A.2 複数のセキュリティコンテナを持つツリーのマージ

一方のツリーまたは両方のツリーにセキュリティコンテナがインストールされているeDirectoryツリーをマージする場合、特に注意が必要です。この手順は時間を要する複雑な作業になる可能性があるため、本当に実行する必要があるかどうか確認してください。

複数のセキュリティコンテナを持つツリーをマージするには次を実行します。

  1. iManagerで、マージするツリーを指定します。

  2. ソースツリーにするツリーと、ターゲットツリーにするツリーを指定します。

    ソースツリーおよびターゲットツリーについて、次のセキュリティ上の配慮事項に注意してください。

    • ソースツリーの組織の認証局によって署名された証明書をすべて削除すること。

    • ソースツリーの組織の認証局を削除すること。

    • ソースツリー上のNetIQ SecretStoreに保存されたすべてのユーザシークレットを削除すること。

    • ソースツリー内のすべてのNMASログインメソッドを削除し、ターゲットツリーに再インストールすること。

    • ツリーをマージする際に、ソースツリー内に存在したすべてのNMASユーザを再登録すること。

    • ソースツリー内に存在したすべてのユーザおよびサーバに、ツリーをマージする際に新しい証明書を作成すること。

    • ソースツリー内に存在したすべてのユーザのシークレットをSecretStoreに再インストールすること。

ソースツリーおよびターゲットツリーの両方がSecurityというコンテナをツリーのルート直下に保持していない場合、またはツリーのうち一方だけがSecurityコンテナを保持している場合、これ以上の処置は不要です。その他の場合には、このセクションの残りの手順を続けます。

メモ:EBAが有効なサーバが含まれる2つのeDirectoryツリーをマージしないでください。

A.2.1 ツリーのマージ前に実行する製品固有の操作

このセクションでは、次のことを説明します。

NetIQ Certificate Server

製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。次の手順で指定されたオブジェクトや項目がソースツリーに存在しない場合には、手順を省略できます。

  1. ソースツリー内のルート認証局証明書は、ターゲットツリーにインストールする必要があります。

    ルート認証局証明書は、ルート認証局コンテナに含まれる、ルート認証局オブジェクトに格納されています。ルート認証局コンテナはツリー内の任意の場所に作成できます。ただし、セキュリティコンテナ内のルート認証局コンテナに存在するルート認証局証明書は、ソースツリーからターゲットツリーに手動で移動する必要があります。

  2. ターゲットツリーにルート認証局証明書をインストールします。

    1. ソースツリーのセキュリティコンテナでルート認証局を選択します。

    2. ソースツリーで使用されている正確な名前(ステップ 2.a)で、ルート認証局コンテナをターゲットツリーのセキュリティコンテナに作成します。

    3. ソースツリーで、選択したルート認証局コンテナのルート認証局オブジェクトを開き、証明書をエクスポートします。

      重要:選択した場所とファイル名は、次の手順で使用するため覚えておいてください。

    4. ターゲットツリーで、ステップ 2.bで作成したコンテナのルート認証局オブジェクトを作成します。ソースツリーと同じ名前を指定し、証明書を求められたら、ステップ 2.cで作成したファイルを指定します。

    5. ソースツリーのルート認証局オブジェクトを削除します。

    6. 選択したルート認証局コンテナ内のすべてのルート認証局オブジェクトがターゲットツリーにインストールされるまで、ステップ 2.cからステップ 2.eを繰り返します。

    7. ソースツリーのルート認証局コンテナを削除します。

    8. すべてのルート認証局コンテナがソースツリー内で削除されるまで、ステップ 2.aからステップ 2.fを繰り返します。

  3. ソースツリーの組織の認証局を削除します。

    組織の認証局オブジェクトは、セキュリティコンテナ内に存在します。

    重要:ソースツリーの組織の認証局によって署名された証明書は、この手順以降は使用できません。これには、ソースツリーの組織の認証局によって署名された、サーバ証明書とユーザ証明書も含まれます。

  4. ソースツリーの組織の認証局によって署名された証明書を持つ、ソースツリー内の暗号化キーオブジェクト(KMO)をすべて削除します。

    他の組織の認証局によって署名された証明書を持つ、ソースツリー内の暗号化キーオブジェクトは引き続き有効で、削除する必要はありません。

    暗号化オブジェクトに署名しているCAの識別情報がわからない場合は、暗号化オブジェクトのプロパティページにある[証明書]タブの[ルート認証局証明書]セクションを参照します。

  5. ソースツリーの組織の認証局によって署名された、ソースツリー内のユーザ証明書をすべて削除します。

    ソースツリー内のユーザがすでに証明書とプライベートキーをエクスポートしている場合、エクスポートされた各証明書とキーは引き続き使用できます。を実行した後では、eDirectory内に残っているプライベートキーと証明書は使用できません。ステップ 3

    証明書を持つユーザごとに、ユーザオブジェクトのプロパティを開きます。[セキュリティ]タブの[証明書]セクションの下に、そのユーザのすべての証明書を示すテーブルが表示されます。発行者として組織の認証局が設定されている証明書はすべて削除してください。

NetIQ Single Sign-on

NetIQ Single Sign-onがソースツリー内にあるサーバのいずれかにインストールされている場合、ソースツリーのユーザ用NetIQ Single Sign-Onシークレットをすべて削除する必要があります。

ソースツリーでNetIQ Single Sign-onを使用するすべてのユーザについて、ユーザオブジェクトのプロパティを開きます。[セキュリティ]タブの[SecretStore]セクションの下に、そのユーザのシークレットすべてが表示されます。表示されたシークレットをすべて削除します。

メモ:製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。指定されたオブジェクトや項目が存在しない場合には、この手順を省略できます。

NMAS

製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。指定されたオブジェクトや項目が存在しない場合には、手順を省略できます。

  1. ターゲットツリーに、ソースツリーに存在してターゲットツリーには存在しない、NMASログインメソッドをインストールします。

    必要なすべてのクライアントとサーバのログインコンポーネントをターゲットツリーに正しくインストールするには、NetIQオリジナルソースやベンダー提供ソースを使用して、新しいログインメソッドすべてをインストールすることをお勧めします。

    メソッドは既存のサーバファイルから再インストールできますが、通常NetIQのパッケージまたはベンダー提供のパッケージからクリーンインストールする方が簡単で確実です。

  2. ソースツリーで以前に確立されたログインシーケンスをターゲットツリーで使用できるようにするには、対象のログインシーケンスを移行します。

    1. iManagerで、ソースツリーのセキュリティコンテナを選択します。

    2. ログインポリシー]オブジェクトを右クリックして、[プロパティ]をクリックします。

    3. Defined Login Sequences]ドロップダウンリストに表示されたログインシーケンスごとに、使用するログインメソッド(右側のペインに表示)をメモします。

    4. ターゲットツリー内のセキュリティコンテナを選択し、ステップ 2.cでメモしたログインメソッドと同じものを使用して、ログインシーケンスを複製します。

    5. 操作が終了したら[OK]をクリックします。

  3. ソースツリーのNMASログインセキュリティ属性を削除します。

    1. ソースツリーのセキュリティコンテナで、ログインポリシーオブジェクトを削除します。

    2. ソースツリーの許可されたログインメソッドコンテナで、ログインポリシーオブジェクトを削除します。

    3. ソースツリーの許可されたログインメソッドコンテナを削除します。

    4. ソースツリーの許可されたポストログインメソッドコンテナで、ログインポリシーオブジェクトを削除します。

    5. ソースツリーの許可されたポストログインメソッドコンテナを削除します。

      メモ:許可されたログインメソッドを削除するには、ldapdeleteを使用します。

NetIQセキュリティドメインインフラストラクチャ

製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。指定されたオブジェクトや項目が存在しない場合には、手順を省略できます。

  1. W0オブジェクトとソースツリーのKAPコンテナを削除します。

    KAPコンテナは、セキュリティコンテナ内に存在します。W0オブジェクトは、KAPコンテナ内に存在します。

  2. ソースツリー内のすべてのサーバで、Linuxでは/var/opt/novell/nici/uid/nicisdi.keyファイル、Windowsでは%SystemRoot%\SysWOW64\Novell\NICI\nicisdi.keyを削除することにより、セキュリティドメインインフラストラクチャ(SDI)キーを削除します。

    重要:ソースツリー内のすべてのサーバで、このファイルを削除したことを確認します。

その他のセキュリティ固有の操作

ソースツリー内にセキュリティコンテナが残っている場合、ツリーをマージする前に、セキュリティコンテナを削除します。

A.2.2 ツリーのマージを実行する

DSMergeユーティリティを使用して、eDirectoryツリーをマージします。詳細については、セクション 10.0, NetIQ eDirectoryツリーのマージおよびセクション B.0, NetIQ eDirectory用のLinuxコマンドとそれらの使用法を参照してください。

A.2.3 ツリーのマージ後に実行する製品固有の操作

このセクションでは、次のことを説明します。

NetIQ Certificate Server

NetIQ Certificate Serverを使用している場合、ツリーのマージ後に、ソースツリー内に前に存在していたサーバとユーザに対して必要に応じて証明書を再発行します。

NetIQ Single Sign-on

NetIQ Single Sign-onを使用している場合、ツリーのマージ後に、ソースツリー内に前に存在していたユーザのSecretStoreシークレットを必要に応じて再作成する必要があります。

NMAS

NMASを使用している場合、ツリーのマージ後に、ソースツリー内に存在していたNMASユーザを必要に応じて再登録する必要があります。

詳細については、セクション 24.0, eDirectoryの認証フレームワークについてを参照してください。