manager)」ウィンドウが表示され、「署名者証明書 (Signer Certificates)」ダイアログが表示されます。

5. 「追加 (Add)」ボタンをクリックします。「ファイルから CA の証明書を追加(Add CA’s Certificate from a File)」ウィンドウが表示されます。以下のフィールドを更新し、「OK」をクリックします。

データ・タイプ (Data type): Binary der data証明書ファイル名 (Certificate file name): <hostname>CA-SelfSignedCert.der位置 (Location): /var/PolicyDirector/keytabs

これで、「署名者証明書 (Signer Certificates)」ダイアログが「AM」という名前の証明書によって更新されました。

SSL アクセスのための Sun ONE Directory Server の構成SSL を使用することによって、Tivoli Access Manager サービスと Sun ONE

Directory Server との間で送信されるデータを暗号化して、データのプライバシーと保全性を維持することができます。管理者は、ユーザー・パスワードや専用データなどの情報を保護するために、SSL を使用可能にすることが勧められています。ただし、Tivoli Access Manager の操作に SSL は必須ではありません。

この手順は、Sun ONE Directory Server と IBM Tivoli Directory Client の間に SSL

通信を最初にセットアップするときにだけ実行する必要があります。 SSL 通信を使用可能にするには、Sun ONE Directory Server と IBM Tivoli Directory Client の両方を構成する必要があります。

Sun ONE Directory Server で SSL アクセスを使用可能にする方法について詳しくは次の Web アドレスで Sun の資料を参照してください。


以下の節にある手順を実行してください。

v 274 ページの『サーバー証明書の取得』

v 276ページの『サーバー証明書のインストール』

v 277ページの『SSL アクセスの使用可能化』

サーバー証明書の取得SSL サポートを使用可能にするには、Sun ONE Directory Server はクライアント・システムに対して識別情報を示すために証明書が必要です。サーバーはクライアントに証明書を送って、クライアントがサーバーを認証できるようにします。この証明書は、Server-Cert と呼ばれます。




Server-Cert を設定するには、Sun ONE Console 5.1 および証明書セットアップ・ウィザード (Certificate Setup Wizard) を使用します。

1. Sun ONE Server Console 5.2 を開始します。

2. 「Sun ONE Server Console ログイン (Sun ONE Server Console Login)」ダイアログから、管理者ユーザー ID、パスワード、およびそのディレクトリー・サーバーの管理サーバーの URL を入力します。

3. Tivoli Access Manager によって使用されるドメインを選択します。

4. サーバー名を展開します。

5. 「サーバー・グループ (Server Group)」を展開します。

6. Directory Server というラベルの付いたエントリーを選択します。

Sun ONE Directory Server に関する構成情報が表示されます。

7. 「開く (Open)」をクリックします。 Sun ONE Directory Server にアクセスします。

8. 「構成 (Configuration)」タブをクリックします。

9. 「暗号化 (Encryption)」タブをクリックします。

10. 「このサーバーに SSL を使用可能にする (Enable SSL for this server)」チェック・ボックスにチェックが付いていないことを確認します。

11. 「タスク (Tasks)」タブをクリックしてから、「証明書の管理 (ManageCertificates)」をクリックします。

注: 証明書用の秘密鍵は、パスワードで保護されたトークンと呼ばれる内部セキュリティー・デバイス上に保存されています。「証明書の管理 (ManageCertificates)」ボタンを初めてクリックするとき、このトークン用にパスワードを作成するためのプロンプトが出されます。

12. セキュリティー・パスワードを 2 回入力してから、「OK」をクリックします。「証明書の管理 (Manage Certificates)」ウィンドウが表示されます。

13. 「セキュリティー・デバイス (Security Device)」プルダウンで、「内部 (ソフトウェア) (internal (software))」が選択されていることと、「サーバー証明書(Server Certs)」タブが選択されていることを確認します。

14. ウィンドウの下部にある「要求 (Request)」ボタンをクリックします。「証明書要求ウィザード (Certificate Request Wizard)」パネルが表示されます。

15. 「証明書を手動で要求する (Request certificate manually)」ボタンが選択されていることを確認して、「次へ」をクリックします。

16. 要求情報を入力してから、「次へ」をクリックします。すべてのフィールドが完成していることを確認してください。続行するかどうかを尋ねるプロンプトが出されたら、「はい (Yes)」をクリックします。

17. 「アクティブな暗号化トークン (Active Encryption token)」フィールドが「内部 (ソフトウェア) (internal (software))」になっていることを確認します。

18. セキュリティー・デバイスのパスワードを入力してから、「次へ」をクリックします。

19. 証明書要求をファイルに保存するには、「ファイルに保存 (Save to File)」をクリックします。要求をクリップボードにコピーするには、「クリップボード

SSL — Sun ONE Directory Server


にコピー (Copy to Clipboard)」をクリックします。その後、「完了(Done)」をクリックして要求を完了します。

20. 認証局管理者に、要求を E メールで送信するか、保管したファイルを要求に添付して送信します。

サーバー証明書のインストール認証局から証明書を受け取ったら、以下に示す手順を実行して証明書をインストールします。

1. Sun ONE Server Console 5.2 を開きます。

2. 「タスク (Tasks)」タブをクリックしてから、「証明書の管理 (ManageCertificates)」をクリックします。

3. 「サーバー証明書 (Server Certs)」が選択されていることを確認して、「インストール (Install)」をクリックします。


v 証明書をファイルからインストールするには、「ローカル・ファイルから (Inthis local file)」を選択します。

v ウィンドウ内にテキストを貼り付けるには、「以下のエンコードされたテキスト・ブロックから (In the following encoded text block)」を選択し、証明書のテキストをコピーしてから、「クリップボードから貼り付ける (Pastefrom Clipboard)」をクリックします。

5. 「次へ」をクリックします。

6. 証明書の情報が正しいことを検証してから、「次へ」をクリックします。

7. 「この証明書の名前 (This certificate will be named)」フィールドで、証明書の名前を入力するかデフォルト名 server-cert を受け入れてから、「次へ」をクリックします。

8. トークンのパスワードを入力してから、「完了 (Done)」をクリックします。プロセスが正常に終了した場合、「証明書の管理 (Manage Certificate)」パネルが表示されて、サーバー証明書の名前が「サーバー証明書 (Server Certs)」タブの下にリストされます。

9. 277ページの『SSL アクセスの使用可能化』に進んでください。



SSL アクセスの使用可能化「証明書セットアップ・ウィザード (Certificate Setup Wizard)」を終了すると、以下に示すように、「暗号化 (Encryption)」タブに戻ります。

1. 「このサーバーに SSL を使用可能にする (Enable SSL for this server)」を選択します。

2. 「暗号ファミリー RSA を使用する (Use the cipher family;RSA)」を選択します。

3. 証明書に基づくクライアント認証を必要としない場合は、「クライアント認証を使用可能にしない (Do not allow client authentication)」を選択します。

4. 「保存 (Save)」をクリックします。

5. Sun ONE Directory Server を再始動して、変更を有効にします。

注: サーバーを始動するごとに、トラスト・データベース・パスワードを入力する必要があります。

これで、SSL は Sun ONE Directory Server で有効となりました。次に、Sun

ONE Directory Server に対する LDAP クライアントとして機能する IBM Tivoli

Directory Client システムで、SSL を有効にする必要があります。

278 ページの『SSL アクセスのための IBM Tivoli Directory Client の構成』を参照してください。



SSL アクセスのための IBM Tivoli Directory Client の構成SSL アクセスのために LDAP クライアントをセットアップする前に、まず SSL アクセスのための LDAP サーバーをセットアップしなければなりません。ご使用のサーバーをまだ SSL アクセス用に構成していない場合、以下のいずれかの手順に従います。

v 260ページの『SSL アクセスのための IBM Tivoli Directory Server の構成』

v 274ページの『SSL アクセスのための Sun ONE Directory Server の構成』

v 270ページの『SSL アクセスのための Novell eDirectory サーバーの構成』

v 265ページの『SSL アクセスのための IBM z/OS および OS/390 セキュリティー・サーバーの構成』

サーバー用に鍵データベース・ファイルを作成したように、クライアント・システム上に鍵データベース・ファイルを作成しなければなりません。クライアントがLDAP サーバーを認証するためには、LDAP サーバーの証明書を作成した認証局(署名者) を識別できなければならないことに注意してください。 LDAP サーバーが自己署名証明書を使用しているなら、クライアントは、その LDAP サーバーの証明書を生成したシステムをトラステッド・ルート (認証局) として認識できなければなりません。

LDAP サーバーへの SSL アクセスを行うための LDAP クライアントを構成するには、以下の節の手順に従ってください。

v 278 ページの『鍵データベース・ファイルの作成』

v 279ページの『署名者証明書の追加』

v 280ページの『SSL アクセスのテスト』

鍵データベース・ファイルの作成鍵データベース・ファイルは、gsk7ikm ユーティリティーを使用して作成してください。鍵データベース・ファイルを作成するには、以下のステップに従います。

1. SSL を使用する LDAP サーバーと LDAP クライアントの両方に、GSKit および gsk7ikm ユーティリティーがインストールされていることを確認します。


システムパス




Solaris /opt/IBM/gsk7/bin/gsk7ikm


3. 新規の鍵データベース・ファイルを作成するには、「鍵データベース・ファイル (Key Database File)」→「新規 (New)」を選択します。

4. 選択された鍵データベース・タイプが「CMS 鍵データベース・ファイル (CMSkey database file)」であることを確認します。

SSL — IBM Tivoli Directory Client


5. 鍵データベース・ファイルの「ファイル名 (File Name)」と「位置(Location)」のフィールドに情報を入力します。鍵データベース・ファイルの拡張子は、.kdb です。


7. 鍵データベース・ファイルのパスワードを入力し、それを確認します。

このパスワードは、鍵データベース・ファイルを編集するときに必要ですので、覚えておいてください。




10. 「OK」をクリックします。これで、鍵データベース・ファイルの作成は完了です。デフォルトの署名者証明書が設定されています。これらの署名者証明書は、認識されているデフォルトの認証局です。

クライアントが LDAP サーバーを認証するためには、LDAP サーバーの証明書を作成した認証局 (署名者) を識別できなければなりません。LDAP サーバーが自己署名証明書を使用しているなら、クライアントは、その LDAP サーバーの証明書を生成したシステムをトラステッド・ルート (認証局) として認識できなければなりません。

11. 鍵データベース・ファイルの作成後に、鍵データベース・ファイルの所有権をivmgr に変更します。適切なオペレーティング・システム・コマンドを使用して、ファイルの所有権を変更してください。たとえば、UNIX システムでは以下のように入力します。

# chown ivmgr keyfile

署名者証明書の追加鍵データベース・ファイルを作成した後に署名者証明書を追加するには、以下のステップを実行します。

1. LDAP サーバーに自己署名証明書を使用している場合、鍵データベース・ファイルから抽出した証明書 ( 262ページの『自己署名証明書の作成と抽出』を参照) がクライアント・システムにコピーされていることを確認します。コピーされていない場合は、ここでそれをコピーします。その他の場合、LDAP サーバーの証明書を作成した認証局の証明書があることを確認します。

2. クライアントの CMS 鍵データベース・ファイルの「署名者証明書 (SignerCertificates)」セクションをクリックします。

3. 「追加 (Add)」をクリックします。

4. データ・タイプとして「Base64 コード化 ASCII データ (Base64-encodedASCII data)」を受け入れます。

5. 証明書のファイル名とその場所を指定します。証明書ファイルの拡張子は、通常 .arm です。




7. 追加しようとしている署名者証明書のラベルを入力します。ラベルには、たとえば、LDAP サーバーのシステム名を用いることができます。 LDAP サーバーの証明書が認証局によって作成された場合、その認証局の名前をラベルとして使用できます。

8. 「OK」をクリックします。証明書がクライアントの鍵データベースに署名者証明書として表示されます。

9. 新しく追加された署名者証明者を強調表示し、「表示/編集 (View/Edit)」をクリックします。

10. 「証明書をトラステッド・ルートとして設定 (Set the certificate as atrusted root)」が選択されていて、そのためにこれがトラステッド・ルートとしてマークされていることを確認します。

LDAP サーバーの証明書が正規の認証局によって生成されている場合は、その認証局が署名者証明書としてリストされ、トラステッド・ルートとしてマークされていることを確認してください。そうでなければ、その認証局の証明書を署名者証明書として追加し、それがトラステッド・ルートであることを明らかにしてください。

これで、クライアントは LDAP サーバーとの SSL セッションを確立することができます。

SSL アクセスのテストSSL アクセスが使用可能にされたかどうかをテストするには、LDAP クライアントから以下のコマンドを入力します。

ldapsearch -h servername -Z -K client_keyfile -P keyfile_pwd-b "" -s base objectclass=*


変数説明

servername LDAP サーバーの DNS ホスト名を指定します。

client_keyfile 生成されたクライアント鍵ファイルの完全修飾パス名を指定します。

keyfile_pwd 生成された鍵ファイルのパスワードを指定します。

このコマンドは、LDAP サーバーのサフィックスを含む LDAP 基本情報を戻します。

LDAP サーバー構成 ( 260ページの『SSL アクセスのための IBM Tivoli Directory

Server の構成』を参照) の際は、サーバー認証かサーバーおよびクライアント認証のいずれかの認証メソッドを選択しました。

v サーバー認証を選択した場合は、SSL セットアップはこれで完了です。

v サーバーおよびクライアント認証を選択した場合は、 281ページの『LDAP サーバーおよびクライアント認証の構成』に進んでください。



LDAP サーバーおよびクライアント認証の構成SSL アクセスを使用可能にするための LDAP サーバーの構成 ( 263ページの『SSL

アクセスの使用可能化』を参照) では、サーバー認証かサーバーおよびクライアント認証のいずれかを選択することを促すプロンプトが出されました。

サーバー認証を選択した場合は、SSL 構成は完了です。

サーバーおよびクライアント認証を選択した場合は、ここでクライアント・システムの証明書を作成する必要があります。この認証モードでは、サーバーがクライアントの証明書を要求し、それを使用してクライアントの ID を認証します。

クライアント・システムの証明書を作成するには、以下の節の手順に従ってください。

v 281 ページの『鍵データベース・ファイルの作成』

v 282ページの『認証局からの個人証明書の取得』

v 283ページの『自己署名証明書の作成と抽出』

v 284ページの『署名者証明書の追加』

v 285ページの『SSL アクセスのテスト』

鍵データベース・ファイルの作成クライアントの鍵データベース・ファイルをまだ作成していない場合、gsk7ikm ユーティリティーを使用して鍵データベース・ファイルと証明書を作成してください。鍵データベース・ファイルをすでに作成している場合、 282ページの『認証局からの個人証明書の取得』に進んでください。

鍵データベース・ファイルと証明書 (自己署名付きまたは署名付き) を作成するには、以下のステップを実行します。

1. SSL を使用することになる LDAP サーバーとクライアントの両方に、GSKit

および gsk7ikm がインストールされていることを確認します。


システムパス






3. 「鍵データベース・ファイル (Key Database File)」→ 「新規 (New)」を選択します。

4. 選択された鍵データベース・タイプが「CMS 鍵データベース・ファイル (CMSkey database file)」であることを確認します。

5. 鍵データベース・ファイルの「ファイル名 (File Name)」と「位置(Location)」のフィールドに情報を入力します。鍵データベース・ファイルの拡張子は、.kdb です。

SSL — サーバーおよびクライアント認証



7. 鍵データベース・ファイルのパスワードを入力し、それを確認します。このパスワードは、鍵データベース・ファイルを編集するときに必要ですので、覚えておいてください。





これで、鍵データベース・ファイルの作成は完了です。デフォルトの署名者証明書が設定されています。これらの署名者証明書は、認識されているデフォルトの認証局です。

11. 鍵データベース・ファイルの作成後に、鍵データベース・ファイルの所有権をivmgr に変更します。適切なオペレーティング・システム・コマンドを使用して、ファイルの所有権を変更してください。たとえば、UNIX システムでは以下のように入力します。

# chown ivmgr keyfile

認証局からの個人証明書の取得認証局 (VeriSign など) からの証明書を使用することを計画している場合は、自己署名証明書の代わりに、認証局からの証明書を要求し、完成してからそれを受け取る必要があります。

自己署名証明書を使用することを計画している場合は、この節は読まずに、 283ページの『自己署名証明書の作成と抽出』に進んでください。

証明書を要求して受け取るには、以下のステップを実行します。

1. 認証局からの証明書を要求し、新しい証明書を鍵データベース・ファイル内に受信するには、gsk7ikm を使用します。

2. 鍵データベース・ファイルの「個人の認証要求 (Personal CertificateRequests)」セクションをクリックします。

3. 「新規 (New)」をクリックします。

4. 認証局に送信可能な要求を作成するには、情報を完成させてから「OK」をクリックします。

5. 認証局から証明書が返送されてきた後で、それを鍵データベース・ファイルにインストールするには、「個人の証明書 (Personal Certificates)」セクションをクリックしてから「受取 (Receive)」をクリックします。

6. 鍵データベース・ファイル内に LDAP クライアントの証明書をインストールしたら、 LDAP サーバーに対するクライアントの証明書を作成した認証局の証明書を追加することができます。

7. 284ページの『署名者証明書の追加』に進んでください。



自己署名証明書の作成と抽出既知の認証局から証明書を取得している ( 282ページの『認証局からの個人証明書の取得』を参照) 場合は、この節は読まずに、 284ページの『署名者証明書の追加』に進んでください。

新しい自己署名証明書を作成して、それを鍵データベース・ファイルに保管するには、以下のステップを実行します。


システムパス






2. 「作成 (Create)」→ 「新規自己署名証明書 (New Self-Signed Certificate)」を選択します。

3. 「鍵ラベル (Key Label)」フィールドに、GSKit が鍵データベース内でこの新しい証明書を識別するために使用できる名前を入力します。

このラベルは、たとえば、LDAP クライアントのシステム名にすることができます。

4. 「バージョン (Version)」フィールド (デフォルトは X509 V3) と「鍵サイズ(Key Size)」フィールドのデフォルトを受け入れます。

5. 「共通名 (Common Name)」フィールドで、この認証に対するデフォルトのシステム名を受け入れるか、別の識別名を入力します。

6. 「組織 (Organization)」フィールドに会社名を入力します。

7. 任意のオプショナル・フィールドを入力するか、ブランクのままにしておきます。

8. 「国 (Country)」フィールドのデフォルトと、「妥当性期間 (ValidityPeriod)」フィールドの 365 を受け入れるか、組織の必要に応じてこれらを変更します。

9. 「OK」をクリックします。 GSKit が新しい公開鍵と秘密鍵のペアを生成し、証明書を作成します。

鍵データベース・ファイル内に 2 つ以上の個人証明書がある場合は、GSKit

が、この鍵をデータベース内のデフォルトの鍵にするかどうか尋ねます。そのうちのいずれかをデフォルトとして受け入れることができます。デフォルトの証明書は、どの証明書を使用するかを選択するためのラベルが提供されない場合に実行時に使用されます。

これで、LDAP クライアントの個人証明書の作成は完了です。これは、鍵データベース・ファイルの「個人の証明書 (Personal Certificates)」セクションに表示されます。鍵管理ユーティリティーの中央のバーを使用して、鍵データベース・ファイル内に保管されている証明書のタイプを選択してください。



証明書は、鍵データベース・ファイルの「署名者証明書 (Signer Certificates)」セクションにも表示されます。鍵データベースの「署名者の証明書 (Signer

Certificates)」セクションに、新しい証明書があることを確認してください。

次に、LDAP サーバーの証明書を Base64-encoded ASCII データ・ファイルに抽出する必要があります。

10. LDAP サーバーの証明書を Base64-encoded ASCII データ・ファイルに抽出するには、gsk7ikm を使用します。

11. 作成した自己署名証明書を強調表示します。

12. 「証明書の抽出 (Extract Certificate)」をクリックします。

13. データ・タイプとして「Base64 コード化 ASCII データ (Base64-encodedASCII data)」をクリックします。

14. 新しく抽出された証明書の証明書ファイル名を入力します。証明書ファイルの拡張子は、通常 .arm です。

15. 抽出された証明書を保管する場所を入力してから、「OK」をクリックします。

16. 抽出されたこの証明書を LDAP サーバー・システムにコピーします。

LDAP サーバーでは、クライアントの個人証明書が作成されてクライアントの鍵データベース・ファイルに追加された後で、そのクライアント証明書を作成した認証局が署名者証明書 (トラステッド・ルート) として認識されなければなりません。

署名者証明書の追加LDAP サーバー上で以下のステップを実行してください。

鍵データベース・ファイルを作成した後に署名者証明書を追加するには、以下のステップを実行します。


v クライアントに自己署名証明書を使用している場合、鍵データベース・ファイルから抽出した証明書 ( 283ページの『自己署名証明書の作成と抽出』を参照) がサーバー・システムにコピーされていることを確認します。コピーされていない場合は、ここでそれをコピーして以下のステップを省略します。

v クライアントの証明書が認証局によって作成された場合、以下のステップを使用して、その認証局の証明書をトラステッド署名者として追加します。

2. クライアントの CMS 鍵データベース・ファイルの「署名者証明書 (SignerCertificates)」セクションをクリックします。

3. 「追加 (Add)」をクリックします。

4. 「Base64 コード化 ASCII データ (Base64-encoded ASCII data)」をクリックしてデータ・タイプを設定します。

5. 証明書のファイル名とその場所を指定します。証明書ファイルの拡張子は、通常 .arm です。


7. 追加しようとしている署名者証明書のラベルを入力します。ラベルには、たとえば、LDAP クライアントのシステム名や、クライアントの証明書を生成した認証局の名前を用いることができます。



8. 「OK」をクリックします。自己署名証明書がクライアントの鍵データベースに署名者証明書として表示されます。

9. 新しく追加された署名者証明者を強調表示し、「表示/編集 (View/Edit)」をクリックします。

10. 「証明書をトラステッド・ルートとして設定 (Set the certificate as a trustroot)」が選択されていて、そのためにこれがトラステッド・ルートとしてマークされていることを確認します。

LDAP クライアントの証明書が正規の認証局によって生成されている場合は、その認証局が署名者証明書としてリストされ、トラステッド・ルートとしてマークされていることを確認してください。そうでなければ、その認証局の証明書を署名者証明書として追加し、それがトラステッド・ルートであることを明らかにしてください。

これで、サーバーは LDAP クライアントとの SSL セッションを確立することができます。

11. 『SSL アクセスのテスト』に進んでください。

SSL アクセスのテストLDAP サーバーが、クライアントの個人証明書を作成した認証局を認識したら、LDAP クライアント上で以下のコマンドを使用して SSL アクセスをテストしてください。

ldapsearch -h servername -Z -K client_keyfile -P key_pw -N ¥client_label -b "" -s base objectclass=*


変数説明

servername LDAP サーバーの DNS ホスト名。

client_keyfile 生成されたクライアント鍵格納ファイルの完全修飾パス名

key_pw 生成された鍵格納ファイルのパスワード。

client_label あれば、鍵と関連したラベル。このフィールドはオプションで、LDAP サーバーがサーバーとクライアントの両方の認証を実行するよう構成されている場合にのみ必要です。

ldapsearch コマンドは、LDAP サーバーのサフィックスを含む LDAP 基本情報を返します。 -N パラメーターは、クライアントの個人証明書がクライアントの鍵データベース・ファイルに追加されたときに指定されたラベルを示している点に注意してください。

注: LDAP サーバーの署名者証明書のラベルを指定しないようにしてください。 -Nオプションは、要求時にどのクライアント証明書をサーバーに送信するかをGSKit に指示します。ラベルが指定されないと、サーバーがクライアントの証明書を要求するときは、デフォルトの個人証明書が送信されます。

SSL セットアップはこれで完了です。




第 18 章 AIX: スタンバイ policy server のセットアップ

スタンバイ・サーバーを構成して、システム障害または計画外の停止が発生したときに、 policy server の機能を引き継がせることができます。Policy server が停止すると、1 次 policy server が本来の役割を果たせるようになるまで、スタンバイpolicy server が 1 次 policy server として稼働します。 1 次 policy server が復帰すると、スタンバイ policy server はスタンバイの役割に戻ります。常に、唯一のアクティブな policy server とポリシー・データベースの唯一の共有コピーがあります。

Tivoli Access Manager では、サポートされる AIX プラットフォームでスタンバイpolicy server を使用できます。さらに、スタンバイ policy server をデプロイするには、HACMP (High Availability Cluster Multiprocessing) ソフトウェアをインストールして構成する必要があります。 HACMP は、ビジネス上重要なデータやアプリケーションへの高可用性アクセスを、予備のコンポーネントおよびアプリケーション・フェイルオーバーによって提供するクラスタリング・ソリューションです。


v 289ページの『プリインストール要件』

v 290ページの『HACMP 環境のシナリオ』

v 300ページの『スタンバイ policy server 環境の作成』

HACMP のシナリオは、スタンバイ policy server 機能用に HACMP 環境をインストールして構成する方法を示すための、一般的なガイドとして提供されています。HACMP 環境をセットアップした後は、製品固有の説明に従って、Tivoli Access

Manager のセキュア・ドメイン内にスタンバイ policy server を作成してください。スクリプトと例は、ユーザーの便宜のために提供されています。

クラスタリングおよび HACMP について詳しくは、次の Web サイトを参照してください。

http://www.ibm.com/servers/eserver/clusters/software/

http://www.ibm.com/servers/aix/products/ibmsw/ high_avail_network/hacmp.html


http://www.ibm.com/servers/eserver/clusters/software/

http://www.ibm.com/servers/aix/products/ibmsw/ high_avail_network/hacmp.html

ルール

v 作成できるのは、主 policy server が 1 つと、スタンバイ policy server が1 つです。

v 主 policy server もスタンバイ policy server も、High Availability Cluster

Multiprocessing (HACMP) 環境に含まれる AIX システム上に存在しなければなりません。

v 各 AIX システムは、データ冗長用に構成された共用ディスク・アレイにアクセスできなければなりません。

v Policy server が使用するポリシー・データベースと構成ファイルは、共用ディスク・アレイに存在していなければなりません。

v IBM Tivoli Directory Server 5.2 などのレジストリー・サーバーが使用可能でなければならず、また別のシステムにインストールされていなければなりません。

AIX: スタンバイ policy server のセットアップ


プリインストール要件主/スタンバイ policy server 環境をセットアップする前に、以下の条件が満たされていることを確認してください。

v 2 つのマシン (主とスタンバイ) が同じ保守レベルであり、同等のハードウェア/

ソフトウェア機能を備えていることを確認します。サポートされる保守レベルは次のとおりです。

– AIX 5.1 の場合は、保守レベル 3 以上

– AIX 5.2 の場合は、保守レベル 1 以上

v 主とスタンバイの両方の policy server において、HACMP 4.5 以上がインストールされ、構成され、稼働していることを確認します。

v 共用ファイル・システムがマウントされていることを確認します。たとえば、SSA ベースの 7133 Model T40 ストレージ・エンクロージャーのような、SSA

ベースの外部ストレージ・タワーを両方のシステムに接続できます。

基本的な HACMP 環境のセットアップに関する一般的な説明については、290 ページを参照してください。


第 18 章 AIX: スタンバイ policy server のセットアップ 289

HACMP 環境のシナリオこのシナリオは、スタンバイ policy server 機能用に HACMP 環境をインストールして構成する方法の、ほんの一例です。この例では、スタンバイ policy server 機能対応の他の HACMP 環境と同じように、主システムのサービス IP アドレスの IP

アドレス・テークオーバー、および外部ファイル・システムに対する共用アクセスに対応するように、HACMP 環境を構成する必要があります。

このような環境を構成およびセットアップする方法について詳しくは、本製品に付属する HACMP の資料を参照してください。HACMP のサービスに関して問題がある場合は、これらの製品の IBM サポート部門にご連絡ください。

このシナリオでは、2 つの AIX システムのそれぞれに policy server をセットアップする方法を説明します。このシナリオ全体を通して使用されるホスト・システムは、次のとおりです。

v tucana は、サービス IP アドレスが 192.168.2.13、ブート IP アドレスが192.168.2.79、そしてサービス IP アドレスおよびブート IP アドレスとは異なるサブネットに存在する必要があるスタンバイ IP アドレスが 192.168.3.2 です。これらの IP アドレスが機能するには、tucana 上でイーサネット・アダプターのようなネットワーク・アダプターが 2 つ使用できる必要があります。HACMP 環境では、HACMP ノード上で HACMP クラスターが開始した後で、サービス IP アドレスが活動化され、ブート IP アドレスが非活動化されるので、必要なネットワーク・アダプターは 2 つだけです。

v perseus は、サービス IP アドレスが 192.168.2.14、ブート IP アドレスが192.168.2.80、そしてサービス IP アドレスおよびブート IP アドレスとは異なるサブネットに存在する必要があるスタンバイ IP アドレスが 192.168.3.3 です。これらの IP アドレスが機能するには、perseus 上でイーサネット・アダプターのようなネットワーク・アダプターが 2 つ使用できる必要があります。

注: 各 AIX システム上のサービス IP アドレスとブート IP アドレスは、同じネットワーク・アダプターを使用します。各 AIX システム上のスタンバイ IP アドレスは、2 番目のネットワーク・アダプターを使用します。

主 policy server は、主 AIX システムにインストールして構成します。このシナリオにおける主ホスト・システムは tucana です。

スタンバイ policy server は、他の残りの AIX システムにインストールされて構成されます。このシナリオでの他のホスト・システムは perseus です。



ハードウェア要件このシナリオでは、以下のようなハードウェアを使用します。構成によりハードウェア要件は異なります。

v 2 つの AIX システムのハードウェアは以下のとおりです。

– 2 つのイーサネット・カードまたはトークンリング・カードがネットワークに接続され、構成されています。

– 2 つの AIX システムのシリアル・ポート同士が、シリアル・ケーブルで接続されています。

注: 各 AIX システムは、他の AIX システムの IP アドレスに対してping が通らなければなりません。

– SSA アダプター・カードが装着されています。

v SSA ベースのディスク・アレイ。IBM 7133 Model T40 ストレージ・タワーや、IBM 7133 D40 ラック・マウント・エンクロージャーなど。

v 3 本の SSA 接続ケーブル。2 本はディスク・アレイに接続され (AIX システムごとに 1 本ずつ)、残りの 1 本は 2 つの AIX システムを接続しています。

v 両方の AIX システムに対する、IBM AIX 5.1 Service Pack 3 (推奨されるバージョンとサービス・パック) のインストール CD。他のバージョンを使用する場合は、バージョンとサービス・パック・レベルが、両方のマシンで一致していなければなりません。

AIX 上に HACMP の基本環境をセットアップするには、以下のシナリオを使用します。

1. AIX のインストール CD を使用して、AIX 5.1 オペレーティング・システムをインストールします。これには、すべての基本 rsct パッケージと、Service

Pack 3 が含まれます。オペレーティング・システムのレベルを確認するには、次のように入力します。

oslevel -r

Service Pack 3 がインストールされている場合は、5100-03 と表示されます。

2. 別途購入した HACMP Version 4.5 ES/CRM ソフトウェア、および必要なすべての AIX 基本オペレーティング・システム前提条件ソフトウェアをインストールします。

3. 以下の手順で、ファイル情報を更新します。

a. 両方の AIX システムの /etc/hosts ファイルで、すべてのネットワーク・カード接続に対するホスト名と IP アドレスを入力します。たとえば、2 つのシステム間に 4 つの接続ネットワーク・カードがある場合は、以下の例に示すような行が /etc/hosts ファイルに含まれていなければなりません。

# @(#)47 1.1 src/bos/usr/sbin/netstart/hosts, cmdnet, bos510 7/24/91 10:46## COMPONENT_NAME: TCPIP hosts## FUNCTIONS: loopback#



# ORIGINS: 26 27## (C) COPYRIGHT International Business Machines Corp. 1985, 1989# All Rights Reserved# Licensed Materials - Property of IBM## US Government Users Restricted Rights - Use, duplication or# disclosure restricted by GSA ADP Schedule Contract with IBM Corp.## /etc/hosts## This file contains the hostnames and their address for hosts in the# network. This file is used to resolve a hostname into an Internet# address.## At minimum, this file must contain the name and address for each# device defined for TCP in your /etc/net file. It may also contain# entries for well-known (reserved) names such as timeserver# and printserver as well as any other host name and address.## The format of this file is:# Internet Address Hostname # Comments# Items are separated by any number of blanks and/or tabs. A ’#’# indicates the beginning of a comment; characters up to the end of the# line are not interpreted by routines which search this file. Blank# lines are allowed.

# Internet Address Hostname # Comments# 192.9.200.1 net0sample # ethernet name/address# 128.100.0.1 token0sample # token ring name/address# 10.2.0.2 x25sample # x.25 name/address127.0.0.1 loopback localhost # loopback (lo0) name/address192.168.2.13 tucana192.168.2.79 tucana-boot192.168.3.2 tucana-stby192.168.2.14 perseus192.168.2.80 perseus-boot192.168.3.3 perseus-stby

b. 正しいホスト名が含まれるように /.rhosts ファイルを編集します。次に例を示します。

perseusperseus-bootperseus-stbytucanatucana-boottucana-stby

c. 正しい許可を設定するには、次のコマンドを実行します。

chmod 600 /.rhosts

d. /etc/rc.net ファイルを編集して、次の行を追加します。

no -o thewall=10240no -o routerevalidate=1no -o ipqmaxlen=512

4. HACMP クラスターを構成します。詳しくは、HACMP ソフトウェアの資料を参照してください。また、 293ページの『HACMP の構成の例』も参考にしてください。



HACMP の構成の例この節では、Tivoli Access Manager に対する HACMP の標準的な構成の例について説明します。この例では、実際のテスト・ケースの実行中にキャプチャーしたSMITTY メニュー・パネルを示してあります。この例の各パートの内容は以下のとおりです。

v 294ページの『パート 1: HACMP の全体的なクラスター・トポロジー』

ノードの名前、ネットワーク定義、その他の関連情報など、HACMP 環境の全体的なクラスター・トポロジーについて説明します。

v 295ページの『パート 2: HACMP トポロジー内のクラスター・リソース』

リソース・グループや共用ファイル・システムなど、HACMP クラスター・トポロジー内にあるクラスター・リソースについて説明します。

v 300ページの『パート 3: HACMP トポロジー内のアプリケーション・サーバーの定義』

HACMP クラスター・トポロジー内にあるアプリケーション・サーバーの定義(この例では policy server) について説明します。

図 1は、外部ストレージ・エンクロージャーを共有する 2 つのシステム (または 2

つのノード ) の構成を示したものです。

主 (tucana) とスタンバイ (perseus) の policy server は、SSA ベースの外部ストレージ・エンクロージャーを共用しています。ネットワークやハードウェアの障害などのフェイルオーバー・イベントのために主 policy server がダウンすると、スタンバイ・システム上の HACMP ソフトウェアがそのイベントを認識して、主 policy

server のサービス IP アドレスを引き継ぎます。また、HACMP ソフトウェアは、スタンバイ・システムの共用ファイル・システムをマウントし、スタンバイ policy

server を開始します。主システムが復元したことをスタンバイ・システムのHACMP ソフトウェアが認識するまで、スタンバイ policy server は作動可能状態を続けます。主システムが復元した時点で、主システムの HACMP ソフトウェアは、以下の処理を行います。

1. 主システムに関連付けられているサービス IP アドレスの制御を再開します

図 1. スタンバイ policy server の構成



2. 共用ファイル・システムをマウントします

3. 主 policy server を開始します

注: 主システムの HACMP ソフトウェアがこれらの処理を行っている間に、スタンバイ・システムの HACMP ソフトウェアは、スタンバイ policy server を停止し、共用ファイル・システムをアンマウントし、主 policy server のサービス IP

アドレスの制御を解放します。

以下の例は、主とスタンバイの policy server を含む HACMP 環境を示しています。各 SMITTY 画面キャプチャーの前にメニューの階層が示してあるので、その階層を進んで画面を表示してください。

パート 1: HACMP の全体的なクラスター・トポロジーSMITTY MENU Hierarchy:

HACMP for AIX- Cluster Configuration- Cluster Topology- Show Cluster Topology- Show Cluster Topology

COMMAND STATUS

Command: OK stdout: yes stderr: no

Before command completion, additional instructions may appear below.

[TOP]Cluster Description of Cluster am51bosCluster ID: 1There were 2 networks defined: tucanaip, tucanatty1There are 2 nodes in this cluster

NODE perseus:This node has 2 service interface(s):

Service Interface perseus:IP address: 192.168.2.14Hardware Address:Network: tucanaipAttribute: public

Service Interface perseus has a possible boot configuration:Boot (Alternate Service) Interface: perseus-boot

IP Address: 192.168.2.80Network: tucanaipAttribute: public

Service Interface perseus has 1 standby interfacesStandby Interface 1: perseus-stby


Service Interface perseus-tty1:IP address: /dev/tty1Hardware Address:Network: tucanatty1Attribute: serial



Service Interface perseus-tty1 has no standby interfaces

NODE tucana:This node has 2 service interface(s):

Service Interface tucana:IP address: 192.168.2.13Hardware Address:Network: tucanaipAttribute: public

Service Interface tucana has a possible boot configuration:Boot (Alternate Service) Interface: tucana-boot


Service Interface tucana has 1 standby interfacesStandby Interface 1: tucana-stby


Service Interface tucana-tty1:IP address: /dev/tty1Hardware Address:Network: tucanatty1Attribute: serial

Service Interface tucana-tty1 has no standby interfaces

Breakdown of network connections:

Connections to network tucanaipNode perseus is connected to network tucanaip by these interfaces:

perseus-bootperseusperseus-stby

Node tucana is connected to network tucanaip by these interfaces:tucana-boottucanatucana-stby

Connections to network tucanatty1Node perseus is connected to network tucanatty1 by these interfaces:

perseus-tty1

Node tucana is connected to network tucanatty1 by these interfaces:tucana-tty1

[BOTTOM]

パート 2: HACMP トポロジー内のクラスター・リソースSMITTY MENU Hierarchy:



HACMP for AIX- Cluster Configuration- Cluster Resources- Show Cluster Resources- Show Resource Information by Node- Select Node Name- perseus

COMMAND STATUS



[TOP]

Resource Group Name tucanasipNode Relationship cascadingParticipating Node Name(s) tucana perseusService IP Label tucanaFilesystems /am510fs1Filesystems Consistency Check fsckFilesystems Recovery Method sequentialFilesystems/Directories to be exported /am510fs1Filesystems to be NFS mountedNetwork For NFS MountVolume Groups am510vgConcurrent Volume GroupsDisksShared Tape ResourcesAIX Connections ServicesAIX Fast Connect ServicesApplication Servers PDMGRHighly Available Communication LinksMiscellaneous DataAutomatically Import Volume Groups falseInactive Takeover falseCascading Without Fallback false9333 Disk Fencing falseSSA Disk Fencing falseFilesystems mounted before IP configured false

Resource Group Name perseusipNode Relationship cascadingParticipating Node Name(s) perseus tucanaService IP Label perseusFilesystemsFilesystems Consistency Check fsckFilesystems Recovery Method sequentialFilesystems/Directories to be exportedFilesystems to be NFS mountedNetwork For NFS MountVolume GroupsConcurrent Volume GroupsDisksShared Tape ResourcesAIX Connections ServicesAIX Fast Connect ServicesApplication ServersHighly Available Communication LinksMiscellaneous DataAutomatically Import Volume Groups falseInactive Takeover falseCascading Without Fallback false9333 Disk Fencing false



SSA Disk Fencing falseFilesystems mounted before IP configured false

Run Time Parameters:

Node Name perseusDebug Level highHost uses NIS or Name Server false

[BOTTOM]

SMITTY MENU Hierarchy:

HACMP for AIX- Cluster Configuration- Cluster Resources- Show Cluster Resources- Show Resource Information by Node- Select Node Name- tucana

COMMAND STATUS



[TOP]

Resource Group Name tucanasipNode Relationship cascadingParticipating Node Name(s) tucana perseusService IP Label tucanaFilesystems /am510fs1Filesystems Consistency Check fsckFilesystems Recovery Method sequentialFilesystems/Directories to be exported /am510fs1Filesystems to be NFS mountedNetwork For NFS MountVolume Groups am510vgConcurrent Volume GroupsDisksShared Tape ResourcesAIX Connections ServicesAIX Fast Connect ServicesApplication Servers PDMGRHighly Available Communication LinksMiscellaneous DataAutomatically Import Volume Groups falseInactive Takeover falseCascading Without Fallback false9333 Disk Fencing falseSSA Disk Fencing falseFilesystems mounted before IP configured false

Resource Group Name perseusipNode Relationship cascadingParticipating Node Name(s) perseus tucanaService IP Label perseusFilesystems



Filesystems Consistency Check fsckFilesystems Recovery Method sequentialFilesystems/Directories to be exportedFilesystems to be NFS mountedNetwork For NFS MountVolume GroupsConcurrent Volume GroupsDisksShared Tape ResourcesAIX Connections ServicesAIX Fast Connect ServicesApplication ServersHighly Available Communication LinksMiscellaneous DataAutomatically Import Volume Groups falseInactive Takeover falseCascading Without Fallback false9333 Disk Fencing falseSSA Disk Fencing falseFilesystems mounted before IP configured false


Node Name tucanaDebug Level highHost uses NIS or Name Server false

[BOTTOM]


HACMP for AIX- Cluster Configuration- Cluster Resources- Show Cluster Resources- Show Resource Information by Resource Group

- Select Resouce Group Name- perseusip

COMMAND STATUS



Resource Group Name perseusipNode Relationship cascadingParticipating Node Name(s) perseus tucanaService IP Label perseusFilesystemsFilesystems Consistency Check fsckFilesystems Recovery Method sequentialFilesystems/Directories to be exportedFilesystems to be NFS mountedNetwork For NFS MountVolume GroupsConcurrent Volume GroupsDisksShared Tape Resources



AIX Connections ServicesAIX Fast Connect ServicesApplication ServersHighly Available Communication LinksMiscellaneous DataAutomatically Import Volume Groups falseInactive Takeover falseCascading Without Fallback false9333 Disk Fencing falseSSA Disk Fencing falseFilesystems mounted before IP configured false





HACMP for AIX- Cluster Configuration- Cluster Resources- Show Cluster Resources- Show Resource Information by Resource Group- Select Resouce Group Name- tucanasip

COMMAND STATUS



Resource Group Name tucanasipNode Relationship cascadingParticipating Node Name(s) tucana perseusService IP Label tucanaFilesystems /am510fs1Filesystems Consistency Check fsckFilesystems Recovery Method sequentialFilesystems/Directories to be exported /am510fs1Filesystems to be NFS mountedNetwork For NFS MountVolume Groups am510vgConcurrent Volume GroupsDisksShared Tape ResourcesAIX Connections ServicesAIX Fast Connect ServicesApplication Servers PDMGRHighly Available Communication LinksMiscellaneous DataAutomatically Import Volume Groups falseInactive Takeover falseCascading Without Fallback false



9333 Disk Fencing falseSSA Disk Fencing falseFilesystems mounted before IP configured false




パート 3: HACMP トポロジー内のアプリケーション・サーバーの定義SMITTY MENU Hierarchy:

HACMP for AIX- Cluster Configuration- Cluster Resources- Define Application Servers- Change / Show an Application Server

Change Application Server

Type or select values in entry fields.Press Enter AFTER making all desired changes.

[Entry Fields]Server Name PDMGRNew Server Name [PDMGR]Start Script [/usr/bin/pd_start start]Stop Script [/usr/bin/pd_start stop]

スタンバイ policy server 環境の作成スタンバイ policy server 環境を作成するには、以下のステップを実行します。

1. 主 policy server とスタンバイ policy server の両方に、 ivmgr ユーザーID、ivmgr グループ ID、 tivoli ユーザー ID、および tivoli グループ ID を作成します。

これらの ID を作成する前に、各システムの /etc/security/limits ファイルが同じデフォルト設定であることを確認します (ユーザー ID とグループ ID の作成が関係する箇所)。ユーザー ID とグループ ID が、両方のシステムにおいてまったく同じ特性で作成されるようにするために、必ずこれを確認してください。これらの ID を作成するには、次のいずれかを行います。

v SMITTY ユーティリティーを使用して、両方の AIX システムが各 ID に対して同じ番号を使用するようにします。たとえば、ivmgr ユーザー ID は、どちらのシステムでも同じ ID 番号でなければなりません。さらに、4 つの ID

の ID 番号は、それぞれ異なる番号でなければなりません。



v 305ページの『スクリプト: 主システムとスタンバイ・システムの両方に対する UID の設定』で示されているサンプルと同様のスクリプトを作成します。このスクリプトを実行して、ivmgr と tivoli のユーザーとグループに UID

を設定します。たとえば、このスクリプトの名前が setivug であるとすると、次のコマンドを実行すれば、ivmgr グループの ID は 250 に、ivmgr ユーザーの ID は 251 に、tivoli グループの ID は 260 に、tivoli ユーザーのID は 261 に、それぞれ設定されます。

./setivug 250 251 260 261

注: ユーザーとグループを作成する前に、4 つの UID の値がどちらのシステムでも使用されていないことを確認してください。

2. 2 つのシステムに HACMP クラスターを構成して開始した後、これらのシステムにマウント可能な共用ファイル・システムに、/share のようなディレクトリーを作成します。たとえば、外部にある共用の SSA ベースのストレージ・タワーに、/share ディレクトリーを作成します。これを行うには、以下のステップに従います。

a. 主 policy server として機能するシステムを使用して、共用ファイル・システムに /share ディレクトリーを作成します。外部にある SSA ベースのストレージ・タワーに配置したこの共用ディレクトリーには、主とスタンバイのpolicy server の間で共用する必要のある重要な情報が格納されます。

b. /share に PolicyDirector という名前のサブディレクトリーを作成します(/share/PolicyDirector)。また、ivmgr が所有者であり、ivmgr が両方のディレクトリーと関連付けられたグループであることを確認します。

c. SMITTY の HACMP メニューを使用して、IP 引き継ぎのシナリオをシミュレートします。そのためには、「引き継ぎを伴う安全 (graceful withtakeover)」シャットダウン・モードを使用して、主 policy server マシンでクラスター・サービスを停止します。

主 policy server でクラスターのシャットダウンが完了すると、スタンバイpolicy server が主 policy server のサービス IP アドレスを引き継ぎ、共用ファイル・システムの /share ディレクトリーと /share/PolicyDirector ディレクトリーにアクセスできるようになります。

d. スタンバイ policy server システムから ls -l コマンドを実行して、どちらのディレクトリーも ivmgr ユーザーおよび ivmgr グループと関連付けられていることを確認します。

e. 主 policy server でクラスターを再始動します。再始動が完了すると、サービス IP アドレスは主 policy server システムに復元され、共用ファイル・システムは主 policy server システムにマウントされます。

3. 主 policy server で、以下を行います。

a. install_ammgr ウィザードまたはネイティブなインストール方法を使用して、必要な Tivoli Access Manager コンポーネントをインストールして構成します。手順については、 97ページの『第 5 章 Policy Server のセットアップ』を参照してください。

302ページの図 2 は、主 policy server をインストールして構成した後の、鍵ファイルのロケーションを示したものです。



b. 主 policy server を停止します。

c. /opt/PolicyDirector/ivmgrd.conf ファイルを以下のように編集します。

1) [ssl] スタンザ内で、ssl-io-inactivity-timeout エントリーの値を 300に変更します。

2) [configuration-database] スタンザ内の file= エントリーを、共用外部ファイル・システム内の ivmgrd.conf.obf ファイルの完全修飾ロケーションを示すように更新します。例:

file=/share/PolicyDirector/ivmgrd.conf.obf

d. /opt/PolicyDirector/pd.conf ファイルを編集し、主 policy server のホスト名を、サービス IP インターフェースのホスト名と一致するように変更します。このホスト名は、そのシステムに対する HACMP の構成で設定してあります。 290ページの『HACMP 環境のシナリオ』で示されている例では、このホスト名の値は tucana でした。

e. 変更を構成ファイルに保管した後、 307ページの『スクリプト: 主システムのファイルとディレクトリーのリンク』で示されているサンプルと同様のスクリプトを作成します。主 policy server でこのスクリプトを実行し、必要なファイルとディレクトリーを共用ファイル・システム (/share) にリンクします。

303ページの図 3は、共用ファイル・システムに移動した後の鍵ファイルのロケーションを示しています。この時点ではスタンバイ policy server が構成されていないことに注意してください。

図 2. 初期構成の後の主 policy server



f. 主 policy server を再開します。

g. 308 ページの記述と比較して、ディレクトリー構造、ファイルのロケーション、ソフト・リンク、およびファイルのアクセス許可を確認します。

4. スタンバイ policy server で以下を行います。

a. installp などのネイティブなインストール・ユーティリティーを使用して、必要な Tivoli Access Manager コンポーネントをインストールします (構成は行わない)。手順については、 98ページの『AIX: Policy Server のインストール』を参照してください。

b. そのシステムで HACMP クラスターが稼働していることを確認し、共用外部ファイル・システム (/share/PolicyDirector) にアクセス可能であることを検証します。この検査は、構成処理がファイル・システムに格納されている.conf ファイルにアクセスできるようにするために必要です。

スタンバイ policy server がこの共用外部ファイル・システムにアクセスするためには、主 policy server をシャットダウンする必要があります。そのためには、主 policy server システムで SMITTY の HACMP メニューを使用し、「引き継ぎを伴う安全 (graceful with takeover)」シャットダウン・モードを指定して、クラスター・サービスを停止します。主システムでクラスターが停止した後、HACMP のフェイルオーバー操作が完了したら (1 分以上はかかりません)、スタンバイ policy server システムが主 policy server のサービス IP アドレスを引き継いだこと、および共用ファイル・システムがスタンバイ policy server システムにマウントされたことを確認します。

c. pdconfig ユーティリティーを使用して、スタンバイ policy server を構成します。手順については、 98ページの『AIX: Policy Server のインストール』を参照してください。

注: スタンバイ policy server を構成するにあたり、主 policy server が稼働している必要はありません。ただし、主 policy server が使用するレジストリー・サーバーは、主 policy server システムとは異なるシステムで稼働し、使用可能な状態でなければなりません。

図 3. 共用ファイル・システムの使用を組み込んだ後の主 policy server



構成の間に、pdconfig ユーティリティーは policy server の構成がすでに存在することを検出します。次のプロンプトに対しては、「y」 (Yes) と応答します。

この LDAP サーバーに対して構成された policy server がすでに存在します。2 次 policy server はマイグレーションまたはスタンバイ目的でのみ構成可能です。この LDAP サーバーに対してもう 1 つ policy server を構成しますか(y/n) [No]? yこの policy server をスタンバイに使用しますか? (y/n) [No]: y

プロンプトが表示されたら、ivmgrd.conf ファイル (既存の policy server 構成ファイル) の「完全修飾」のロケーションを入力します。たとえば、共用ディレクトリーが /share であれば、次のように入力します。

/share/PolicyDirector/ivmgrd.conf

pdconfig ユーティリティーは、このファイルに対するリンクを/opt/PolicyDirector/etc ディレクトリーに格納し、ivmgrd.conf ファイルを変更してスタンバイ操作を使用可能にします。

注: スタンバイ policy server の構成が正常に終了した後でも、スタンバイpolicy server は開始されません。スタンバイ policy server で稼働するHACMP ソフトウェアがフェイルオーバー条件を検出した後でのみ、スタンバイ policy server は自動的に開始します。ただし、主 policy server

とスタンバイ policy server の両方が同時に稼働しようとすると、重大なエラーや競合が発生する可能性があります。

d. 310ページの『スクリプト: AIX システム・ファイルからスタンバイ・システム上の共用ディレクトリーへのリンク』で示されているサンプルと同様のスクリプトを作成します。このスクリプトを実行し、AIX のシステム・ファイルを共用ディレクトリーにリンクします。

e. 311 ページの記述と比較して、ディレクトリー構造、ファイルのロケーション、ソフト・リンク、およびファイルのアクセス許可を確認します。

注: 両方のシステムが同じディレクトリーを共用するので、スタンバイ・サーバーの /share/PolicyDirector の内容は、主サーバーに対して示されている内容と同じでなければなりません。

主 policy server とスタンバイ policy server の構成はこれで完了です。この時点で、HACMP クラスターは、主 policy server システムでは停止しており、スタンバイ policy server システムでは稼働しています。

Policy server のフェイルオーバー機能をテストする前に、HACMP の構成がアプリケーション・サーバーとして policy server の実行可能プログラムを指定していることを確認する必要があります。SMITTY ユーティリティーでこの検査を行うには、HACMP の「クラスター・リソース (Cluster Resources)」パネルで「クラスター・リソースの表示 (Show Cluster Resources)」を選択して、クラスター・リソースを表示します。アプリケーション・サーバーを定義するには、HACMP の「アプリケーション・サーバーの定義 (Define Application Servers)」パネルで「アプリケーション・サーバーの追加 (Add an Application Server)」オプションを選択します。このパネルを選択した後、policy server の実行可能プログラムに対する開始スクリプト (/usr/bin/pd_start start) と停止スクリプト (/usr/bin/pd_start stop) を指定します。



図 4は、ネイティブなインストール方法を使用してスタンバイ policy server を構成した後の、鍵ファイルのロケーションを示しています。共用システム内のこれらの鍵ファイルに対する適切なリンクも作成されます。

アプリケーション・サーバーの構成の確認が済めば、HACMP 主/スタンバイ policy

server 構成を完全に活動化できる状態になります。この構成を活動化するには、主policy server システムの HACMP クラスターを再始動する必要があります。これにより、主 policy server が開始し、スタンバイ policy server はスタンバイ・モードになります。

スクリプト: 主システムとスタンバイ・システムの両方に対するUID の設定

主 policy server システムとスタンバイ policy server システムの両方で、ivmgr および tivoli のユーザーとグループに対する UID を設定するには、以下のようなスクリプトを使用します。

図 4. 完了後の主/スタンバイ policy server 環境



#!/bin/ksh## This script sets the uid values for the ivmgr user and the ivmgr group# to values that are specified on the command line when this script is# executed. In addition, this script defines the tivoli group uid and the# tivoli user uid.## The first parameter ($1) is the uid for the ivmgr group. The second parameter# ($2) is the uid for the ivmgr user. The third parameter ($3) is the uid# for the tivoli group. The fourth parameter ($4) is for the tivoli user uid.# Before executing this script, insure that the four uid values ARE NOT already# being used on either system.## Due to the importance of these values, it is ABSOLUTELY necessary on the# system which will run as the Standby Policy Server to set the ivmgr group# uid and the ivmgr user uid to MATCH the corresponding settings for these# entities on the system which is serving as the Primary Policy Server. Also,# since the definition of the ivmgr user has membership in the tivoli group,# then it is also necessary to create the tivoli group as well. Finally, since# the tivoli group contains the tivoli user, then then tivoli user, with the# appropriate uid, must be defined as well. These user/group settings insure# consistency across the two policy servers allowing for each system to take# over the role of the Primary Policy Server when it is appropriate.# Otherwise, the Standby Policy Server will not run or will not even configure# correctly if these values are not the same on BOTH systems.## Note that this script, setivug, MUST be run BEFORE the Standby Policy Server# is installed. As a matter of fact, it is recommended that this script be run# BEFORE any Access Manager software is installed on either the Primary OR the# Standby Policy server. In this way, all four of these ID’s will be consistent# across BOTH systems.#set -eset -x## Create the ivmgr and tivoli groups with the appropriate uids#mkgroup -’A’ id="$1" ivmgrmkgroup -’A’ id="$3" tivolix() {LIST=SET_A=for i in "$@"doif [ "$i" = "admin=true" ]thenSET_A="-a"continuefiLIST="$LIST ¥"$i¥""doneeval mkuser $SET_A $LIST}## Now define the ivmgr user uid to be a part of the staff, tivoli, and ivmgr groups.# (Enter the following command on one continuous line.)#x id="$2" pgrp=’staff’ groups=’staff,tivoli,ivmgr’ home=’/opt/PolicyDirector’

shell=’/usr/bin/ksh’ gecos=’Policy Director Manager’ ivmgr## Now define the tivoli user uid to be a part of the staff and tivoli groups.# (Enter the following command on one continuous line.)#x id="$4" pgrp=’staff’ groups=’staff,tivoli’ home=’/home/tivoli’ shell=’/usr/bin/ksh’

gecos=’Owner of Tivoli Common Files’ tivoli#



スクリプト: 主システムのファイルとディレクトリーのリンク主 policy server システムで必要なファイルとディレクトリーをリンクするには、以下のようなスクリプトを使用します。

#!/bin/ksh#

# Save a copy of the 3 files below under the .bkp extensioncp -p /opt/PolicyDirector/etc/pd.conf /opt/PolicyDirector/etc/pd.conf.bkpcp -p /opt/PolicyDirector/etc/ivmgrd.conf /opt/PolicyDirector/etc/ivmgrd.conf.bkpcp -p /opt/PolicyDirector/etc/ivmgrd.conf.obf /opt/PolicyDirector/etc/ivmgrd.conf.obf.bkp

# Move configuration files to shared directory on the external file systemmv /opt/PolicyDirector/etc/pd.conf /share/PolicyDirectormv /opt/PolicyDirector/etc/ivmgrd.conf /share/PolicyDirector/ivmgrd.confmv /opt/PolicyDirector/etc/ivmgrd.conf.obf /share/PolicyDirector/ivmgrd.conf.obf

# Link the configuration files back to the original installation directory# and change the ownership and group of these links to ivmgr.ln -s /share/PolicyDirector/pd.conf /opt/PolicyDirector/etcln -s /share/PolicyDirector/ivmgrd.conf /opt/PolicyDirector/etcln -s /share/PolicyDirector/ivmgrd.conf.obf /opt/PolicyDirector/etcchown -h ivmgr /opt/PolicyDirector/etc/ivmgrd.confchown -h ivmgr /opt/PolicyDirector/etc/ivmgrd.conf.obfchown -h ivmgr /opt/PolicyDirector/etc/pd.confchgrp -h ivmgr /opt/PolicyDirector/etc/ivmgrd.confchgrp -h ivmgr /opt/PolicyDirector/etc/ivmgrd.conf.obfchgrp -h ivmgr /opt/PolicyDirector/etc/pd.conf

# For the keytab, db and lock subdirectories, create a backup of these directories,# move their contents to the shared external file system, and link the files in# these directories back to the original installation directory.

cp -R -p /var/PolicyDirector/keytab /var/PolicyDirector/keytab_bkpmv /var/PolicyDirector/keytab /share/PolicyDirectorln -s /share/PolicyDirector/keytab /var/PolicyDirector

cp -R -p /var/PolicyDirector/db /var/PolicyDirector/db_bkpmv /var/PolicyDirector/db /share/PolicyDirectorln -s /share/PolicyDirector/db /var/PolicyDirector

cp -R -p /var/PolicyDirector/lock /var/PolicyDirector/lock_bkpmv /var/PolicyDirector/lock /share/PolicyDirectorln -s /share/PolicyDirector/lock /var/PolicyDirector

# Change the ownership and group of these links to ivmgr.chown -h ivmgr /var/PolicyDirector/dbchown -h ivmgr /var/PolicyDirector/keytabchown -h ivmgr /var/PolicyDirector/lockchgrp -h ivmgr /var/PolicyDirector/dbchgrp -h ivmgr /var/PolicyDirector/keytabchgrp -h ivmgr /var/PolicyDirector/lock



例: 主サーバーのディレクトリー、ソフト・リンク、アクセス許可の確認

/opt/PolicyDirector/etc ディレクトリー:

==> ls -ltotal 3714-rw-r----- 1 ivmgr ivmgr 1682440 Oct 10 11:48 AccessManagerBaseAutoTraceDatabaseFile.obfuscated-rw-r--r-- 1 ivmgr ivmgr 2703 Oct 14 13:16 activedir_ldap.conf-rw-r----- 1 ivmgr ivmgr 2703 Jul 14 14:21 activedir_ldap.conf.template-rw-r----- 1 ivmgr ivmgr 18195 Jul 7 10:46 additional_licenses.txtdrw-rw---- 2 ivmgr ivmgr 512 Dec 31 1969 blades-rw-r----- 1 ivmgr ivmgr 5890 Jan 24 2003 config-rw-r----- 1 ivmgr ivmgr 718 May 13 11:40 domino.conf.template-rw-r----- 1 ivmgr ivmgr 114 Oct 10 11:48 ffdclrwxrwxrwx 1 ivmgr ivmgr 36 Oct 15 13:45 ivmgrd.conf -> /am510fs1/PolicyDirector/ivmgrd.conf-rw-r----- 1 ivmgr ivmgr 16949 Oct 14 13:19 ivmgrd.conf.bkplrwxrwxrwx 1 ivmgr ivmgr 40 Oct 15 13:45 ivmgrd.conf.obf -> /am510fs1/PolicyDirector/ivmgrd.conf.obf-rw-r----- 1 ivmgr ivmgr 64 Oct 14 13:19 ivmgrd.conf.obf.bkp-rw-r----- 1 ivmgr ivmgr 16731 Oct 10 11:29 ivmgrd.conf.template-rw-r--r-- 1 ivmgr ivmgr 2319 Oct 14 13:18 ldap.conf-rw-r----- 1 ivmgr ivmgr 2187 Oct 10 11:21 ldap.conf.template-rw-r--r-- 1 ivmgr ivmgr 36544 Sep 29 12:45 novschema.def-rw-r--r-- 1 ivmgr ivmgr 26260 Sep 29 12:45 nsschema.deflrwxrwxrwx 1 ivmgr ivmgr 32 Oct 15 13:45 pd.conf -> /am510fs1/PolicyDirector/pd.conf-rw-r--r-- 1 ivmgr ivmgr 3736 Oct 14 13:20 pd.conf.bkp-rw-r----- 1 ivmgr ivmgr 3645 Oct 10 11:29 pd.conf.template-rw-r----- 1 ivmgr ivmgr 5576 Oct 10 10:05 pdbackup.lst-rw-r----- 1 ivmgr ivmgr 7448 Oct 10 10:05 pdinfo.lst-rw-r--r-- 1 ivmgr ivmgr 5354 Oct 14 13:19 pdmgrd_routing-rw-r--r-- 1 ivmgr ivmgr 5255 Oct 10 11:36 pdmgrd_routing.template-rw-r--r-- 1 ivmgr ivmgr 1492 Oct 14 12:49 pdversion.dat-rw-r--r-- 1 ivmgr ivmgr 1492 Aug 18 11:37 pdversion.dat.template-rw-r----- 1 ivmgr ivmgr 1466 Jan 24 2003 product-rw-r--r-- 1 ivmgr ivmgr 5827 Oct 14 13:16 routing-rw-r--r-- 1 ivmgr ivmgr 5674 Oct 10 11:36 routing.template-rw-r--r-- 1 ivmgr ivmgr 14035 Sep 29 12:45 secschema.def-rw-r--r-- 1 ivmgr ivmgr 11236 Jan 24 2003 secschema390.def-rw-r--r-- 1 ivmgr ivmgr 1 Oct 14 12:49 startup-rw-r--r-- 1 ivmgr ivmgr 1 Jun 24 10:48 startup.template-rw-r--r-- 1 ivmgr ivmgr 1233 Jan 24 2003 upgrade3.7_ibm_schema.def-rw-r--r-- 1 ivmgr ivmgr 1938 Jan 24 2003 upgrade3.7_ibm_schema390.def-rw-r--r-- 1 ivmgr ivmgr 1744 Jan 24 2003 upgrade3.7_netscape_schema.def



/var/PolicyDirector ディレクトリー:

==> ls -Rltotal 7drwxrwxr-x 2 ivmgr ivmgr 512 Dec 31 1969 auditlrwxrwxrwx 1 ivmgr ivmgr 27 Oct 15 13:45 db -> /am510fs1/PolicyDirector/dbdrwxrwxr-x 2 ivmgr ivmgr 512 Oct 14 13:19 db_bkplrwxrwxrwx 1 ivmgr ivmgr 31 Oct 16 15:48 keytab -> /am510fs1/PolicyDirector/keytabdrwxr-xr-x 2 ivmgr ivmgr 512 Oct 16 15:42 keytab_bkplrwxrwxrwx 1 ivmgr ivmgr 29 Oct 15 13:45 lock -> /am510fs1/PolicyDirector/lockdrwxr-x--- 2 ivmgr ivmgr 512 Dec 31 1969 lock_bkpdrwxrwxrwx 3 ivmgr ivmgr 512 Oct 16 13:40 logdrwxrwxr-x 2 ivmgr ivmgr 512 Dec 31 1969 pdbackupdrwxr-x--- 2 ivmgr ivmgr 512 Oct 14 12:49 pdmgrd./audit:total 0

./db_bkp:total 1056-rw------- 1 ivmgr ivmgr 540672 Oct 15 13:45 master_authzn.db

./keytab_bkp:total 35-rw------- 1 ivmgr ivmgr 10080 Oct 14 13:19 ivmgrd.kdb-rw------- 1 ivmgr ivmgr 129 Oct 14 13:18 ivmgrd.sth-rw-rw-rw- 1 root system 5080 Oct 14 13:19 pd.kdb-rw-rw-rw- 1 root system 129 Oct 14 13:19 pd.sth-rw------- 1 root system 1070 Oct 14 13:18 pdcacert.b64

./lock_bkp:total 0

外部ファイル・システム上の共用ディレクトリー、 /share/PolicyDirector:

==> ls -Rltotal 80drwxrwxr-x 2 ivmgr ivmgr 512 Oct 14 13:19 db-rw-r----- 1 ivmgr ivmgr 16950 Oct 16 13:32 ivmgrd.conf-rw-r----- 1 ivmgr ivmgr 64 Oct 16 13:32 ivmgrd.conf.obfdrwxr-xr-x 2 ivmgr ivmgr 512 Oct 16 15:42 keytabdrwxr-x--- 2 ivmgr ivmgr 512 Dec 31 1969 lock-rw-r--r-- 1 ivmgr ivmgr 3736 Oct 14 13:20 pd.conf

./db:total 1056-rw------- 1 ivmgr ivmgr 540672 Oct 16 16:18 master_authzn.db

./keytab:total 64-rw------- 1 ivmgr ivmgr 10080 Oct 14 13:19 ivmgrd.kdb-rw------- 1 ivmgr ivmgr 129 Oct 14 13:18 ivmgrd.sth-rw-rw-rw- 1 root system 5080 Oct 14 13:19 pd.kdb-rw-rw-rw- 1 root system 129 Oct 14 13:19 pd.sth-rw------- 1 root system 1070 Oct 14 13:18 pdcacert.b64

./lock:total 0



スクリプト: AIX システム・ファイルからスタンバイ・システム上の共用ディレクトリーへのリンク

AIX システム・ファイルからスタンバイ policy server システム上の共用ディレクトリーにリンクするには、以下のようなスクリプトを使用します。

#!/bin/ksh#

# The Standby Policy Server must use the same configuration files as the# Primary Policy Server. For this reason, the following links must be created# in order for the Standby Policy Server to function correctly.## Note the Access Manager configuration software will automatically create# a link to the ivmgrd.conf file that is stored in the shared external file system.

# Backup pd.conf to pd.bkp and link to pd.conf in the shared external file systemmv /opt/PolicyDirector/etc/pd.conf /opt/PolicyDirector/etc/pd.conf.bkpln -s /share/PolicyDirector/pd.conf /opt/PolicyDirector/etc

# Backup keytab, db and lock directories and link the keytab, db, and lock# directories to their corresponding files in the shared external file system.

mv /var/PolicyDirector/keytab /var/PolicyDirector/keytab_bkpln -s /share/PolicyDirector/keytab /var/PolicyDirector

mv /var/PolicyDirector/db /var/PolicyDirector/db_bkpln -s /share/PolicyDirector/db /var/PolicyDirector

mv /var/PolicyDirector/lock /var/PolicyDirector/lock_bkpln -s /share/PolicyDirector/lock /var/PolicyDirector

# Change the group and ownership of the five links above to ivmgr.chown -h ivmgr /opt/PolicyDirector/etc/pd.confchown -h ivmgr /var/PolicyDirector/dbchown -h ivmgr /var/PolicyDirector/keytabchown -h ivmgr /var/PolicyDirector/lockchgrp -h ivmgr /opt/PolicyDirector/etc/pd.confchgrp -h ivmgr /var/PolicyDirector/dbchgrp -h ivmgr /var/PolicyDirector/keytabchgrp -h ivmgr /var/PolicyDirector/lock



例: スタンバイ・サーバーのディレクトリー、ソフト・リンク、アクセス許可の確認

/opt/PolicyDirector/etc ディレクトリー:

==> ls -ltotal 3668-rw-r----- 1 ivmgr ivmgr 1682440 Oct 10 11:48 AccessManagerBaseAutoTraceDatabaseFile.obfuscated-rw-r--r-- 1 ivmgr ivmgr 2703 Oct 16 13:26 activedir_ldap.conf-rw-r----- 1 ivmgr ivmgr 2703 Jul 14 14:21 activedir_ldap.conf.template-rw-r----- 1 ivmgr ivmgr 18195 Jul 07 10:46 additional_licenses.txtdrw-rw---- 2 ivmgr ivmgr 512 Dec 31 1969 blades-rw-r----- 1 ivmgr ivmgr 5890 Jan 24 2003 config-rw-r----- 1 ivmgr ivmgr 718 May 13 11:40 domino.conf.template-rw-r----- 1 ivmgr ivmgr 114 Oct 10 11:48 ffdclrwxrwxrwx 1 root system 36 Oct 16 13:32 ivmgrd.conf -> /am510fs1/PolicyDirector/ivmgrd.conflrwxrwxrwx 1 root system 40 Oct 16 13:32 ivmgrd.conf.obf -> /am510fs1/PolicyDirector/ivmgrd.conf.obf-rw-r----- 1 ivmgr ivmgr 16731 Oct 10 11:29 ivmgrd.conf.template-rw-r--r-- 1 ivmgr ivmgr 2319 Oct 16 13:31 ldap.conf-rw-r----- 1 ivmgr ivmgr 2187 Oct 10 11:21 ldap.conf.template-rw-r--r-- 1 ivmgr ivmgr 36544 Sep 29 12:45 novschema.def-rw-r--r-- 1 ivmgr ivmgr 26260 Sep 29 12:45 nsschema.deflrwxrwxrwx 1 ivmgr ivmgr 32 Oct 16 13:36 pd.conf -> /am510fs1/PolicyDirector/pd.conf-rw-r--r-- 1 ivmgr ivmgr 3741 Oct 16 13:32 pd.conf.bkp-rw-r----- 1 ivmgr ivmgr 3645 Oct 10 11:29 pd.conf.template-rw-r----- 1 ivmgr ivmgr 5576 Oct 10 10:05 pdbackup.lst-rw-r----- 1 ivmgr ivmgr 7448 Oct 10 10:05 pdinfo.lst-rw-r--r-- 1 ivmgr ivmgr 5255 Oct 10 11:36 pdmgrd_routing.template-rw-r--r-- 1 ivmgr ivmgr 1492 Oct 16 13:27 pdversion.dat-rw-r--r-- 1 ivmgr ivmgr 1492 Aug 18 11:37 pdversion.dat.template-rw-r----- 1 ivmgr ivmgr 1466 Jan 24 2003 product-rw-r--r-- 1 ivmgr ivmgr 5810 Oct 16 13:27 routing-rw-r--r-- 1 ivmgr ivmgr 5674 Oct 10 11:36 routing.template-rw-r--r-- 1 ivmgr ivmgr 14035 Sep 29 12:45 secschema.def-rw-r--r-- 1 ivmgr ivmgr 11236 Jan 24 2003 secschema390.def-rw-r--r-- 1 ivmgr ivmgr 1 Oct 16 13:27 startup-rw-r--r-- 1 ivmgr ivmgr 1 Jun 24 10:48 startup.template-rw-r--r-- 1 ivmgr ivmgr 1233 Jan 24 2003 upgrade3.7_ibm_schema.def-rw-r--r-- 1 ivmgr ivmgr 1938 Jan 24 2003 upgrade3.7_ibm_schema390.def-rw-r--r-- 1 ivmgr ivmgr 1744 Jan 24 2003 upgrade3.7_netscape_schema.def



/var/PolicyDirector ディレクトリー:

==> ls -Rltotal 7drwxrwxr-x 2 ivmgr ivmgr 512 Dec 31 1969 auditlrwxrwxrwx 1 ivmgr ivmgr 27 Oct 16 13:36 db -> /am510fs1/PolicyDirector/dbdrwxrwxr-x 2 ivmgr ivmgr 512 Dec 31 1969 db_bkplrwxrwxrwx 1 ivmgr ivmgr 31 Oct 16 13:36 keytab -> /am510fs1/PolicyDirector/keytabdrwxrwxrwx 2 ivmgr ivmgr 512 Dec 31 1969 keytab_bkplrwxrwxrwx 1 ivmgr ivmgr 29 Oct 16 13:36 lock -> /am510fs1/PolicyDirector/lockdrwxr-x--- 2 ivmgr ivmgr 512 Dec 31 1969 lock_bkpdrwxrwxrwx 2 ivmgr ivmgr 512 Dec 31 1969 logdrwxrwxr-x 2 ivmgr ivmgr 512 Dec 31 1969 pdbackupdrwxr-x--- 2 ivmgr ivmgr 512 Oct 16 13:24 pdmgrd./audit:total 0

./db_bkp:total 0

./keytab_bkp:total 0

./lock_bkp:total 0


第 19 章 Tivoli Access Manager ユーティリティー

pdadmin コマンド・ユーティリティーのほかに、Tivoli Access Manager では次のようなユーティリティーが使用できます。

表 24. Tivoli Access Manager ユーティリティー

ユーティリティー説明

amwpmcfg Web Portal Manager インターフェースを構成します。

ivrgy_tool 指定した LDAP サーバーの Tivoli Access Manager スキーマを更新します。

pdbackup Tivoli Access Manager データのバックアップ、復元、および抽出を行います。

pdconfig Tivoli Access Manager Java ランタイム・コンポーネント以外の Tivoli Access Manager コンポーネントの構成と構成解除を行います。

pdjrtecfg Tivoli Access Manager Java ランタイム・コンポーネントを構成します。

pd_start UNIX システム上でサーバーの停止、始動、および再始動を行います。サーバー状況も表示します。


amwpmcfgWeb Portal Manager のパッケージ名を構成、構成解除、検索する、または、その状況を提供します。

構文amwpmcfg -action config -host policy_server_host [-port policy_server_port]-waspath websphere_installation_path [-admin_id admin_id -admin_pwdadmin_password]

amwpmcfg -action config -interactive

amwebcfg -action config -rspfile response_file

amwebcfg -action unconfig -rspfile response_file

amwpmcfg -action unconfig [-admin_id admin_id -admin_pwd admin_password]-host policy_server_host [-port policy_server_port] -waspathwebsphere_installation_path

amwpmcfg -action unconfig -interactive [-admin_id admin_id -admin_pwdadmin_password

amwpmcfg -action status [-admin_id admin_id -admin_pwd admin_password]

amwpmcfg -operations

amwpmcfg -help [options]

amwpmcfg usage

amwpmcfg -?

パラメーター-action {config|name|status|unconfig}

実行するアクションを指定します。アクションには、以下のものがあります。

config Tivoli Access Manager Web Portal Manager を構成するために使用します。

name Tivoli Access Manager Web Portal Manager パッケージ名を検索し、name 値を pdconfig ユーティリティーに戻します。このオプションは、pdconfig によってのみ使用されます。このオプションはコマンド行からは使用しないでください。

statusTivoli Access Manager Web Portal Manager の構成状況を判別し、状況を pdconfig ユーティリティーに戻すために使用します。このオプションは、pdconfig によってのみ使用されます。このオプションはコマンド行からは使用しないでください。


unconfigTivoli Access Manager Web Portal Manager を構成解除するために使用します。

-a admin_id

ユーザー admin_id としてログインします。このオプションを指定しない場合は、プロンプト画面が表示されます。

-p password

ユーザー admin_id のパスワードを指定します。このオプションを指定しない場合は、パスワードを要求するプロンプト画面が表示されます。このオプションは、-action config または -action unconfig オプションを使用しない場合は、使用できません。

-host policy_server_host

Tivoli Access Manager policy server ホスト名を指定します。

host_name に対して有効な値には、有効な IP ホスト名が含まれます。

例: host = libra.dallas.ibm.com

-help [option]有効なコマンド行オプションの説明を表示することで、1 つ以上のコマンド・オプションに関するオンライン・ヘルプを提供します。

-interactive対話モードを指定します。グラフィカル・インターフェースを使用してTivoli Access Manager Web Portal Manager を構成します。指定しない場合、構成プログラムは非対話 (サイレント) モードで実行されます。

-operationsすべての有効なコマンド行オプションを印刷します。

-port policy_server_port

Tivoli Access Manager policy server のポート番号を指定します。デフォルト値は 7135 です。

-rspfile response_file

サイレント構成中に使用する Web Portal Manager 応答ファイルの完全修飾パスおよびファイル名を指定します。応答ファイルは構成または構成解除で使用できます。デフォルトの応答ファイル名はありません。応答ファイルには、スタンザと option=value ペア・スタンザ・エントリーが含まれます。詳しくは、 335ページの『第 20 章応答ファイルの使用』を参照してください。

-usageこのコマンドの使用法構文を表示します。例も表示します。

-waspath websphere_installation_path

IBM WebSphere Application Server ディレクトリーのパスを指定します。websphere_installation_path は /bin/wsadmin スクリプト・ファイルと/java/jre/lib/ext/PD.jar ファイルの存在をチェックすることで検証します。必須バージョンの WebSphere Application Server がインストールされていない場合、構成は継続できません。

-? このコマンドの使用法構文を表示します。例も表示します。

第 19 章 Tivoli Access Manager ユーティリティー 315

可用性このコマンドは、以下のデフォルト・インストール・ディレクトリーに置かれています。


/opt/PolicyDirector/sbin/


c:¥Program Files¥Tivoli¥Policy Director¥sbin¥

デフォルト以外のインストール・ディレクトリーが選択された場合、このユーティリティーはインストール・ディレクトリーの下の sbin ディレクトリー (たとえば、install_dir¥sbin¥) にあります。

戻りコード以下の終了状況コードが戻されます。

0 コマンドが正常に完了しました。

1 コマンドが失敗しました。

コマンドが失敗すると、エラーの説明と 16 進数形式のエラー状況コード (たとえば、0x15c3a00c) が提供されます。「IBM Tivoli Access Manager エラー・メッセージ・リファレンス」を参照してください。この資料には、Tivoli Access

Manager エラー・メッセージが 10 進数または 16 進数コードのリストで提供されています。


ivrgy_tool指定した LDAP サーバーの Tivoli Access Manager スキーマを更新します。通常、スキーマは、Tivoli Access Manager policy server (pdmgrd) が構成されるときに、自動的に更新されます。既存の Tivoli Access Manager のインストールをマイグレーションする場合、LDAP サーバー上のスキーマをこのユーティリティーを使用する現行バージョンの Tivoli Access Manager にアップグレードする必要があります。

構文ivrgy_tool -h host_name -p port -D ldap_admin_dn -w ldap_admin_pwd -d [ -Z -Kldap-ssl-key-filename -P ldap-ssl-keyfile-password [ -N ldap-ssl-keyfile-label]] schema

パラメーター-d 冗長モードを示します。

-D ldap_admin_dn

LDAP アドミニストレーターの識別名を指定します。識別名の形式は次のようになります。

cn=root

-h host_name

LDAP サーバーの IP アドレスまたはホスト名を指定します。


例:

host = libra

host = libra.dallas.ibm.com

-K ldap-ssl-key-filename

SSL 鍵データベースの完全修飾パスおよびファイル名を指定します。このパラメーターは、-Z を指定した場合のみ必要です。 SSL 鍵ファイルを使用して LDAP 通信で使用される証明書を処理します。ファイル・タイプは任意ですが、拡張子は通常 .kdb です。

Windows の例: C:¥pd¥keytab¥ivmgrd.kdb

UNIX の例: /opt/PolicyDirector/keytab/ivmgrd.kdb

-N ldap-ssl-keyfile-label

SSL 鍵データベースのクライアント証明書のラベル名を指定します。これは SSL 確立中に、LDAP サーバーがサーバーとクライアントの両方の認証を実行するように構成されている場合、LDAP サーバーに送信されます。

このパラメーターはオプションです。このパラメーターは、SSL が使用される (-Z フラグを使用して指定される) 場合と、クライアント認証を必要とするように LDAP サーバーを構成した場合のみ有効です。

デフォルトの Tivoli Access Manager 鍵データベースが使用される場合、デフォルトのクライアント認証ラベルは PDLDAP です。

-p port

LDAP サーバーのポート番号を指定します。


port には、LDAP サーバー構成ポート番号を使用します。デフォルトのポート番号は、Secure Sockets Layer (SSL) が使用される場合は 636、SSL が使用されない場合は 389 です。

-P ldap-ssl-keyfile-password

SSL 鍵データベースのパスワードを指定します。このパラメーターは、-Zオプションを指定した場合のみ必要です。

注: デフォルト SSL 鍵ファイルに関連したパスワードは、key4ssl です。

-w ldap_admin_pwd

LDAP アドミニストレーターのパスワードを指定します。

-Z SSL が使用されていることを示します。

schemaIBM Directory Server を Tivoli Access Manager スキーマで更新する必要があることを示します。バージョン 5.2 より前の IBM Directory Server のバージョンをマイグレーションする場合のみ、このパラメーターを使用します。

コメントTivoli Access Manager スキーマはファイルのセットで定義されています。ファイルは、使用される LDAP サーバーのタイプに関連します。これらのファイルには、以下の Tivoli Access Manager LDAP スキーマが含まれます。

v secschema.def — IBM Directory Server で使用

v nsschema.def — Sun ONE Directory Server で使用

v novschema.def — Novell eDirectory Server で使用

これらのファイルは Tivoli Access Manager ランタイムの一部としてインストールされ、Tivoli Access Manager policy server を構成するときに、自動スキーマ更新プロセスへの入力として使用されます。

注: アドミニストレーターは、これらのファイルを IBM Directory ldapmodify コマンドへの LDAP Data Interchange Format (LDIF) 入力として使用することで、スキーマに適用し、更新することもできます。




コマンドが失敗すると、エラーの説明とエラーが提供されます。


pdbackupTivoli Access Manager データのバックアップ、復元、および抽出を行います。

構文pdbackup -action backup -list path_to_list_file [-path path] [-file filename]

pdbackup -action restore -file filename [-path path]

pdbackup -action extract -file filename -path path

pdbackup -usage

pdbackup -?

パラメーターオプション名は短縮できますが、複数に解釈できる、あいまいな省略形であってはなりません。たとえば、-action の代わりに -a、または -list の代わりに -l と入力できます。しかし、オプションの値を短縮することはできません。

-action [backup|restore|extract]データのバックアップ、復元、または抽出を行うことを指定します。

-file filename

以下のいずれかを指定します。

v -a backup オプションと一緒に指定する場合は、list_filename_date.time[.tar|.dar] デフォルト・ファイル名以外のファイル名を指定します。

アーカイブ・ファイルのデフォルト名は使用されるリストの名前で、日付とタイムスタンプを含みます。次に例を示します。

– UNIX

/var/PolicyDirector/pdbackup/list_filename_date.time.tar

– Windows

C:¥Program Files¥Tivoli¥PolicyDirector¥pdbackup¥list_filename_date.time.dar

v -a restore オプションと一緒に指定すると、復元するアーカイブ・ファイルの名前と完全修飾パスを指定できます。デフォルトのパスはありません。 -a restore オプションを使用する場合は、このオプションを必ず指定しなければなりません。

v -a extract オプションと一緒に指定すると、抽出するアーカイブ・ファイルの名前と完全修飾パスを指定できます。デフォルトのパスはありません。 -a extract オプションを使用する場合は、このオプションを必ず指定しなければなりません。

-list path_to_list_file

アーカイブまたはサービス・リスト・ファイル (さまざまなスタンザを含むASCII ファイル) のいずれかに対する完全修飾パスを指定します。-abackup オプションを使用する場合は、このオプションを必ず指定しなけれ


ばなりません。パスおよびリスト・ファイル名はいずれもコンポーネントに依存します。各コンポーネントは、独自のディレクトリーに独自のリストを持つことができます。

v UNIX システムでは、パスは次のとおりです。

/opt/PolicyDirector/etc/pdbackup.lst

v Windows システムでは、パスは次のとおりです。

C:¥Program Files¥Tivoli¥PolicyDirector¥etc¥pdbackup.lst

-path path

次の場合に、リスト・ファイルを配置する代替ディレクトリーを指定します。

v -a backup オプションと一緒に指定すると、バックアップ・ファイルを保管したいパスを指定できます。 -a backup オプションを使用してパスを指定しなかった場合のデフォルト・パスは、以下のいずれかになります。

– UNIX システムでは、デフォルト・パスは次のとおりです。

/var/PolicyDirector/pdbackup/

– Windows システムでは、デフォルト・パスは次のとおりです。

amrte_install_dir¥pdbackup¥

ここで、amrte_install_dir は、Tivoli Access Manager ランタイムがインストールされているディレクトリーを指定します。

v UNIX システムの場合に限り、-a restore オプションと一緒に指定すると、指定した path にアーカイブ対象ファイルを復元できます。デフォルトでは、復元パスはデータをバックアップしたときに使用したディレクトリーです。 Windows システムでは、復元プロセスは -p オプションをサポートしません。

v -a extract オプションと一緒に指定すると、抽出したファイルを保管したいディレクトリー名を指定できます。デフォルトのパスはありません。-a extract オプションを使用する場合は、-p オプションを必ず指定しなければなりません。



コメントpdbackup コマンドは、Tivoli Access Manager データのバックアップと復元を行うために使用します。復元アクションの代わりに、すべてのアーカイブ・ファイルを単一ディレクトリーに抽出することができます。

このコマンドは、以下の 3 つのシナリオで最も一般的に使用されます。

v Tivoli Access Manager Base コンポーネント・ファイルのバックアップ、復元、および抽出。

v Tivoli Access Manager WebSEAL コンポーネント・ファイルのバックアップ、復元、および抽出。


v Tivoli Access Manager Web サーバー・コンポーネント・ファイルのバックアップ、復元、および抽出。

3 つのシナリオだけが記述されていることに注意してください。ただし、任意のTivoli Access Manager Base コンポーネント・ファイル、または任意の Tivoli

Access Manager サーバー・ファイルをバックアップ、復元、および抽出できます。

Tivoli Access Manager ファイルのバックアップ

バックアップ・アクションは、引き数から -file オプションにアーカイブするバックアップ・リスト・ファイル名を取得します。 date と time は、ファイルの作成時刻を示しています。サービス・リスト・ファイルの名前が指定されていない場合、自動的にデフォルトのサービス・リスト・ファイル名が使用されます。これらのシナリオについて、コンポーネント固有のバックアップ・リスト・ファイルは、表 25に示されるとおりです。

バックアップ・リスト・ファイルは、Tivoli Access Manager インストール・ディレクトリーの下の pdbackup ディレクトリーにあります。 -path オプションを使用して、バックアップ・リスト・ファイルを保管する代替ディレクトリーを指定できます。

下の表は、Tivoli Access Manager がコンポーネントのデフォルト・インストール・ディレクトリーにインストールされた場合のバックアップ・リスト・ファイルのロケーションを示します。

表 25. バックアップ・リスト・ファイル

Tivoli Access Manager Base

UNIX /var/PolicyDirector/pdbackup/pdbackup.lst_ddmmmyyyy.hh_mm.tar

Windows amrte_install_dir¥pdbackup¥pdbackup.lst_ddmmmyyyy.hh_mm.dar

Tivoli Access Manager WebSEAL

UNIX /var/pdweb/pdbackup/amwebbackup.lst_ddmmmyyyy.hh_mm.tar

Windows amrte_install_dir¥PDweb¥pdbackup¥amwebbackup.lst_ddmmmyyyy.hh_mm.dar

Tivoli Access Manager Plug-in for Web Servers

UNIX /var/pdwebpi/pdbackup/pdwebpi.lst_ddmmmyyyy.hh_mm.tar

Windows amrte_install_dir¥PDwebpi¥pdbackup¥pdwebpi.lst_ddmmmyyyy.hh_mm.dar

たとえば UNIX の場合、Tivoli Access Manager Base コンポーネントの典型的なバックアップ・リスト・ファイル名は、backup.lst_14Oct2003.11_22.tar です。

Tivoli Access Manager サービス情報ファイルのバックアップ

バックアップ・アクションは、サービス・リスト・ファイル名も作成します。

バックアップ・アクションは、引き数から -file オプションにアーカイブするサービス・リスト・ファイル名を取得します。 date と time は、サービス・リスト・ファイルの作成時刻を示しています。サービス・リスト・ファイルの名前が指定されていない場合、自動的にデフォルトのサービス・リスト・ファイル名が使用されます。これらのシナリオについて、コンポーネント固有のバックアップ・リスト・ファイルは、 322ページの表 26に示されるとおりです。


サービス・リスト・ファイルのロケーションは -path オプションを使用して指定できます。ロケーションが指定されない場合、デフォルト・ロケーションが使用されます。また、サービス・リスト・ファイルは、Tivoli Access Manager コンポーネントのインストール・ディレクトリーの下の etc ディレクトリーにもあります。

下の表は、Tivoli Access Manager がコンポーネントのデフォルト・インストール・ディレクトリーにインストールされた場合のサービス・リスト・ファイルのロケーションを示します。

表 26. サービス・ファイル・リスト (pdinfo)

サービス・ファイル・リスト

Tivoli Access Manager Base

UNIX /opt/PolicyDirector/etc/pdinfo.lst_ddmmmyyyy.hh_mm.tar

Windows C:¥Program Files¥Tivoli¥PolicyDirector¥etc¥

pdinfo.lst_ddmmmyyyy.hh_mm.dar

Tivoli Access Manager WebSEAL

UNIX /opt/pdweb/etc/pdinfo-amwebbackup.lst_ddmmmyyyy.hh_mm.tar

Windows C:¥Program Files¥Tivoli¥PolicyDirector¥etc¥

pdinfo-amwebbackup.lst_ddmmmyyyy.hh_mm.dar

Tivoli Access Manager Plug-in for Web Servers

UNIX /opt/pdweb/etc/opt/pdwebpi/etc/pdinfo-pdwebpi.lst_ddmmmyyyy.hh_mm.tar

Windows C:¥Program Files¥Tivoli¥PDWebpi¥etc¥

pdinfo-pdwebpi.lst_ddmmmyyyy.hh_mm.dar

たとえば UNIX の場合、Tivoli Access Manager Base コンポーネントの典型的なサービス・リスト・ファイル名は、pdinfo.lst_14Oct2003.11_22.tar です。

Tivoli Access Manager ファイルの復元

ファイルが復元される場合、ファイルはディレクトリー階層に保管されます。階層のロケーションは以下のとおりです。

v UNIX

アーカイブ・ファイルは、デフォルトではルート・ディレクトリーに復元されます。 -path を使用して、代替ディレクトリーを指定できます。UNIX システムでは、オプションを指定しない場合、ファイルを特定のディレクトリー・ツリーに復元できます。

v Windows

アーカイブ・ファイルは、元のディレクトリーに復元されます。-path オプションは使用できません。

Tivoli Access Manager ファイルの抽出

pdbackup を使用して、バックアップ・アーカイブからファイルを抽出します。ファイルは単一ディレクトリーに置かれます。ファイルは、ディレクトリー・ツリー構造には置かれません。

-file オプションを使用して、抽出するアーカイブ・ファイルの名前と完全修飾パスを指定します。


-path オプションを使用して、抽出したファイルを保管するディレクトリーを指定します。

注: Windows レジストリー・キーは、-a extract オプションでは更新されません。



/opt/PolicyDirector/bin/


C:¥Program Files¥Tivoli¥Policy Director¥bin¥

デフォルト以外のインストール・ディレクトリーが選択された場合、このユーティリティーはインストール・ディレクトリーの下の bin ディレクトリー (たとえば、install_dir¥bin¥) にあります。

例Tivoli Access Manager Base のバックアップ

v この例では、アーカイブ・ファイルのデフォルト値を使用してバックアップします。

UNIXpdbackup -a backup -list /opt/PolicyDirector/etc/pdbackup.1st

Windowspdbackup -a backup -list installation_dir¥etc¥pdbackup.1st

注: 短縮フォーム pdbackup -a backup -l も使用できます。

このコマンドで作成されるアーカイブ・ファイルの例は以下のとおりです。

UNIX:/var/PolicyDirector/pdbackup/pdbackup.lst_15dec2003.10_41.tar

Windows¥installation_dir¥pdbackup¥pdbackup.lst_15dec2003.10_41.dar

v この例では、アーカイブ・ファイルの代替ロケーションを指定することでバックアップします。下の例では、バックアップを実行し、デフォルトのアーカイブ・ファイルを /var/backup ディレクトリー (UNIX) または C:¥pdback (Windows)

に作成します。

UNIXpdbackup -a backup -list /opt/PolicyDirector/etc/pdbackup.1st -p /var/backup

Windowspdbackup -a backup -list installation_dir¥etc¥pdbackup.1st -path c:¥pdback

v この例では、アーカイブ・ファイルの代替ロケーションを指定することでバックアップします。下の例では、バックアップを実行し、pdarchive.tar (UNIX) または pdarchive.dar (Windows) という名前のファイルを作成します。ファイルは、デフォルトのアーカイブ・ディレクトリーに置かれます。


UNIXpdbackup -a backup -list /opt/PolicyDirector/etc/pdbackup.1st -f pdarchive

Windowspdbackup -a backup -list base_dir¥etc¥pdbackup.1st -f pdarchive

デフォルトのアーカイブ拡張子 (UNIX の場合は .tar、Windows の場合は .dar)

が pdarchive のファイル名に付加されます。このファイルはデフォルトのアーカイブ・ディレクトリー/var/PolicyDirector/pdbackup (UNIX) またはinstallation_dir¥pdbackup (Windows) に保管されます。

Tivoli Access Manager WebSEAL のバックアップ


UNIXpdbackup -a backup -list /opt/pdweb/etc/amwebbackup.1st

Windowspdbackup -a backup -list installation_dir¥etc¥amwebbackup.1st


UNIX:/var/PolicyDirector/pdbackup/amwebbackup.lst_15dec2003.10_41.tar

Windows¥installation_dir¥pdbackup¥amwebbackup.lst_15dec2003.10_41.dar



UNIXpdbackup -a backup -list /opt/pdweb/etc/amwebbackup.1st -p /var/backup

Windowspdbackup -a backup -list installation_dir¥etc¥amwebbackup.1st -path c:¥pdback

v この例では、アーカイブ・ファイルの代替ロケーションを指定することでバックアップします。下の例では、バックアップを実行し、amwebarchive.tar (UNIX)

または amwebarchive.dar (Windows) という名前のファイルを作成します。ファイルは、デフォルトのアーカイブ・ディレクトリーに置かれます。

UNIXpdbackup -a backup -list /opt/pdweb/etc/amwebbackup.1st -f amwebarchive

Windowspdbackup -a backup -list base_dir¥etc¥amwebbackup.1st -f amwebarchive



Tivoli Access Manager Plug-in for Web Servers のバックアップ



UNIXpdbackup -a backup -list /opt/pdwebpi/etc/pdwebpi.lst

Windowspdbackup -a backup -list install-dir¥etc¥pdwebpi.lst


UNIX:/var/PolicyDirector/pdbackup/pdinfo-pdwebpi_15dec2003.10_41.tar

Windows¥installation_dir¥pdbackup¥pdinfo-pdwebpi_15dec2003.10_41.dar



UNIXpdbackup -a backup -list /opt/pdweb/etc/pdwebpi.lst -p /var/backup

Windowspdbackup -a backup -list installation_dir¥etc¥pdwebpi.lst -path c:¥pdback

v この例では、アーカイブ・ファイルの代替ロケーションを指定することでバックアップします。下の例では、バックアップを実行し、amwebarchive.tar (UNIX)

または amwebarchive.dar (Windows) という名前のファイルを作成します。ファイルは、デフォルトのアーカイブ・ディレクトリーに置かれます。

UNIXpdbackup -a backup -list /opt/pdweb/etc/pdwebpi.lst -f amwebarchive

Windowspdbackup -a backup -list base_dir¥etc¥pdwebpi.lst -f amwebarchive



Tivoli Access Manager Base の復元

v この例では、アーカイブ・ファイルがデフォルト・ロケーションに保管されている場合のアーカイブ・ファイルの内容を復元します。

UNIXpdbackup -a restore -f /var/PolicyDirector/pdbackup/pdbackup.1st_15dec2003.07_24.tar

Windowspdbackup -a restore -f base_dir¥pdbackup¥pdbackup.1st_15dec2003.07_24.dar

v この例では、アーカイブ・ファイルが、/var/pdback (UNIX) または ¥pdbackup

(Windows) のような非デフォルト・ロケーションに保管されている場合のアーカイブ・ファイルの内容を復元します。

UNIXpdbackup -a restore -f /var/pdback/pdbackup.1st_15dec2003.07_25.tar


Windowspdbackup -a restore -f h:¥pdbackup¥pdbackup.1st_15dec2003.07_25.dar

v (UNIX のみ) この例では、アーカイブ・ファイルが非デフォルト・ロケーション/var/pdback に保管されている場合のアーカイブ・ファイルの内容を復元します。復元されたディレクトリー階層は、ディレクトリー /pdtest の下に配置します。

pdbackup -a restore -p pdtest -f /var/pdback/pdbackup.1st_15dec2003.07_25.tar

Tivoli Access Manager WebSEAL の復元


UNIXpdbackup -a restore -f /var/PolicyDirector/pdbackup/amwebbackup.1st_15dec2003.07_24.tar

Windowspdbackup -a restore -f base_dir¥pdbackup¥amwebbackup.1st_15dec2003.07_24.dar

v (UNIX のみ) この例では、アーカイブ・ファイルが非デフォルト・ロケーション/var/pdback に保管されている場合のアーカイブ・ファイルの内容を復元します。復元されたディレクトリー階層は、/amwebtest の下に配置します。

pdbackup -a restore -p amwebtest -f /var/pdback/amwebbackup.1st_15dec2003.07_25.tar

Tivoli Access Manager Plug-in for Web Servers の復元


UNIXpdbackup -a restore -f /var/PolicyDirector/pdbackup/pdinfo-pdwebpi.lst_15dec2003.07_24.tar

Windowspdbackup -a restore -f install_directory¥pdbackup¥pdinfo-pdwebpi.lst_15dec2003.07_24.dar

v (UNIX のみ) この例では、アーカイブ・ファイルが非デフォルト・ロケーション/var/pdback に保管されている場合のアーカイブ・ファイルの内容を復元します。復元されたディレクトリー階層は、/amwebtest の下に配置します。

pdbackup -a restore -p amwebtest -f /var/pdback/pdinfo-pdwebpi.lst_15dec2003.07_25.tar

Tivoli Access Manager Base の抽出

この例では、アーカイブ・ファイルの内容を、/var/pdbackup (UNIX) またはC:¥pdback (Windows) からディレクトリー pdextract に抽出します。

UNIXpdbackup -a extract -p pdextract -f /var/pdbackup/pdbackup.1st_15dec2003.07_25.tar


Windowspdbackup -a extract -p e:¥pdextract -f c:¥pdback¥pdbackup.1st_15dec2003.07_25.dar

pdextract ディレクトリーが存在しない場合は、自動的に作成されます。

Tivoli Access Manager WebSEAL の抽出

この例では、アーカイブ・ファイルの内容を、/var/pdbackup (UNIX) またはC:¥pdback (Windows) からディレクトリー amwebextract に抽出します。

UNIXpdbackup -a extract -p amwebextract -f /var/pdbackup/pdbackup.1st_15dec2003.07_25.tar

Windowspdbackup -a extract -p e:¥amwebextract -f c:¥pdback¥pdbackup.1st_15dec2003.07_25.dar

amwebextract ディレクトリーが存在しない場合は、自動的に作成されます。

Tivoli Access Manager Plug-in for Web Servers の抽出

この例では、アーカイブ・ファイルの内容を、/var/pdbackup (UNIX) またはC:¥pdback (Windows) からディレクトリー amwebextract に抽出します。

UNIXpdbackup -a extract -p amwebextract -f /var/pdbackup/pdinfo-pdwebpi.lst_15dec2003.07_25.tar

Windowspdbackup -a extract -p e:¥amwebextract -f c:¥pdback¥pdinfo-pdwebpi.lst_15dec2003.07_25.dar

amwebextract ディレクトリーが存在しない場合は、自動的に作成されます。







pdconfigTivoli Access Manager コンポーネントを構成および構成解除するための対話式メニューを表示します。

構文pdconfig

パラメーターなし。





C:¥Program Files¥Tivoli¥Policy Director¥bin¥

デフォルト以外のインストール・ディレクトリーが選択された場合、このユーティリティーはインストール・ディレクトリーの下の bin ディレクトリー (たとえば、install_dir¥bin¥) にあります。







pdjrtecfgTivoli Access Manager Java ランタイム・コンポーネントを構成します。Tivoli

Access Manager Java ランタイム・コンポーネントは、Java アプリケーションがTivoli Access Manager セキュリティーを管理および使用できるようにします。

構文pdjrtecfg -action config -host policy_server_host [-port policy_server_port][-java_home jre_home] [-domain domain_name] [-config_type full] [-enable_tcd[-tcd path]]

pdjrtecfg -action config [-config_type standalone]


pdjrtecfg -action config -rspfile response_file

pdjrtecfg -action unconfig -rspfile response_file

pdjrtecfg -action unconfig [-java_home {jre_home| all}][-remove_common_jars]

pdjrtecfg -action unconfig -interactive

pdjrtecfg -action status [-java_home jre_home]

pdjrtecfg -action name

pdjrtecfg -operations

pdjrtecfg -help [options]

pdjrtecfg -usage

pdjrtecfg -?

パラメーター-action {config|name|status|unconfig}

実行するアクションを指定します。アクションには、以下のものがあります。

config Tivoli Access Manager Java ランタイム・コンポーネントを構成するために使用します。

name Tivoli Access Manager Java ランタイム・コンポーネントの名前値を pdconfig ユーティリティーに戻します。このオプションは、pdconfig によってのみ使用されます。このオプションはコマンド行からは使用しないでください。

statusTivoli Access Manager Java ランタイム・コンポーネント構成状況の情報を判別し、pdconfig ユーティリティーに戻します。このオ


プションは、pdconfig によってのみ使用されます。このオプションはコマンド行からは使用しないでください。

unconfigTivoli Access Manager Java ランタイム・コンポーネントを構成解除するために使用します。

-config_type {full|standalone}構成モードを指定します。有効な値は以下のとおりです。

full Tivoli Access Manager Java Runtime コンポーネント構成プログラムの実行に、 Tivoli Access Manager Policy Server 情報を必要とする構成モードを指定します。デフォルト値は full です。

standaloneTivoli Access Manager Java Runtime コンポーネント構成プログラムの実行に、 Tivoli Access Manager Policy Server 情報を必要としない構成モードを指定します。このモードでは、Tivoli Access

Manager Java API を使用するために Tivoli Access Manager Policy

Server を必要としません。

-domain domain_name

構成する Java Runtime コンポーネントにローカル・ドメインを指定します。明示的なドメインが指定されない場合にプログラムが使用するローカル・ドメインは Tivoli Access Manager セキュア・ドメインです。このオプションが指定されない場合、ローカル・ドメインは管理ドメインをデフォルトにします。

-enable_tcd [-tcd path]Tivoli Common Directory (TCD) ロギングが使用可能でない場合、これを使用可能にし、共通ロギングで使用する完全修飾パス・ロケーションを指定します。 TCD が使用可能になると、すべての Tivoli Access Manager メッセージのログ・ファイルは、この共通ディレクトリー・ロケーションに配置されます。

-help [options]有効なコマンド行オプションの説明を表示することで、1 つ以上のコマンド・オプションに関するオンライン・ヘルプを提供します。または、特定のコマンド行オプションに関するオンライン・ヘルプを提供します。

-host policy_server_host

Tivoli Access Manager policy server ホスト名を指定します。


例:

host = libra

host = libra.dallas.ibm.com

-interactive対話モードを指定します。このモードでは、ユーザーに Tivoli Access

Manager Java ランタイム・コンポーネントを構成する構成情報を要求するプロンプトを表示します。指定しない場合、構成プログラムは非対話 (サイレント) モードで実行されます。


注: Sun JRE バージョン 1.4 の構成は、 pdjrtecfg -interactive (対話モード) または pdconfig ユーティリティーを使用すると失敗します。非対話モードでは、pdjrtecfg ユーティリティーを使用して構成する必要があります。 Tivoli Access Manager Java ランタイムバージョン 1.4

は、pdjrtecfg -interactive (対話モード) または pdconfig ユーティリティーを使用する場合に作動することに注意してください。

-java_home jre_path

Java ランタイム・コンポーネントへの完全修飾パス (JRE で終わるディレクトリーなど) を指定します。 -java_home が指定されない場合、現在のJRE が使用されます。次に例を示します。

c:¥Program Files¥IBM¥JAVA13¥JRE

構成解除 (-action unconfig) のときは、構成済みのすべての JRE を構成解除する all オプションを指定できます。

-operationsすべての有効なコマンド行オプションを印刷します。

-port policy_server_port

Tivoli Access Manager policy server のポート番号を指定します。デフォルト値は 7135 です。

-remove_common_jarsTivoli Access Manager Java ランタイム・コンポーネント構成中に JRE に追加された、IBM 関連の JRE ファイルのみを除去します。Tivoli Access

Manager Java ランタイム・コンポーネント構成前に JRE に存在していたJAR は、-remove_common_jars オプションが指定されたかどうかに関係なく削除されません。

構成解除の間のみ、ロギングおよびセキュリティー JAR ファイルのような他の IBM 関連 JAR ファイルを削除するように指定します。

-rspfile response_file

サイレント・インストール中に使用する Java ランタイム・コンポーネント応答ファイルの完全修飾パスおよびファイル名を指定します。応答ファイルは構成または構成解除で使用できます。デフォルトの応答ファイル名はありません。応答ファイルには、スタンザと option=value ペア・スタンザ・エントリーが含まれます。詳しくは、 335ページの『第 20 章応答ファイルの使用』を参照してください。



コメントこのコマンドは、Tivoli Access Manager Java ライブラリーを、システムにすでにインストールされている Java ランタイム用に存在するライブラリー拡張ディレクトリーにコピーします。


このコマンドを使用しても、すでに jre_home¥lib¥ext に存在する JAR ファイルは上書きされません。ただし、PD.jar ファイルは例外で、このファイルは存在すると上書きされます。

指定のマシンに複数の Java ランタイムをインストールすることができます。pdjrtecfg コマンドを使用して、各 JRE に Tivoli Access Manager Java ランタイムを個別に構成します。

注: 必ず pdjrtecfg ユーティリティーを使用してください。PdJrteCfg Java クラスを直接使用しないでください。

例1. 次の例では、Tivoli Access Manager Java ランタイム・コンポーネントを構成します。

pdjrtecfg -action config -host sys123.acme.com -port 7135-java_home E:¥apps¥IBM¥Java131¥jre

2. 次の例では、Tivoli Access Manager Java ランタイム・コンポーネントを構成解除します。

pdjrtecfg -action unconfig -java_home E:¥apps¥IBM¥Java131¥jre-remove_common_jars



/opt/PolicyDirector/sbin/


C:¥Program Files¥Tivoli¥Policy Director¥sbin¥

デフォルト以外のインストール・ディレクトリーが選択された場合、このユーティリティーはインストール・ディレクトリーの下の sbin ディレクトリー (たとえば、install_dir¥sbin¥) にあります。







pd_startUNIX システム上でサーバーの停止、始動、および再始動を行います。サーバー状況も表示します。

注: Windows システムでは、Services フォルダーを使用します。

構文pd_start start [server_name ]

pd_start stop [server_name ]

pd_start restart [server_name ]

pd_start status [server_name ]

パラメーターrestart 構成済みのすべての Tivoli Access Manager サーバーを再始動しま

す。

start ローカル・システム上で現在稼働していないすべての Tivoli Access

Manager サーバーを始動します。

status 構成済みのすべての Tivoli Access Manager サーバー (稼働しているか停止しているもの) について、その状態を表示します。

stop ローカル・システム上で現在稼働していないすべての Tivoli Access

Manager サーバーを停止します。

コメントサーバー・プロセスの始動と停止は、通常、システムの始動時とシャットダウン時に実行される、自動化されたスクリプトによって行われます。 UNIX 環境では、pd_start 実行可能ファイルを使用して、手動でサーバー・プロセスの始動と停止を行うこともできます。この技法は、インストール・システムをカスタマイズする必要のある場合や、トラブルシューティング・タスクを実行する必要のある場合に役立ちます。

pd_start は、ローカル・マシン上でのサーバーの始動と停止のためにのみ使用できます。

可用性このコマンドは、UNIX システム上の次のデフォルト・インストール・ディレクトリーに置かれています。


デフォルト以外のインストール・ディレクトリーが選択された場合、このユーティリティーはインストール・ディレクトリーの下の bin ディレクトリー (たとえば、install_dir/bin/) にあります。








第 20 章応答ファイルの使用

応答ファイルを作成して、Tivoli Access Manager コンポーネントのインストールと構成を簡素化できます。応答ファイルは、コンポーネントのインストールと構成に必要な製品およびシステム情報が入っているテキスト・ファイルです。これは、無人 (サイレント) インストールを実行するのに役立ちます。このインストール・プロセスは、空欄に値を入力することを要求するプロンプトを出す代わりに、応答ファイルから情報を読み取ります。また、テキスト・エディターを使用してコンポーネントを追加したり、オプションをカスタマイズすることにより、将来のインストールで応答ファイルを再使用することができます。

応答ファイル・テンプレートの値を編集した後、次のようにしてスクリプトを実行します。

install_amrte -options filename

filename は、テンプレート・ファイルの名前です。次に例を示します。

install_amrte -options d:¥temp¥response

表 27 は、インストール・ウィザード・メソッドを使用して Tivoli Access Manager

Base システムをインストールするための、応答ファイル・テンプレートのリストです。これらのテンプレートは、サポートされているプラットフォーム用の IBM

Tivoli Access Manager Base CD の ¥rspfile ディレクトリーにあります。

表 27. インストール・ウィザードの応答ファイル・テンプレート

インストールおよび構成される TivoliAccess Manager Base システム:

テンプレート

Authorization server install_amacld.options.template

Application Development Kit (ADK) install_amadk.options.template

Java Runtime Environment install_amjrte.options.template

Policy Server install_ammgr.options.template

Policy Proxy Server install_amproxy.options.template

Runtime install_amrte.options.template

Web Portal Manager install_amwpm.options.template

IBM Tivoli Directory Server with IBM DB2 install_ldap_server.options.template

install_db2.options.template

以下の Tivoli Access Manager コンポーネントについては、ネイティブなインストール・ユーティリティーを使用する構成でも、応答ファイルを使用できます。

表 28. インストール・ウィザードの応答ファイル・テンプレート

Tivoli Access Manager のコンポーネントテンプレート

Access Manager Web Portal Manager (構成) amwpmcfg.rsp.template

Access Manager Java Runtime Environment

(構成)

pdjrtecfg.rsp.template


表 28. インストール・ウィザードの応答ファイル・テンプレート (続き)

Tivoli Access Manager のコンポーネントテンプレート

Access Manager Policy Proxy Server (構成) pdproxycfg.rsp.template

応答ファイル・テンプレート以下に示すのは、policy server システムをインストールおよび構成するための応答ファイルの作成に使用するテンプレートの例です。テンプレートを作成するために必要な構成オプションについては、 227ページの『第 15 章インストール・ウィザードのオプション』を参照してください。

################################################################################## InstallShield Options File Template## Wizard name: Setup# Wizard source: install_ammgr_setup.jar# Created on: Thu Oct 02 17:06:17 CDT 2003# Created by: InstallShield Options File Generator# Recorded for IBM Tivoli Access Manager 5.1## This file can be used to create an options file (i.e. response file) for the# wizard "Setup". Options files are used with "-options" on the command line to# modify wizard settings.## The settings that can be specified for the wizard are listed below. To use# this template, follow these steps:## 1. Enable a setting below by removing leading ’###’ characters from the# line (search for ’###’ to find settings you can change).## 2. Specify a value for a setting by replacing the characters ’<value>’.# Read each settings documentation for information on how to specify its# value.## 3. Save the changes to the file.## 4. To use the options file with the wizard, specify -options <file-name># as a command line argument to the wizard, where <file-name> is the name# of this options file.#################################################################################

################################################################################## User Input Field - regType## Enter the registry type. The valid options are: LDAP, Active Directory, or# Domino.#

### -W AMRTE_RegistryTypeUIPanel.regType="<value>"

################################################################################## Directory name## Specify the product’s installation directory.#

応答ファイルの使用


### -W GSKIT_DestinationPanel.productInstallLocation=<value>


### -W LDAPC_DestinationPanel.productInstallLocation=<value>


### -W AMRTE_DestinationPanel.productInstallLocation=<value>

################################################################################## User Input Field - useTcd## Enable Tivoli Common Logging (yes or no)#

### -W AM_TCDPanel.useTcd="<value>"

################################################################################## User Input Field - tcdDir## Tivoli Common Directory - full path#

### -W AM_TCDPanel.tcdDir="<value>"

################################################################################## User Input Field - hostName## Host name of the Policy Server in the secure domain.#

### -W AMRTE_ServerOptionsUIPanel.hostName="<value>"

################################################################################## User Input Field - listeningPort## Port on which the policy server listens.#

### -W AMRTE_ServerOptionsUIPanel.listeningPort="<value>"


第 20 章応答ファイルの使用 337

################################################################################## User Input Field - certFile## If the policy server allows the automatic download of the cerfificate file,# leave this option blank. Otherwise you must specify the file name here.#

### -W AMRTE_ServerOptionsUIPanel.certFile="<value>"

################################################################################## User Input Field - localDomain## Enter the local domain name. Use Default if you do not need to specify one.#

### -W AMRTE_ServerOptionsUIPanel.localDomain="<value>"

################################################################################## User Input Field - localHostName## Local host name with domain extension#

### -W AMRTE_ServerOptionsUIPanel.localHostName="<value>"

################################################################################## User Input Field - ldapHost## Host name of the IBM Directory server (LDAP)#

### -W AMRTE_LDAPOptionsUIPanel.ldapHost="<value>"

################################################################################## User Input Field - ldapPort## LDAP Listening Port#

### -W AMRTE_LDAPOptionsUIPanel.ldapPort="<value>"

################################################################################## User Input Field - enableSSL## Enable SSL communication with the LDAP server - yes or no#

### -W AMRTE_LDAPOptionsUIPanel.enableSSL="<value>"

################################################################################## User Input Field - multipleDomains#



# Use multiple domains for Active Directory configuration: 1=Yes or 0=No#

### -W AMRTE_ADServerInfoUIPanel.multipleDomains="<value>"

################################################################################## User Input Field - hostName## Active Directory host name#

### -W AMRTE_ADServerInfoUIPanel.hostName="<value>"

################################################################################## User Input Field - domainName##

### -W AMRTE_ADServerInfoUIPanel.domainName="<value>"

################################################################################## User Input Field - encryptedConnection## Enable encrypted connections with the Active Directory server: 1=Yes, 0=No#

### -W AMRTE_ADServerInfoUIPanel.encryptedConnection="<value>"

################################################################################## User Input Field - multipleDomains## Use multiple domains for Active Directory configuration: 1=Yes or 0=No#

### -W AMRTE_ADServerInfoDifDomUIPanel.multipleDomains="<value>"

################################################################################## User Input Field - hostName## Active Directory host name#

### -W AMRTE_ADServerInfoDifDomUIPanel.hostName="<value>"

################################################################################## User Input Field - domainName## Active Directory domain name#

### -W AMRTE_ADServerInfoDifDomUIPanel.domainName="<value>"

################################################################################



## User Input Field - enableSSL##

### -W AMRTE_ADServerInfoDifDomUIPanel.enableSSL="<value>"

################################################################################## User Input Field - adminId## Active Directory administrator id#

### -W AMRTE_ADAdminInfoUIPanel.adminId="<value>"

################################################################################## User Input Field - adminPwd## Active Directory administrator password#

### -W AMRTE_ADAdminInfoUIPanel.adminPwd="<value>"

################################################################################## User Input Field - sslKeyfile## Full path to the LDAP SSL client keyfile#

### -W AMRTE_SSLOptionsUIPanel.sslKeyfile="<value>"

################################################################################## User Input Field - sslKeyfilePassword## Password of the LDAP SSL client keyfile#

### -W AMRTE_SSLOptionsUIPanel.sslKeyfilePassword="<value>"

################################################################################## User Input Field - sslKeyfileLabel## LDAP SSL client keyfile label (DN) - only if required#

### -W AMRTE_SSLOptionsUIPanel.sslKeyfileLabel="<value>"

################################################################################## User Input Field - sslPort



## LDAP SSL port number#

### -W AMRTE_SSLOptionsUIPanel.sslPort="<value>"

################################################################################## User Input Field - distName## Access Manager data location: distinguished name#

### -W AMRTE_ADDataInfoUIPanel.distName="<value>"


### -W LDAPC_DestinationPanel_AD.productInstallLocation=<value>

################################################################################## User Input Field - dominoServer## Domino server name#

### -W AMRTE_DominoUIPanel.dominoServer="<value>"

################################################################################## User Input Field - notesClientPwd## Notes client password#

### -W AMRTE_DominoUIPanel.notesClientPwd="<value>"

################################################################################## User Input Field - nabDbName## NAB database name#

### -W AMRTE_DominoUIPanel.nabDbName="<value>"

################################################################################## User Input Field - amDbName#



# Access Manager database name#

### -W AMRTE_DominoUIPanel.amDbName="<value>"


### -W AMMGR_DestinationPanel.productInstallLocation=<value>

################################################################################## User Input Field - secmasterPwd##

### -W AMMGR_ConfigOptions.secmasterPwd="<value>"

################################################################################## User Input Field - secmasterPwdConfirm## Re-enter the password for confirmation.#

### -W AMMGR_ConfigOptions.secmasterPwdConfirm="<value>"

################################################################################## User Input Field - secmasterPort##

### -W AMMGR_ConfigOptions.secmasterPort="<value>"

################################################################################## User Input Field - SSLcertlife##

### -W AMMGR_ConfigOptions.SSLcertlife="<value>"

################################################################################## User Input Field - SSLtimeout##

### -W AMMGR_ConfigOptions.SSLtimeout="<value>"



################################################################################## User Input Field - ldapadminid##

### -W AMMGR_ConfigOptions.ldapadminid="<value>"

################################################################################## User Input Field - ldapadminpwd##

### -W AMMGR_ConfigOptions.ldapadminpwd="<value>"

################################################################################## User Input Field - enableSSL## Enable SSL - 1=Yes, 0=No#

### -W AMMGR_EnableSSLUIPanel.enableSSL="<value>"

################################################################################## User Input Field - sslKeyfile## Full path to the SSL client keyfile#

### -W AMMGR_SSLOptionsUIPanel.sslKeyfile="<value>"

################################################################################## User Input Field - sslKeyfilePassword## Password for the SSL client keyfile#

### -W AMMGR_SSLOptionsUIPanel.sslKeyfilePassword="<value>"

################################################################################## User Input Field - sslKeyfileLabel## SSL client keyfile label#

### -W AMMGR_SSLOptionsUIPanel.sslKeyfileLabel="<value>"

################################################################################



## User Input Field - sslPort## SSL port number#

### -W AMMGR_SSLOptionsUIPanel.sslPort="<value>"



特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM

の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒106-0032

東京都港区六本木 3-2-31

IBM World Trade Asia Corporation

Licensing

以下の保証は、国または地域の法律に沿わない場合は、適用されません。IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム（本プログラムを含む）との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。


IBM Corporation2Z4A/10111400 Burnet RoadAustin, TX 78758 U.S.A.

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、IBM より提供されます。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。

本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品などの名前が含まれている場合があります。これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。

著作権使用許諾:

本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・プラットフォームのアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。従って IBM は、これらのサンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。お客様は、IBM のアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、 IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。

それぞれの複製物、サンプル・プログラムのいかなる部分、またはすべての派生的創作物にも、次のように、著作権表示を入れていただく必要があります。

© (お客様の会社名) (西暦年). このコードの一部は、IBM Corp. のサンプル・プログラムから取られています。 © Copyright IBM Corp. _年を入れる_. All rights

reserved.


この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示されない場合があります。

製品と共に配布されているコードの一部は第三者から提供されており、これらには別の使用許諾条件があります。以下は、その条件です。

OpenSSL第三者の使用許諾条件、注意事項およびお知らせ本製品の使用許諾契約書には、本製品に含まれる第三者のソフトウェア・コードに適用される使用条件の詳細、および特定のソフトウェア・コードの使用権に基づき、 IBM がお客様にあらかじめお知らせしなければならない注意事項とその他のお知らせを記載しています。関連する使用許諾条件、注意事項、およびお知らせは、以下で提供もしくはご覧いただけます。下記使用許諾の英語以外のバージョンは、非公認であり、便宜のためにのみ提供されています。本書の英語バージョンの一部として提供される、以下のライセンスの英語バージョンのみが、正式に発表されているものです。

お客様が IBM あるいは他の関連会社 (総称して IBM といいます) との間で、たとえどのような使用条件を取り交わしていても、以下に示す第三者のソフトウェア・コードは「適用除外コンポーネント」であり、以下の条件が適用されます。

v 「適用除外コンポーネント」は、特定物として現状のままの状態で提供されます。

v IBM は、「適用除外コンポーネント」に関連して、法律上の瑕疵担保責任、商品性の保証および特定目的適合性の保証を含むすべての明示もしくは黙示の保証責任を負わないものとします。

– IBM は、「適用除外コンポーネント」に関するいかなる請求についても、お客様に対して賠償責任を負わないものとします。

– IBM は、「適用除外コンポーネント」に関するいかなる直接的、間接的、特別、偶発的、懲罰的、あるいは結果的損害に対しても責任を負わないものとします。

OpenSSL: 本プログラムには、OpenSSL Project (http://www.openssl.org/) によって現在開発されているソフトウェアが付属しています。 IBM は、以下に示すライセンスの使用許諾条件下で、OpenSSL ソフトウェアの大部分を取得しました。

LICENSE ISSUES==============

The OpenSSL toolkit stays under a dual license, i.e. both the conditions ofthe OpenSSL License and the original SSLeay license apply to the toolkit.See below for the actual license texts. Actually both licenses are BSD-styleOpen Source licenses. In case of any license issues related to OpenSSLplease contact [email protected].

OpenSSL License---------------

/* ====================================================================* Copyright (c) 1998-2003 The OpenSSL Project. All rights reserved.** Redistribution and use in source and binary forms, with or without* modification, are permitted provided that the following conditions* are met:** 1. Redistributions of source code must retain the above copyright

特記事項 347

* notice, this list of conditions and the following disclaimer.** 2. Redistributions in binary form must reproduce the above copyright* notice, this list of conditions and the following disclaimer in* the documentation and/or other materials provided with the* distribution.** 3. All advertising materials mentioning features or use of this* software must display the following acknowledgment:* "This product includes software developed by the OpenSSL Project* for use in the OpenSSL Toolkit. (http://www.openssl.org/)"** 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to* endorse or promote products derived from this software without* prior written permission. For written permission, please contact* [email protected].** 5. Products derived from this software may not be called "OpenSSL"* nor may "OpenSSL" appear in their names without prior written* permission of the OpenSSL Project.** 6. Redistributions of any form whatsoever must retain the following* acknowledgment:* "This product includes software developed by the OpenSSL Project* for use in the OpenSSL Toolkit (http://www.openssl.org/)"** THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT `ÀS IS’’ AND ANY* EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR* PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR* ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,* SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT* NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;* LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,* STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)* ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED* OF THE POSSIBILITY OF SUCH DAMAGE.* ====================================================================** This product includes cryptographic software written by Eric Young* ([email protected]). This product includes software written by Tim* Hudson ([email protected]).**/

Original SSLeay License

/* Copyright (C) 1995-1998 Eric Young ([email protected])* All rights reserved.** This package is an SSL implementation written* by Eric Young ([email protected]).* The implementation was written so as to conform with Netscapes SSL.** This library is free for commercial and non-commercial use as long as* the following conditions are aheared to. The following conditions* apply to all code found in this distribution, be it the RC4, RSA,* lhash, DES, etc., code; not just the SSL code. The SSL documentation* included with this distribution is covered by the same copyright terms* except that the holder is Tim Hudson ([email protected]).** Copyright remains Eric Young’s, and as such any Copyright notices in* the code are not to be removed.* If this package is used in a product, Eric Young should be given attribution* as the author of the parts of the library used.


* This can be in the form of a textual message at program startup or* in documentation (online or textual) provided with the package.** Redistribution and use in source and binary forms, with or without* modification, are permitted provided that the following conditions* are met:* 1. Redistributions of source code must retain the copyright* notice, this list of conditions and the following disclaimer.* 2. Redistributions in binary form must reproduce the above copyright* notice, this list of conditions and the following disclaimer in the* documentation and/or other materials provided with the distribution.* 3. All advertising materials mentioning features or use of this software* must display the following acknowledgement:* "This product includes cryptographic software written by* Eric Young ([email protected])"* The word ’cryptographic’ can be left out if the rouines from the library* being used are not cryptographic related :-).* 4. If you include any Windows specific code (or a derivative thereof) from* the apps directory (application code) you must include an acknowledgement:* "This product includes software written by Tim Hudson ([email protected])"** THIS SOFTWARE IS PROVIDED BY ERIC YOUNG `ÀS IS’’ AND* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE* ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF* SUCH DAMAGE.** The licence and distribution terms for any publically available version or* derivative of this code cannot be changed. i.e. this code cannot simply be* copied and put under another distribution licence* [including the GNU Public Licence.]*/

XML Parser Toolkit LicenseCopyright © 1998, 1999, 2000 Thai Open Source Software Center Ltd

Permission is hereby granted, free of charge, to any person obtaining a copy of this

software and associated documentation files (the ″Software″), to deal in the Software

without restriction, including without limitation the rights to use, copy, modify, merge,

publish, distribute, sublicense, and/or sell copies of the Software, and to permit

persons to whom the Software is furnished to do so, subject to the following

conditions:

The above copyright notice and this permission notice shall be included in all copies

or substantial portions of the Software.

THE SOFTWARE IS PROVIDED ″AS IS″, WITHOUT WARRANTY OF ANY

KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE

WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR

PURPOSE AND NONINFRINGEMENT.

IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE

FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN

特記事項 349

ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR

IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS

IN THE SOFTWARE.

Pluggable Authentication Module LicenseCopyright © 1995 by Red Hat Software, Marc Ewing Copyright (c) 1996-8, Andrew

G. Morgan <[email protected]>

All rights reserved

Redistribution and use in source and binary forms, with or without modification, are

permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice, and the

entire permission notice in its entirety, including the disclaimer of warranties.

2. Redistributions in binary form must reproduce the above copyright notice, this list

of conditions and the following disclaimer in the documentation and/or other

materials provided with the distribution.

3. The name of the author may not be used to endorse or promote products derived

from this software without specific prior written permission.

THIS SOFTWARE IS PROVIDED ″AS IS″’ AND ANY EXPRESS OR IMPLIED

WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED

WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR

PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE

FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR

CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,

PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,

DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND

ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT

LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING

IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF

THE POSSIBILITY OF SUCH DAMAGE.

Apache Axis ServletCopyright ©2002 The Apache Software Foundation. All rights reserved.



1. Redistributions of source code must retain the above copyright notice, this list of

conditions and the following disclaimer.




3. The end-user documentation included with the redistribution, if any, must include

the following acknowledgment: ″This product includes software developed by the


Apache Software Foundation (http://www.apache.org/).″ Alternately, this

acknowledgment may appear in the software itself, if and wherever such third-party

acknowledgments normally appear.

4. The names ″Apache Forrest″ and ″Apache Software Foundation″ must not be used

to endorse or promote products derived from this software without prior written

permission. For written permission, please contact [email protected].

5. Products derived from this software may not be called ″Apache″, nor may

″Apache″ appear in their name, without prior written permission of theApache

Software Foundation.

THIS SOFTWARE IS PROVIDED `ÀS IS’’ AND ANY EXPRESSED OR IMPLIED



PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE APACHE SOFTWARE

FOUNDATION OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT,

INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL

DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF

SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR

BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF

LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT

(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF

THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF

SUCH DAMAGE.

This software consists of voluntary contributions made by many individuals on behalf

of the Apache Software Foundation. For more information on the Apache Software

Foundation, please see http://www.apache.org/.

JArgs command line option parsing suite for JavaCopyright ©2001, Stephen Purcell All rights reserved.








3. Neither the name of the copyright holder nor the names of its contributors may be

used to endorse or promote products derived from this software without specific

prior written permission.

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND

CONTRIBUTORS ″AS IS″ AND ANY EXPRESS OR IMPLIED WARRANTIES,

INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF

MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE

DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE

特記事項 351

LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY,

OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,

PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,

DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND

ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT

LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING

IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF

THE POSSIBILITY OF SUCH DAMAGE.

Java DOM implementationCopyright © 2000-2002 Brett McLaughlin & Jason Hunter. All rights reserved.




conditions, and the following disclaimer.


of conditions, and the disclaimer that follows these conditions in the documentation

and/or other materials provided with the distribution.

3. The name ″JDOM″ must not be used to endorse or promote products derived from

this software without prior written permission. For written permission, please

contact [email protected].

4. Products derived from this software may not be called ″JDOM″, nor may ″JDOM″appear in their name, without prior written permission from the JDOM Project

Management ([email protected]).

5. In addition, we request (but do not require) that you include in the end-user

documentation provided with the redistribution and/or in the software itself an

acknowledgement equivalent to the following: ″This product includes software

developed by the JDOM Project (http://www.jdom.org/).″

6. In addition, we request (but do not require) that you include in the end-user

documentation provided with the redistribution and/or in the software itself an

acknowledgement equivalent to the following: ″This product includes software

developed by the JDOM Project (http://www.jdom.org/).″ Alternatively, the

acknowledgment may be graphical using the logos available at

http://www.jdom.org/images/logos.

THIS SOFTWARE IS PROVIDED `ÀS IS’’ AND ANY EXPRESSED OR IMPLIED



PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE JDOM AUTHORS OR

THE PROJECT CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT,

INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES

(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE

GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,

WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING


NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF

THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH

DAMAGE.

This software consists of voluntary contributions made by many individuals on behalf

of the JDOM Project and was originally created by Brett McLaughlin

([email protected]) and Jason Hunter ([email protected]). For more information on the

JDOM Project, please see http://www.jdom.org/.

Alfalfa SoftwareCopyright for Alfalfa Software Copyright 1990, by Alfalfa Software Incorporated,

Cambridge, Massachusetts.

All Rights Reserved

Permission to use, copy, modify, and distribute this software and its documentation for

any purpose and without fee is hereby granted, provided that the above copyright

notice appear in all copies and that both that copyright notice and this permission

notice appear in supporting documentation, and that Alfalfa’s name not be used in

advertising or publicity pertaining to distribution of the software without specific,

written prior permission.

ALFALFA DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS

SOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY

AND FITNESS, IN NO EVENT SHALL ALFALFA BE LIABLE FOR ANY

SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES

WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS,

WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER

TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE

OR PERFORMANCE OF THIS SOFTWARE.

KerberosCopyright for IBM Kerberos

Copyright (C) 1985-2001 by the Massachusetts Institute of Technology.

All rights reserved.

Export of this software from the United States of America may require a specific

license from the United States Government. It is the responsibility of any person or

organization contemplating export to obtain such a license before exporting.

WITHIN THAT CONSTRAINT, permission to use, copy, modify, and distribute this

software and its documentation for any purpose and without fee is hereby granted,

provided that the above copyright notice appear in all copies and that both that

copyright notice and this permission notice appear in supporting documentation, and

that the name of M.I.T. not be used in advertising or publicity pertaining to

distribution of the software without specific, written prior permission. Furthermore if

特記事項 353

you modify this software you must label your software as modified software and not

distribute it in such a fashion that it might be confused with the original MIT

software. M.I.T. makes no representations about the suitability of this software for any

purpose. It is provided ″as is″ without express or implied warranty.

THIS SOFTWARE IS PROVIDED `ÀS IS’’ AND WITHOUT ANY EXPRESS OR

IMPLIED WARRANTIES, INCLUDING, WITHOUT LIMITATION, THE IMPLIED


PURPOSE.

Individual source code files are copyright MIT, Cygnus Support, OpenVision, Oracle,

Sun Soft, FundsXpress, and others.

Project Athena, Athena, Athena MUSE, Discuss, Hesiod, Kerberos, Moira, and Zephyr

are trademarks of the Massachusetts Institute of Technology (MIT). No commercial

use of these trademarks may be made without prior written permission of MIT.

″Commercial use″ means use of a name in a product or other for-profit manner. It

does NOT prevent a commercial firm from referring to the MIT trademarks in order

to convey information (although in doing so, recognition of their trademark status

should be given).

InfoZipCopyright for InfoZip

Copyright (c) 1990-2002 Info-ZIP. All rights reserved.

For the purposes of this copyright and license, ″Info-ZIP″ is defined as the following

set of individuals: Mark Adler, John Bush, Karl Davis, Harald Denker, Jean-Michel

Dubois, Jean-loup Gailly, Hunter Goatley, Ian Gorman, Chris Herborth, Dirk Haase,

Greg Hartwig, Robert Heath, Jonathan Hudson, Paul Kienitz, David Kirschbaum,

Johnny Lee, Onno van der Linden, Igor Mandrichenko, Steve P. Miller, Sergio

Monesi, Keith Owens, George Petrov, Greg Roelofs, Kai Uwe Rommel, Steve

Salisbury, Dave Smith, Christian Spieler, Antoine Verheijen, Paul von Behren, Rich

Wales, Mike White

This software is provided ″as is,″ without warranty of any kind, express or implied.

In no event shall Info-ZIP or its contributors be held liable for any direct, indirect,

incidental, special or consequential damages arising out of the use of or inability to

use this software.

Permission is granted to anyone to use this software for any purpose, including

commercial applications, and to alter it and redistribute it freely, subject to the

following restrictions:

1. Redistributions of source code must retain the above copyright notice, definition,

disclaimer, and this list of conditions.

2. Redistributions in binary form (compiled executables) must reproduce the above

copyright notice, definition, disclaimer, and this list of conditions in documentation

and/or other materials provided with the distribution. The sole exception to this


condition is redistribution of a standard UnZipSFX binary as part of a

self-extracting archive; that is permitted without inclusion of this license, as long

as the normal UnZipSFX banner has not been removed from the binary or

disabled.

3. Altered versions--including, but not limited to, ports to new operating systems,

existing ports with new graphical interfaces, and dynamic, shared, or static library

versions--must be plainly marked as such and must not be misrepresented as being

the original source. Such altered versions also must not be misrepresented as being

Info-ZIP releases--including, but not limited to, labeling of the altered versions

with the names ″Info-ZIP″ (or any variation thereof, including, but not limited to,

different capitalizations), ″Pocket UnZip,″ ″WiZ,″ or ″MacZip″ without the explicit

permission of Info-ZIP. Such altered versions are further prohibited from

misrepresentative use of the Zip-Bugs or Info-ZIP e-mail addresses or of the

Info-ZIP URL(s).

4. Info-ZIP retains the right to use the names ″Info-ZIP,″ ″Zip,″ ″UnZip,″″UnZipSFX,″ ″WiZ,″ ″Pocket UnZip,″ ″Pocket Zip,″ and ″MacZip″ for its own

source and binary releases.

gSOAPPart of the software embedded in this product is gSOAP software.

Portions created by gSOAP are Copyright (C) 2001-2003 Robert A. van Engelen,

Genivia inc. All Rights Reserved.

THE SOFTWARE IN THIS PRODUCT WAS IN PART PROVIDED BY GSOAP

SOFTWARE AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING,

BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY

AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO

EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,

INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES

(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE

GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,

WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING

NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF

THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH

DAMAGE.

gSOAP source code is available under the terms of the gSOAP Public License and is

available at http://gsoap2.sourceforge.net.

A copy of the license is available at http://www.cs.fsu.edu/~engelen/soaplicense.html

Any terms in the IBM Tivoli Access Manager for e-business license that differ from

the gSOAP license are offered by IBM and not offered by the Initial Developer or

any Contributor originator of the gSOAP source code.

特記事項 355

Apache SoftwareApache software License Terms

Certain components include Apache Xalan, Xerces, FOP, and Log4J Library, which

are licensed under the following terms:

The Apache Software License, Version 1.1 Copyright (c) 1999 The Apache Software

Foundation. All rights reserved. Redistribution and use in source and binary forms,

with or without modification, are permitted provided that the following conditions are

met:






3. The end-user documentation included with the redistribution, if any, must include

the following acknowledgment: ″This product includes software developed by the

Apache Software Foundation (http://www.apache.org/).″ Alternately, this

acknowledgment may appear in the software itself, if and wherever such third-party

acknowledgments normally appear.

4. The names ″Xerces″ and ″Apache Software Foundation″ must not be used to

endorse or promote products derived from this software without prior written

permission. For written permission, please contact [email protected].

5. Products derived from this software may not be called ″Apache″, nor may

″Apache″ appear in their name, without prior written permission of the Apache

Software Foundation.

THIS SOFTWARE IS PROVIDED ″AS IS″ AND ANY EXPRESSED OR IMPLIED



PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE APACHE SOFTWARE

FOUNDATION OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT,

INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL

DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF

SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR

BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF

LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT

(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF

THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF

SUCH DAMAGE.

商標以下は、IBM Corporation の商標です。


AIX

DB2

IBM

IBM ロゴJ2EE

Lotus

Notes

MVS

OS/390

SecureWay

Tivoli

Tivoli ロゴUniversal Database

WebSphere

zSeries

z/OS

Java およびすべての Java 関連の商標およびロゴは、Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation

の米国およびその他の国における商標です。

UNIX は、The Open Group の米国およびその他の国における登録商標です。

他の会社名、製品名およびサービス名などはそれぞれ各社の商標または登録商標です。

特記事項 357


用語集

［ア行］アクション (action). アクセス・コントロール・リスト (ACL) 許可属性。アクセス・コントロール・リスト(ACL) も参照。

アクセス許可 (access permission). そのオブジェクト全体に適用されるアクセス権。

アクセス制御 (access control). コンピューター・セキュリティーで、許可ユーザーが許可された方法でのみコンピューター・システムのリソースにアクセスできるようにするプロセス。

アクセス・コントロール・リスト (access control list)(ACL). コンピューター・セキュリティーにおいて、オブジェクトへ関連付けられているリスト。そのオブジェクトにアクセスできるすべてのサブジェクトと、そのアクセス権限を識別する。たとえば、ファイルに関連付けられているアクセス・コントロール・リストは、ファイルにアクセスできるユーザーを識別し、さらに、そのファイルへのユーザーのアクセス権限を識別する。

暗号 (cipher). 鍵を使用してプレーン・データに変換(暗号化解除) されるまで判読できない、暗号化されたデータ。

暗号化 (encryption). コンピューター・セキュリティーにおいて、データを理解不能な形式に変換して、オリジナルのデータを入手できないようにするか、または暗号化解除プロセスを使用しなければ入手できないようにするプロセス。

インターネット・プロトコル (IP) (Internet protocol(IP)). インターネット・プロトコル・スイートで、データをネットワークまたは相互接続ネットワーク内で経路指定して、高位プロトコル層と物理ネットワークとの間の仲介として機能する、コネクションレス・プロトコル。

インターネット・プロトコル・スイート (Internet suiteof protocols). インターネット上で使用するために開発され、Internet Engineering Task Force (IETF) からRequests for Comment (RFC) として公開されている一連のプロトコル。

応答ファイル (response file). プログラムからの質問に対する応答セットを事前定義したファイル。それらの値を一度に 1 つずつ答える代わりに使用される。

［カ行］外部許可サービス (external authorization service).Tivoli Access Manager の許可決定チェーンの一部として、アプリケーションまたは環境固有の許可決定を行うために使用できる Authorization API ランタイム・プラグイン。お客様は許可 ADK を使用して、これらのサービスを開発できる。

鍵 (key). コンピューター・セキュリティーにおいて、データを暗号化または暗号化解除するために、暗号アルゴリズムで使用する一連のシンボル。秘密鍵 (private

key) および公開鍵 (public key) を参照。

鍵格納ファイル (key ring). コンピューター・セキュリティーにおいて、公開鍵、秘密鍵、トラステッド・ルート、および証明書が入ったファイル。

鍵データベース・ファイル (key database file). 鍵格納ファイル (key ring) を参照。

鍵ファイル (key file). 鍵格納ファイル (key ring) を参照。

鍵ペア (key pair). コンピューター・セキュリティーにおいて、公開鍵および秘密鍵。鍵ペアを暗号化に使用する場合、送信側は公開鍵を使用してメッセージを暗号化し、受信側は秘密鍵を使用してそのメッセージを暗号化解除する。鍵ペアを署名に使用する場合、署名者は秘密鍵を使用してメッセージの表現を暗号化し、受信側は公開鍵を使用してそのメッセージの表現を暗号化解除して、署名を検証する。

仮想ホスト機能 (virtual hosting). 1 台の Web サーバーがインターネットに対して複数のホストとして現れる機能。

管理サーバー (management server). 廃止された用語。ポリシー・サーバー (policy server) を参照。

管理サービス (administration service). Tivoli Access

Manager リソース・マネージャー・アプリケーションで管理要求を実行するために使用できる Authorization API

ランタイム・プラグイン。管理サービスは pdadmin コマンドからのリモート要求に応答して、保護オブジェクト・ツリーにある特定ノードの下のオブジェクトをリストするなどのタスクを実行する。お客様は許可 ADK を使用して、これらのサービスを開発できる。


管理ドメイン (management domain). Tivoli Access

Manager が認証、許可、およびアクセス制御に関するセキュリティー・ポリシーを実施するデフォルト・ドメイン。このドメインは policy server が構成されるときに作成される。ドメイン (domain) も参照。

規則 (rule). イベント・サーバーがイベント間の関係(イベント相関) を認識し、それぞれに自動応答を実行するイベント・サーバー使用可能にする 1 つ以上の論理ステートメント。

基本認証 (basic authentication). 有効なユーザー名とパスワードを入力しなければ、保護されたオンライン・リソースへのアクセスを認可されないようにする認証方式。

許可 (authorization). (1) コンピューター・セキュリティーにおいて、ユーザーに付与された、コンピューター・システムと通信する権限、またはコンピューター・システムを利用する権利。 (2) ユーザーにオブジェクト、リソース、または機能に対する完全または制限付きアクセスを認可するプロセス。

許可 (permission). ファイルやディレクトリーのような、保護オブジェクトにアクセスできる機能。オブジェクトに対する許可の数と意味は、アクセス・コントロール・リストに (ACL) よって定義される。アクセス・コントロール・リスト (ACL) も参照。

許可規則 (authorization rule). 規則 (rule) を参照。

許可サービス・プラグイン (authorization serviceplug-in). 動的にロード可能なライブラリー (DLL または共用) の 1 つで、 Authorization API 内でサービス・インターフェースを拡張する操作を実行するために、初期設定時に Tivoli Access Manager Authorization API ランタイム・クライアントによってロードすることができる。現在使用可能なサービス・インターフェースには、管理、外部許可、信任状変更、資格、および PAC 操作の各インターフェースがある。お客様は許可 ADK を使用して、これらのサービスを開発できる。

グローバル・サインオン (GSO) (global signon(GSO)). ユーザーがバックエンド Web アプリケーション・サーバーに代替のユーザー名とパスワードを提供できるようにする、柔軟なシングル・サインオン・ソリューション。グローバル・サインオンは、ユーザーに、許可されたコンピューター・リソースへのアクセス権を1 回のログインで付与する。 GSO は複数のシステムおよびアプリケーションからなる異機種混合の分散コンピューティング環境を持つ大規模エンタープライズ向けに設計されており、ユーザーは複数のユーザー名とパスワードを管理する必要がない。シングル・サインオン(single signon) も参照。

クロスドメイン認証サービス (CDAS) (cross domainauthentication service (CDAS)). 共用ライブラリー・メカニズムを提供する WebSEAL サービス。これにより、デフォルトの WebSEAL 認証メカニズムを、WebSEAL に Tivoli Access Manager ID を戻すカスタム・プロセスで代用できる。 WebSEAL も参照。

クロスドメイン・マッピング・フレームワーク (CDMF)(cross domain mapping framework (CDMF)).WebSEAL e-Community SSO 機能が使用されたときに、開発者がユーザー ID のマッピングとユーザー属性の処理をカスタマイズできるようにするプログラミング・インターフェース。

公開鍵 (public key). コンピューター・セキュリティーにおいて、誰でも使用できる鍵。秘密鍵 (private key)

と対比。

構成 (configuration). (1) 情報処理システムのハードウェアとソフトウェアが編成され、相互接続される方法。 (2) システム、サブシステム、またはネットワークを構成するマシン、デバイス、およびプログラム。

コモン・ゲートウェイ・インターフェース (CGI)(common gateway interface (CGI)). HTTP 要求を介して Web サーバーとアプリケーション・プログラムとの間で情報を受け渡すスクリプトを定義するためのインターネット標準。CGI スクリプトは、Perl などのスクリプト記述言語で書かれた CGI プログラム。

コンテナー・オブジェクト (container object). オブジェクト・スペースを個別の機能領域に編成する構造上の指定。

［サ行］サービス (service). サーバーによって実行される作業。サービスは、データを (ファイル・サーバー、HTTP

サーバー、E メール・サーバー、および finger サーバーを使用して) 送信または保管する単純な要求の場合もあれば、プリント・サーバーやプロセス・サーバーなどのより複雑な作業の場合もある。

サイレント・インストール (silent installation). コンソールにメッセージを送らない代わりに、メッセージとエラーをログ・ファイルに保管するインストール。また、サイレント・インストールでは、データ入力に応答ファイルを使用できる。応答ファイル (response file) も参照。

サフィックス (suffix). ローカル側に保持されているディレクトリー階層の最上位エントリーを識別する識別名。 Lightweight Directory Access Protocol (LDAP) では相対命名方式が使用されるため、このサフィックスは、


そのディレクトリー階層内にあるその他すべてのエントリーに適用される。 1 つのディレクトリー・サーバーが複数のサフィックスを持ち、それぞれがローカルに保持されているディレクトリー階層を識別する場合もある。

資格 (entitlement). 外部化されたセキュリティー・ポリシー情報が入ったデータ構造。資格には、特定のアプリケーションにだけ分かる方法でフォーマットされたポリシー・データまたは機能が入っている。

資格サービス (entitlement service). プリンシパルの外部ソースまたは一連の条件から資格を戻すために使用できる Authorization API ランタイム・プラグイン。通常、資格はアプリケーション固有のデータであり、何らかの方法でリソース・マネージャー・アプリケーションによって処理されるか、プリンシパルの信任状へ追加され、その後の許可プロセスで使用される。お客様は許可ADK を使用して、これらのサービスを開発できる。

識別名 (DN) (distinguished name (DN)). ディレクトリー内のエントリーを一意に識別する名前。識別名は、属性:値というペアで構成され、コンマで区切られる。

自己登録 (self-registration). ユーザーが管理者の介入なしに、必要なデータを入力して Tivoli Access Manager

の登録ユーザーになるプロセス。

ジャンクション (junction). フロントエンド WebSEAL

サーバーとバックエンド Web アプリケーション・サーバーとの間の HTTP または HTTPS 接続。 WebSEAL

はジャンクションを使用してバックエンド・サーバーに代わって保護サービスを提供する。

証明書 (certificate). コンピューター・セキュリティーにおいて、公開鍵を証明書の所有者の身元に結合して、証明書の所有者を認証可能にするディジタル文書。証明書は認証局から発行される。

シングル・サインオン (SSO) (Single Signon(SSO)). 各アプリケーションに別々にログオンせずに、一度ログオンするだけで、複数のアプリケーションにアクセスすることができるユーザー機能。グローバル・サインオン (global signon) も参照。

信任状 (credentials). ユーザー、すべてのグループ・アソシエーション、および他のセキュリティー関連の一致属性を記述する、認証の際に獲得される詳細情報。信任状を使用して、許可、監査、代行などの多くのサービスを実行できる。

信任状変更サービス (credentials modificationservice). Tivoli Access Manager 信任状を変更するために使用できる Authorization API ランタイム・プラグイン。ユーザーによって外部で開発された信任状変更サ

ービスは、信任状属性リストへの追加や削除を行うだけに制限され、変更可能と見なされている属性だけを操作できる。

スキーマ (schema). データベースの構造を完全に記述する、データ定義言語で表現されたステートメントの集合。リレーショナル・データベースでは、スキーマがテーブル、各テーブル内のフィールド、およびフィールドとテーブルとの間の関係を定義する。

スケーラビリティー (scalability). リソースにアクセスするユーザー数の増加に対するネットワーク・システムの対応能力。

ステップアップ認証 (step-up authentication). 事前に構成された認証レベル階層に基づき、リソースに設定されたポリシーに従って特定のレベルの認証を実行する保護オブジェクト・ポリシー (POP)。ステップアップ認証 POP では、ユーザーは複数レベルの認証を使用せずに任意のリソースにアクセスできるが、リソースを保護しているポリシーによって必要とされるレベルか、それ以上のレベルで認証を行う必要がある。

セキュリティー管理 (security management). ビジネスを成功させる上で重要なアプリケーションやデータへのアクセスを制御する組織の能力を対象にした、管理規律。

接続 (connection). (1) データ通信で、情報を伝達するために機能単位の間で確立される関連付け。 (2)

TCP/IP で、2 つのプロトコル・アプリケーション間で信頼性のあるデータ・ストリーム送達サービスを提供するパス。インターネットでは、あるシステム上の TCP

アプリケーションから別のシステム上の TCP アプリケーションに接続が拡張される。 (3) システム通信で、2

つのシステム間またはシステムとデバイスとの間でデータを渡すための回線。

属性リスト (attribute list). 権限を決定するための拡張情報が入ったリンク・リスト。属性リストは、一連のname = value のペアで構成される。

［タ行］多重プロキシー・エージェント (MPA) (multiplexingproxy agent (MPA)). 複数のクライアント・アクセスに対応できるゲートウェイ。これらのゲートウェイは、クライアントが Wireless Access Protocol (WAP) を使用してセキュア・ドメインにアクセスする場合には、WAP

ゲートウェイと呼ばれることもある。ゲートウェイは、起点サーバーへの単一の認証済みチャネルを確立し、そのチャネルを通じたすべてのクライアント要求と応答のトンネルになる。

用語集 361

デーモン (daemon). 継続的または定期的に、ネットワーク制御のようなシステム全体の機能を処理するために不在で実行されるプログラム。自動的に起動されてタスクを実行するデーモンと、定期的に実行されるデーモンがある。

ディジタル・シグニチャー (digital signature).e-commerce では、データ単位に付加されたデータ、またはデータ単位で暗号に変換されたデータ。データ単位の受信側はこれを使用して、そのデータ単位のソースや保全性を検証したり、偽造の可能性を検知したりできる。

ディレクトリー・スキーマ (directory schema). ディレクトリーに表示できる有効な属性タイプとオブジェクト・クラス。これらの属性タイプとオブジェクト・クラスは、属性値の構文と、どの属性が存在する必要があるか、およびどの属性がディレクトリーについて存在できるかを定義する。

トークン (token). (1) ローカル・エリア・ネットワークで、伝送メディアを一時的に制御しているステーションを識別するために、 1 つのデータ・ステーションから別のデータ・ステーションに継続的に渡される権限のシンボル。各データ・ステーションには、トークンを取得してメディアを制御するために使用する機会がある。トークンは、伝送する許可を知らせる特定のメッセージすなわちビット・パターンである。 (2) ローカル・エリア・ネットワーク (LAN) において、伝送メディア経由で 1 つのデバイスから別のデバイスに渡されるビットのシーケンス。トークンは、データが付加されると、フレームになる。

特権属性証明書 (privilege attribute certificate). プリンシパルの認証と許可属性、およびプリンシパルの能力が記載されているディジタル文書。

特権属性証明書サービス (privilege attributecertificate service). 所定のフォーマットの PAC をTivoli Access Manager 信任状に、またはその逆に変換する Authorization API ランタイム・クライアント・プラグイン。これらのサービスを使用して、Tivoli Access

Manager 信任状を他のセキュア・ドメイン・メンバーへの伝送用にパッケージしたりマーシャルしたりすることもできる。お客様は許可 ADK を使用して、これらのサービスを開発できる。特権属性証明書 (privilege attribute

certificate) も参照。

ドメイン (domain). (1) 共通のサービスを共有するユーザー、システムおよびリソースの論理的なグループで、通常は共通の目的で機能する。 (2) コンピューター・ネットワークで、データ処理リソースが共通制御される部分。ドメイン名 (domain name) も参照。

ドメイン名 (domain name). インターネット・プロトコル・スイートにおける、ホスト・システムの名前。ドメイン名は、区切り文字で区切られた一連のサブネームで構成される。たとえば、ホスト・システムの完全修飾ドメイン名 (FQDN) が as400.rchland.vnet.ibm.com の場合、 as400.rchland.vnet.ibm.com、vnet.ibm.com、ibm.com

はそれぞれドメイン名。

トラステッド・ルート (trusted root). Secure Sockets

Layer (SSL) において、公開鍵とそれに関連付けられた認証局 (CA) の識別名。

［ナ行］認証 (authentication). (1) コンピューター・セキュリティーにおける、ユーザーの ID の確認、またはオブジェクトにアクセスするユーザーの適格性の確認。 (2) コンピューター・セキュリティーにおける、メッセージが変更または破壊されていないことの確認。 (3) コンピューター・セキュリティーにおいて、情報システムまたは保護リソースのユーザーを確認するプロセス。マルチファクター認証 (multi-factor authentication)、ネットワーク型認証 (network-based authentication)、およびステップアップ認証 (step-up authentication) も参照。

認証局 (CA) (certificate authority (CA)). 証明書を発行する組織。認証局は、証明書の所有者の身元とその所有者が使用を許可されているサービスとの認証、新規の証明書の発行、既存の証明書の更新、および使用が許可されなくなったユーザーに属する証明書の取り消しを行う。

ネットワーク型認証 (network-basedauthentication). ユーザーのインターネット・プロトコル (IP) アドレスに基づいて、オブジェクトへのアクセスを制御する保護オブジェクト・ポリシー (POP)。保護オブジェクト・ポリシー (protected object policy) も参照。

［ハ行］バインド (bind). ID をプログラム内の他のオブジェクトに関連付けること。たとえば、ID を値、アドレス、または他の ID に関連付けたり、形式的なパラメーターと実パラメーターとを関連付けること。

ビジネス資格 (business entitlement). ユーザー信任状の補足属性で、リソースに対する許可要求で使用できるきめの細かい条件を記述する。

秘密鍵 (private key). コンピューター・セキュリティーにおいて、所有者だけが知っている鍵。公開鍵 (public

key) と対比。


ファイル転送プロトコル (FTP) (File TransferProtocol (FTP)). インターネット・プロトコル・スイートにおいて、伝送制御プロトコル (TCP) およびTelnet サービスを使用してマシンまたはホスト相互間でバルク・データ・ファイルを転送するためのアプリケーション層プロトコル。

ブレード (blade). アプリケーション固有のサービスとコンポーネントを提供するコンポーネント。

プロセス間通信 (IPC) (interprocess communication(IPC)). (1) プログラムがデータを互いに通信し、そのアクティビティーを同期化するプロセス。セマフォー、シグナル、および内部メッセージ・キューはプロセス間通信の共通メソッド。 (2) 同じコンピューター内、またはネットワークを介して、プロセスが相互に通信できるようにするオペレーティング・システムのメカニズム。

ポータル (portal). リンク、コンテンツ、またはサービスなど、特定のユーザーが使用できる Web リソースのカスタマイズされたリストを、そのユーザーのアクセス許可に基づいて動的に生成する統合 Web サイト。

ポーリング (polling). データベースが、決められた間隔で、データを転送する必要があるかどうかを判別するために問い合わせるプロセス。

保護オブジェクト (protected object). ACL およびPOP の適用とユーザー・アクセスの許可に使用される実際のシステム・リソースの論理表記。保護オブジェクト・ポリシー (protected object policy) および保護オブジェクト・スペース (protected object space) も参照。

保護オブジェクト・スペース (protected objectspace). ACL および POP の適用とユーザー・アクセスの許可に使用される実際のシステム・リソースの仮想オブジェクト表記。保護オブジェクト (protected object)

および保護オブジェクト・ポリシー (protected object

policy) も参照。

保護オブジェクト・ポリシー (POP) (protected objectpolicy (POP)). 保護オブジェクトにアクセスするための ACL ポリシーによって許可される操作に追加の条件を課すセキュリティー・ポリシーのタイプ。POP 条件を適用するのはリソース・マネージャーの役割。アクセス・コントロール・リスト (access control list)、保護オブジェクト (protected object)、および保護オブジェクト・スペース (protected object space) も参照。

保護品質 (quality of protection). 認証、保全性、およびプライバシー条件の組み合わせによって決定される、データ・セキュリティーのレベル。

ホスト (host). ネットワーク (インターネットまたはSNA ネットワークなど) に接続され、そのネットワーク

へのアクセス・ポイントを提供するコンピューター。環境によっては、ホストはネットワークを中央制御することもある。ホストは、クライアントまたはサーバーとして機能し、さらにクライアントとサーバーの機能を同時に果たすことができる。

ポリシー (policy). 管理対象リソースに適用される規則の集合。

ポリシー・サーバー (policy server). セキュア・ドメイン内の他のサーバーに関するロケーション情報を保守する Tivoli Access Manager サーバー。

［マ行］マイグレーション (migration). プログラムの新しいリリースやバージョンをインストールして、以前のバージョンやリリースを置き換えること。

マルチファクター認証 (multi-factor authentication).ユーザーが複数のレベルの認証を使用して認証を行うことを強制する保護オブジェクト・ポリシー (POP)。たとえば、保護リソースのアクセス制御では、ユーザーの認証に、ユーザー名 / パスワードおよびユーザー名 / トークン・パスコードの両方が必要な場合がある。保護オブジェクト・ポリシー (protected object policy) も参照。

メタデータ (metadata). 保管されたデータの特性を記述したデータ。

［ヤ行］役割の活動化 (role activation). 役割にアクセス許可を適用するプロセス。

役割の割り当て (role assignment). ユーザーに役割を割り当てるプロセス。たとえば、役割に定義されたオブジェクトへの適切なアクセス許可をユーザーに持たせるなど。

ユーザー (user). 他者が提供するサービスを使用する、個人、組織、プロセス、デバイス、プログラム、プロトコル、またはシステム。

ユーザー・レジストリー (user registry). レジストリー (registry) を参照。

［ラ行］ランタイム (run time). コンピューター・プログラムが実行されている期間。ランタイム環境は、実行環境。

用語集 363

リソース・オブジェクト (resource object). サービス、ファイル、プログラムなど、実際のネットワーク・リソースを表したもの。

ルーティング・ファイル (routing file). メッセージの構成を制御するコマンドが入った ASCII ファイル。

レジストリー (registry). ユーザー、システム、およびソフトウェアのアクセスおよび構成情報を持つデータ・ストア。

レプリカ (replica). 別のサーバーのディレクトリー(単数または複数) のコピーを含んでいるサーバー。レプリカは、サーバーをバックアップし、パフォーマンスと応答時間を向上させ、データ保全性を確保する。

A

ACL. アクセス・コントロール・リスト (access control

list) を参照。

B

BA. 基本認証 (basic authentication) を参照。

C

CA. 認証局 (certificate authority) を参照。

CDAS. クロスドメイン認証サービス (Cross Domain

Authentication Service) を参照。

CDMF. クロスドメイン・マッピング・フレームワーク(Cross Domain Mapping Framework) を参照。

CGI. コモン・ゲートウェイ・インターフェース(common gateway interface) を参照。

Cookie. サーバーがクライアント・マシン上に保管し、以降のセッションのときにアクセスする情報。Cookies を使用すると、サーバーはクライアントに関する特定の情報を覚えておくことができる。

D

DN. 識別名 (distinguished name) を参照。

E

EAS. 外部許可サービス (External Authorization

Service) を参照。

G

GSO. グローバル・サインオン (global signon) を参照。

H

HTTP. Hypertext Transfer Protocol (HTTP) を参照。

Hypertext Transfer Protocol (HTTP). インターネット・プロトコル・スイートで、ハイパーテキスト文書の転送と表示に使用されるプロトコル。

I

IP. インターネット・プロトコル (IP) (Internet

Protocol (IP))。

IPC. プロセス間通信 (Interprocess Communication) を参照。

L

LDAP. Lightweight Directory Access Protocol (LDAP)

を参照。

Lightweight Directory Access Protocol (LDAP) .(a) TCP/IP を使用して X.500 モデルをサポートするディレクトリーへのアクセスを提供し、 (b) より複雑なX.500 Directory Access Protocol (DAP) のリソース要件に制約されない、オープン・プロトコル。 LDAP を使用するアプリケーション (ディレクトリー対応アプリケーションとして知られる) は、共通データ・ストアとして、また、人物やサービスに関する情報 (E メール・アドレス、公開鍵、サービス固有の構成パラメーターなど)

を検索するために、このディレクトリーを使用できる。LDAP は本来 RFC 1777 で仕様化されている。 LDAP

バージョン 3 は RFC 2251 で仕様化され、IETF は標準機能を追加する作業を続けている。 IETF が定義したLDAP の標準スキーマの一部は、RFC 2256 に含まれている。

Lightweight Third Party Authentication (LTPA). インターネット・ドメイン内にある一連の Web サーバー全体にシングル・サインオンできるようにする認証フレームワーク。

LTPA. Lightweight Third Party Authentication (LTPA)

を参照。


P

PAC. 特権属性証明書 (privilege attribute certificate) を参照。

POP. 保護オブジェクト・ポリシー (protected object

policy) を参照。

R

RSA 暗号化 (RSA encryption). 暗号化と認証のために使用される公開鍵暗号化用のシステム。 1977 年にRon Rivest、Adi Shamir、および Leonard Adleman によって発明された。このシステムのセキュリティーは、2

つの大きな素数の積を因数分解する際の難しさに依存している。

S

Secure Sockets Layer (SSL). 通信プライバシーを提供するセキュリティー・プロトコル。 SSL により、クライアント/サーバー・アプリケーションは盗聴、改ざん、およびメッセージ偽造を防止するように設計された方法で通信できる。 SSL は、Netscape Communications

Corp. と RSA Data Security, Inc. によって開発された。

SSL. Secure Sockets Layer (SSL) を参照。

SSO. シングル・サインオン (Single Signon) を参照。

U

Uniform Resource Identifier (URI). リソースの名前(ディレクトリー名とファイル名)、リソースのロケーション (そのディレクトリー名とファイル名が存在するコンピューター)、およびリソースへのアクセス方法(HTTP のようなプロトコル) を含む、インターネット上のコンテンツを識別するために使用される文字ストリング。URI の例は、Uniform Resource Locator、すなわちURL。

Uniform Resource Locator (URL). コンピューター上またはインターネットなどのネットワーク内の情報リソースを表す一連の文字。この文字ストリングには、(a)

情報リソースにアクセスするために使用されるプロトコルの省略名、および、 (b) 情報リソースを見つけるためにプロトコルによって使用される情報が含まれる。たとえば、インターネットのコンテキストでは、これらは各種の情報リソースにアクセスするためのプロトコルの省略名 (http、ftp、gopher、telnet、および news) であり、IBM ホーム・ページの URL は http://www.ibm.com。

URI. Uniform Resource Identifier (URI) を参照。

URL. Uniform Resource Locator (URL) を参照。

W

Web Portal Manager (WPM). セキュア・ドメイン内で Tivoli Access Manager Base および WebSEAL セキュリティー・ポリシーの管理に使用される Web ベースのグラフィカル・アプリケーション。 pdadmin コマンド行インターフェースに代わるものとして、この GUI

ではリモート管理者アクセスが可能であり、管理者は代行ユーザー・ドメインを作成し、それらのドメインに代行管理者を割り当てることができる。

WebSEAL. Tivoli Access Manager ブレードの 1 つ。WebSEAL は高性能のマルチスレッド Web サーバーであり、保護されたオブジェクト・スペースにセキュリティー・ポリシーを提供する。 WebSEAL は、シングル・サインオン・ソリューションを提供でき、バックエンド Web アプリケーション・サーバー・リソースをそのセキュリティー・ポリシーの中に取り込むことができる。

WPM. Web Portal Manager を参照。

用語集 365


索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］アンインストール言語サポート 39

インストール概要 3

計画 1

言語サポート 35, 37

コンポーネント 6

コンポーネントの説明 6

ネイティブ・ユーティリティー 17

プロセス 18

方法 16

レジストリー・サーバー 47

Base システム 45

IBM Tivoli Directory Server 48

インストールの計画 1

インストール・ウィザード概要 16

構成オプション 227

シナリオ 205

リスト 16

install_amacld 107

install_amadk 115

install_amjrte 123

install_ammgr 97

install_ampfs 16

install_amproxy 131

install_amrte 139

install_amwpm 147

install_ldap_server 50

ウィザード、インストールインストール・ウィザードを参照 16

応答ファイル 335

オペレーティング・システム、サポートされる 26

［カ行］開発 (ADK) システムサポートされているプラットフォーム 12

必要なコンポーネント 12

概要インストール 3

インストール・ウィザード 16

セキュア・ドメイン 5

概要 (続き)

プロビジョニング・ファースト・スタート (Provisioning

Fast Start) 8

ADK 6

Authorization server 6

GSKit 9

IBM JRE 9

IBM Tivoli Directory Client 9


Java Runtime Environment 6

policy proxy server 7

Policy Server 7

Runtime 7

Web Administration Tool 10

Web Portal Manager 8

WebSphere Application Server 10

鍵データベース・ファイル 260, 278, 281

関連資料 xiii

局、認証 261, 282

言語サポート概要 34

コード・セット 43

メッセージ・カタログ 42

ロケール変数 39

ロケール名UNIX 40

Windows 40

ロケール・バリアント、インプリメント 41

言語サポート、アンインストール 39

言語サポート、インストール 35, 37

言語の設定、変更 40

コード・セット言語サポート 43

ファイル・ディレクトリー 43

コード・セット・ファイルの場所 43

構成IBM Tivoli Directory Server 66

構成オプション、インストール 227

後方互換性 30

互換性、後方 30

国際化対応 33

言語サポート 34, 37, 39

コード・セット 43

メッセージ・カタログ 42

ロケール変数 39

ロケール・バリアント 41

個人証明書 260, 261, 282

コンポーネントインストール 6

前提条件 9

必要 11


コンポーネント (続き)

Base 6

コンポーネントのアンインストールAIX での 201

HP-UX での 201

Linux での 202

Solaris での 203

Windows での 204

コンポーネントの構成解除 199

［サ行］サーバーおよびクライアント認証 259, 281

サーバー証明書 274, 276

サーバー認証 259

サイレント・インストール 335

サフィックス 71

サポートハードウェア・アクセラレーション・カード 31

サポートされているプラットフォーム 11

サポートされるプラットフォーム、必須パッチ 26

レジストリー 19

自己署名証明書 262, 283

自己署名証明書の作成 262, 283

自己署名証明書の抽出 262, 283

システム、タイプ 11

システム要件 19

後方互換性 30

サポートされるレジストリー 19

ディスク・スペースとメモリー 24

ハードウェア・アクセラレーション・カードのサポート 31

パッチ 26

プラットフォーム 26

Active Directory 22

IBM Security Server for OS/390 22


IBM z/OS Security Server LDAP サーバー 22

iPlanet Directory 23

Lotus Domino 22

Novell eDirectory 23

Sun ONE Directory 23


シナリオ、インストール・ウィザード 205

証明書権限 261, 282

個人 260, 261, 282

サーバー 274, 276

自己署名 262, 283

署名者証明書証明書署名者 279, 284

スタンバイ policy server、セットアップ 287

セキュア・ドメイン、概要 5

セットアップレジストリー・サーバー 47

セットアップ (続き)

GSKit iKeyman ユーティリティー 168


説明、コンポーネント 6

前提条件製品 9

［タ行］地域の設定、Windows での 40

データの抽出 319

データのバックアップ 319

データの復元 319

ディスク・スペースおよびメモリー所要量 24

テキスト・エンコード方式コード・セットを参照 43

デプロイメント計画 4

デプロイメントの計画 4

統合、Tivoli Identity Manager 8

ドメイン、セキュア 5

［ナ行］認証サーバー 259

サーバーおよびクライアント 259, 281

ネイティブ・インストール概要 17

［ハ行］ハードウェア・アクセラレーション・カードのサポート 31

パッケージの除去AIX での 201

パッチ、プラットフォーム固有の 26

バリアント、言語ロケール 41


ファイル鍵データベース 278, 281

鍵データベース (.kdb) 260

鍵データベース・ファイル (.kdb) 261

gsk7ikm.exe 261, 278, 281, 283

プラットフォーム、サポートされている 11

プラットフォーム固有の必須パッチ 26

プロセス、インストール 18

プロビジョニング・ファースト・スタート (Provisioning Fast

Start)、概要 8

変数ロケール変数 39

LANG

UNIX 40

Windows 40

NLSPATH

使用 42

方法、インストール 16


［マ行］メッセージ・カタログ言語ディレクトリー 42

国際化対応 42

メモリーおよびディスク・スペース所要量 24

［ヤ行］ユーティリティー 313

amwpmcfg 314

ivrgy_tool 317

pdbackup 319

pdconfig 328

pdinfo (使用すべきでない) 319

pdinfo (使用すべきでない)、pdbackup 参照 319

pdjrtecfg 329

pd_start 333

要件、システム 26

システム要件を参照 19

［ラ行］レジストリー、サポートされる 19

レジストリー・サーバー、セットアップ 47

ロケール名UNIX 40

Windows 40

ロケール・バリアント 41

AActive Directory

要件 22

ADK

アンインストールAIX での 201

HP-UX での 201

Linux での 202

Solaris での 203

Windows での 204

インストールウィザードの使用 115

AIX での 116

HP-UX での 117

Linux での 118

Solaris での 119

Windows での 121

ウィザードの構成オプション 239

AIX

インストールスタンバイ policy server 287

ADK 116


GSKit 165

AIX (続き)

インストール (続き)

IBM JRE 175




Policy Proxy Server 132

Policy Server 98

Runtime 141




コンポーネントのアンインストール 201

パッケージのアンインストール 201

パッケージの除去 201

amwpmcfg ユーティリティー 314

Authorization Server


HP-UX での 201

Linux での 202

Solaris での 203

Windows での 204

pdconfig オプション 254

Authorization server


AIX での 108

HP-UX での 109

Linux での 110

Solaris での 112

Windows での 113


概要 6



BBase システムのインストール 45

Base、コンポーネント 6

GGlobal Security Kit

GSKit を参照 9

gsk7ikm ファイル 261, 278, 281, 283

GSKit


HP-UX での 201

Linux での 202

Solaris での 203

Windows での 204

索引 369

GSKit (続き)

インストールAIX での 165

HP-UX での 166

Linux での 166

Solaris での 167

Windows での 168

概要 9

iKeyman のセットアップ 168

HHACMP ソフトウェア 287

HP-UX

インストールADK 117


GSKit 166

IBM JRE 176





Policy Server 100

Runtime 142

Tivoli Access Manager パッケージ 100, 109, 117, 133,

142






IIBM JRE

インストールHP-UX での 176

IBM JRE 175

Linux での 176

Solaris での 177

Windows での 178

概要 9

IBM Security Server for OS/390

要件 22


サーバー構成 66

IBM Tivoli Directory Client


HP-UX での 201

Linux での 202

Solaris での 203

Windows での 204

IBM Tivoli Directory Client (続き)


HP-UX での 171

Linux での 172

Solaris での 173

Windows での 173

概要 9

IBM Tivoli Directory Server


AIX での 52, 54

HP-UX での 54

Linux での 56

Solaris での 58

Windows での 60


概要 9

構成解除 200


セットアップ 48


プリインストール 48

要件 19

install_ammgr のシナリオ 217

install_ldap_server のシナリオ 206

IBM z/OS Security Server LDAP サーバー要件 22

iKeyman 鍵管理ユーティリティー鍵データベース・ファイルの作成 278

SSL の使用可能化 260

iKeyman ユーティリティー、セットアップ 168

install_amacld 107, 237

install_amadk 115, 239

install_amjrte 123, 240

install_ammgr 97, 217, 241

install_ampfs 16

install_amproxy 131, 243

install_amrte 139, 244

install_amwpm 147, 245

install_ldap_server 50, 206, 247

iPlanet Directory

要件 23

iPlanet Directory Server

製品資料 92

ivrgy_tool ユーティリティー 317

JJava Runtime Environment


HP-UX での 201

Linux での 202

Solaris での 203

Windows での 204


Java Runtime Environment (続き)


AIX での 124

HP-UX での 125

Linux での 126

Solaris での 127

Windows での 128


概要 6




Java Runtime Environment (JRE)

IBM JRE を参照 9

LLANG 変数目的 39

UNIX 40

Windows 40

LDAP サーバーSSL の使用可能化 263

Linux



GSKit 166

IBM JRE 176





Policy Server 101

Runtime 143






Lotus Domino

要件 22

NNLSPATH 変数使用 42

Novell eDirectory

要件 23

Ppdbackup ユーティリティー 319

pdconfig ユーティリティー 249, 328

pdinfo コマンド (使用すべきでない) 319

pdinfo ユーティリティー (使用すべきでない)

pdbackup コマンド参照 319

pdjrtecfg

Java ランタイム・コンポーネントの構成 329

pd_start ユーティリティー 333

Policy Proxy Server


HP-UX での 201

Linux での 202

Solaris での 203

Windows での 204


AIX での 132

HP-UX での 133

Linux での 134

Solaris での 136

Windows での 137


policy proxy server


概要 7



Policy Server


HP-UX での 201

Linux での 202

Solaris での 203

Windows での 204


AIX での 98

HP-UX での 100

Linux での 101

Solaris での 103

Windows での 105


概要 7


スタンバイのセットアップ 287



RRuntime


HP-UX での 201

Linux での 202

Solaris での 203

Windows での 204

索引 371

Runtime (続き)


AIX での 141

HP-UX での 142

Linux での 143

Solaris での 144

Windows での 145

ウィザードの構成オプション 228, 231, 235, 244

概要 7

pdconfig オプション 250, 251, 253

Runtime システムサポートされているプラットフォーム 15


SsecAuthority=Default 71, 95

Secure Sockets Layer (SSL)

使用可能化 259

テスト 270, 280, 285

LDAP サーバー上でアクセスを使用可能化する 263

SSL を参照 259

Solaris



GSKit 167

IBM JRE 177





Policy Server 103

Runtime 144

Tivoli Access Manager パッケージ 103, 112, 119, 136,

144






SSL

使用可能化 259

Sun ONE Directory

要件 23

Sun ONE Directory Server

製品資料 92

TTivoli Access Manager ADK

概要 6

Tivoli Access Manager システム 11

Tivoli Access Manager システムのタイプ 11

Tivoli Identity Manager 統合 8

UUnicode 43

UNIX

言語サポート 40

UTF-8 エンコード方式 43

WWeb Administration Tool


HP-UX での 192

Linux での 193

Solaris での 194

Windows での 195

概要 10

要件 20

WebSphere へのインストール 196

Web Portal Manager


HP-UX での 201

Linux での 202

Solaris での 203

Windows での 204


AIX での 150

HP-UX での 152

Linux での 154

Solaris での 156

Windows での 159


概要 8



amwpmcfg ユーティリティーを使用した構成 314


WebSphere Application Server


HP-UX での 181

Linux での 184

Solaris での 186

Windows での 188

概要 10

Windows



GSKit 168

IBM JRE 178


Windows (続き)

インストール (続き)





Policy Server 105

Runtime 145




言語サポート 40



［特殊文字］.kdb 261

索引 373


��

Printed in Japan

SC88-9854-00