NICI (Novell International Cryptography Infrastructure)は、ファイルシステム内と、システムおよびユーザ固有のディレクトリやファイルに、キーとユーザデータを保存します。これらのディレクトリとファイルは、オペレーティングシステムによって提供されるメカニズムを使用して適切なアクセス権を設定することによって保護されます。この設定は、NICIインストールプログラムによって行われます。
システムからNICIをアンインストールしても、システムまたはユーザ固有のディレクトリとファイルは削除されません。したがって、これらのファイルを以前の状態に復元することが必要になるのは、重大なシステム障害や人為的エラーから回復する場合のみです。既存のNICIユーザディレクトリおよびファイルを上書きすると、既存のアプリケーションで問題が発生する可能性があることを理解しておくことが重要です。
NICIをバックアップおよび復元するには、次の2つの処理を行う必要があります。
上記の処理を行う適切な順序は、使用しているプラットフォームによって異なります。
バックアップと復元で重要になるのは、ディレクトリとファイルの正しいアクセス権を保持することです。NICIの動作と提供されるセキュリティは、これらのアクセス権が適切に設定されているかどうかに左右されます。
一般的な市販のバックアップソフトウェアでは、NICIシステムディレクトリとユーザディレクトリおよびファイルのアクセス権を保持する必要があります。NICIのカスタムバックアップを実行する前に、お使いのバックアップソフトウェアでこの処理が行われるかどうかを確認してください。
既存のNICIディレクトリ構造とその内容をバックアップする場合は、復元を実行する前に注意すき点がいくつかあります。まず、コンピュータキーが失われると、元に戻すことはできません。また、ユーザデータとキーはコンピュータキーを使って暗号化されている場合があるため、ユーザデータが永久に失われることになる可能性があります。
NICIの復元を行うには、復元する必要のあるファイルを特定するための知識が必要になります。復元時には、所有者のアクセス権が正しく復元されることが重要になります。UNIXシステムとWindowsシステムの場合、ユーザ固有のディレクトリの名前は所有者のIDを反映します。ただし、どちらのシステムでも、バックアップした後から復元するまでの間に所有者IDが変更される場合があります。セキュリティ上の理由により、オペレータは、復元されるアカウントを把握し、それに応じて割り当てられるディレクトリ名とアクセス権を決定する必要があります。バックアップされたIDと同じIDを持つユーザアカウントがシステム内に存在するからといって、現在のアカウントが復元される情報の実際の所有者であるとは限りません。
詳細については、Novell Knowledgebaseの「TID10098087, How to Backup NICI 2.7.x and 2.6.x」と「TID10096647, How to Backup the eDirectory Database and Associated Security Services Files」を参照してください。
NICI 2.6.5以前の場合、/var/novell/niciディレクトリに、すべてのシステムディレクトリとユーザディレクトリおよびファイルが含まれています。NICI 2.7.0以降の場合、/var/novell/niciは、ファイルが含まれている/var/opt/novell/niciディレクトリへのシンボリックリンクになります。
使用しているNICIのバージョンを特定するには、/etc/nici.cfgファイルを確認します。
次のファイルとディレクトリをバックアップする必要があります。すべてのディレクトリとファイルの権利を保持していることを確認します。
NICI環境設定ファイルを復元するには、最初に、/etc/nici.cfgファイルまたはリンクを検索して、コンピュータにNICIがインストールされているかどうかを確認します。
NICIがシステムにすでにインストールされている場合、上記のように既存の設定のバックアップを取ります。
NICIをアンインストールし、/var/novell/niciまたは/var/opt/novell/niciディレクトリ構造を削除します。
この操作を行うのは、既存のシステムキーが復元されたセットと競合しないようにするためです。
(NICIのバージョンに応じて)バックアップストアから構造全体を復元します。アクセス権も必ず復元します。
上記の手順に従うことをお勧めします。ただし、知識が豊富なオペレータであれば、個々のファイルまたはディレクトリを復元することを選択できます。場合によっては、ファイルやディレクトリの名前を変更したり、新しいアクセス権を割り当てたりできます。この操作を行えるのは、nicifkファイルとxmgrcfg.wksファイルがバックアップストア上のこれらのファイルから変更されていない場合です。
NICIがコンピュータにすでにインストールされている状況で復元を行う場合は、それぞれのファイル/ディレクトリについて次のガイドラインに従うことをお勧めします。
NICI 2.xよりも前のバージョンでは、環境設定ファイルはsys:\_NetWareに保存され、別の手順が適用されます。これらの手順は、NICI 2.x以降でのみ有効です。
sys:\system\NICIディレクトリとすべてのサブディレクトリおよびアクセス権をバックアップします。NetWareでは、存在するユーザが1人のみであるため、ユーザディレクトリのバックアップや復元はUNIXやWindowsの場合のように複雑ではありません。
NICIがインストールされていない場合は、sys:\system\NICIディレクトリとその内容を復元します。
NICIがインストールされている場合(sys:\system\NICI\nici.cfgファイルが存在している場合)、既存の設定のバックアップを取り、NICIを削除します。バックアップストアからバックアップ構造全体をコピーして復元します。
選択的な復元が可能なのは、nicifkファイルがバックアップストア上のファイルから変更されていない場合のみです。ファイルが変更されていない場合は、sys:\system\NICIディレクトリ内の任意のファイルを復元します。通常、ファイルはまとめて復元する必要があります。ただし、知識の豊富なオペレータであれば、個々のファイルまたはディレクトリを復元することを選択してもかまいません。
設定情報は、次のキーの下のシステムレジストリ内に保持されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI
2つ目のキーは、現在インストールされているNICIのバージョンを示します。例:
HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI (Shared) U.S./Worldwide (128ビット)
HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI*の下にあるレジストリ情報をすべてバックアップします。
NICI*は、NICIで始まるすべてのレジストリキーを表します。レジストリキーは複数存在する可能性があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI\ConfigDirectoryによって識別される、ディレクトリ(サブディレクトリを含む)をバックアップします。
UNIXシステムの場合と同様に、ディレクトリとすべてのサブディレクトリのアクセス権を保持します。詳細については、「バックアップの実行」を参照してください。
市販のソフトウェアを使用してバックアップする場合は、必ず、バックアッププログラム自体をシステムプロセスとして実行します。これにより、バックアッププログラムがすべてのディレクトリとサブディレクトリにアクセスできるようになります。
NICIがインストールされていない場合は、最初にすべてのレジストリ情報を復元します。
または
NICIがインストールされている場合は、NICIを削除し、バックアップストアからのレジストリ情報を上書きします。
オペレータによって選択されたように、HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI\ConfigDirectory内のファイルとディレクトリを復元します。
UNIXの場合と同様に、すべてのファイルをまとめて復元することをお勧めします。ただし、知識の豊富なオペレータであれば個々のエントリを復元することを選択してもかまいません。この操作が可能なのは、nicifkファイルとxmgrcfg.wksファイルがバックアップストア上のファイルから変更されていない場合のみです。その場合には、ユーザ構成ディレクトリの新しい所有者に基づいてアクセス権を調整します。個々のディレクトリにはその所有者に基づく名前が付けられますが、アクセス権はSIDによって制御されます。サブディレクトリにBOBという名前が付けられているというだけで、現在のユーザBOBが復元されている情報の正しい所有者であるとは限りません。
レジストリ値をHKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI\UserDirectoryRootに設定して、ユーザの環境設定ファイルがユーザ個人の構成ディレクトリに格納されていることを示すことができます。その場合、通常のバックアップ/復元処理の一環として、ユーザ情報をバックアップおよび復元する準備を整えます。NICIが上記のように設定されている場合は、そのことを把握し、個々のバックアップのための準備をしておく必要があります。
このようなWindowsの特殊な場合には、単にディレクトリパスを指定するのではなく、レジストリ値EnableUserProfileDirectoryを作成することによってユーザディレクトリが有効になります。ユーザアカウントを自動的に作成および削除するようにWindowsが設定されている場合、ユーザプロファイルディレクトリが有効になると、ディレクトリが自動的に削除されます。その場合、バックアップと復元が必要になるのは永続的な特定のユーザのみです。デフォルトのパスは、Documents and Settings内のユーザのディレクトリのApplication Data\Novell\Niciディレクトリの分岐になります。