識別ボールトでは、ディレクトリを使用して、Identity Managerソリューションを通じて同期されたオブジェクトを格納します。次のセクションでは、識別ボールトのフレームワークとして使用するNetIQ eDirectoryの展開の計画に役立つガイドラインを示します。
NetIQでは、識別ボールトのフレームワークとしてeDirectoryをインストールする前に、次の考慮事項を確認することをお勧めします。
eDirectoryをインストールする前に、ツリー名をサーバ参照に解決する方法を用意する必要があります。NetIQでは、SLP (サービスロケーションプロトコル)サービスを使用することをお勧めします。NetIQ eDirectoryのバージョン8.8より前のリリースではSLPもインストールされていました。ただし、バージョン8.8以上では、SLPは別途インストールする必要があります。フラットファイルhosts.ndsを使用してツリー名を解決することもできます。詳細については、セクション 8.2, ツリー名を解決するためのOpenSLPまたはhosts.ndsの使用を参照してください。
(状況によって実行) Linuxサーバにインストールする場合は、マルチキャストルーティング用のホストを有効にする必要があります(ルーティングテーブルの224.0.0.0)。たとえば、次のコマンドを入力します。
route add -net 224.0.0.0 netmask 240.0.0.0 dev interface
ここで、interfaceは、ネットワークインタフェースカードに応じて、eth0、hme0、hme1、hme2などの値に置き換えます。
(状況によって実行) SLES 12 SP1以降のプラットフォームを実行しているサーバへのガイド付きインストールの場合は、サーバにlibXtst6-32bit-1.2.1-4.4.1.x86_64、libXrender-32bit、およびlibXi6-32bitライブラリがインストールされていることを確認します。
効率的なパフォーマンスが得られるよう、eDirectoryインフラストラクチャ用のサーバには静的IPアドレスを設定する必要があります。サーバでDHCPアドレスを使用すると、eDirectoryで予測不可能な結果が発生する可能性があります。
すべてのネットワークサーバ間で時刻を同期します。NetIQでは、Network Time Protocol (NTP)のntpオプションを使用することをお勧めします。
(状況によって実行)セカンダリサーバをインストールするには、製品をインストールするパーティション内のレプリカがすべて、オンの状態になっている必要があります。
(状況によって実行)管理者以外のユーザとしてセカンダリサーバを既存のツリーにインストールするには、コンテナを作成し、そのコンテナをパーティションで分割します。次の権限を持っていることを確認します。
サーバを追加するパーティションに対するスーパバイザ権。
(Windows)サーバを追加するコンテナに対するスーパバイザ権。
すべての属性権: W0.KAP.Securityオブジェクトに対する読み込み権、比較権、および書き込み権。
属性権: Securityコンテナオブジェクトに対する読み込み権および比較権。
エントリ権: Securityコンテナオブジェクトに対するブラウズ権。
これらの権限は、レプリカ数が 3未満の場合にレプリカを追加するために必要です。
(状況によって実行)管理者以外のユーザとしてセカンダリサーバを既存のツリーにインストールするには、ツリー内の少なくとも1台のサーバのeDirectoryバージョンが、コンテナ管理者として追加されるセカンダリのeDirectoryバージョンと同じかそれ以上である必要があります。追加されるセカンダリのバージョンのほうが新しい場合、ツリーの管理者は、コンテナ管理者を使用してセカンダリを追加する前に、スキーマを拡張する必要があります。
セカンダリサーバを追加できるように、eDirectoryの設定中に、ファイアウォールのNetWare Core Protocol (NCP)ポート(デフォルトは524)を有効にする必要があります。さらに、必要に応じて、次のデフォルトサービスポートも有効にできます。
LDAP (平文) - 389
LDAP (平文) - 636
HTTP (平文) - 8028
HTTP (平文) - 8030
iManagerなど、eDirectoryの管理ユーティリティを使用して、すべてのワークステーションにNovell International Cryptographic Infrastructure (NICI)をインストールする必要があります。NICIおよびeDirectoryでサポートされているキーサイズは、最大4,096ビットです。
Linuxでは、識別ボールトのインストールプログラムnds-installにより、自動的にNICIがインストールされます。ただし、NICIを手動でインストールすることもできます。詳細については、『NetIQ eDirectory Installation Guide』の「Installing NICI」を参照してください。
(状況によって実行) NICI 2.7およびeDirectory 8.8.xでサポートされているキーサイズは、最大4,096ビットです。4KBのキーサイズを使用するには、すべてのサーバを、サポートされているeDirectoryのバージョンにアップグレードする必要があります。また、iManagerやConsoleOneなどの管理ユーティリティを使用して、すべてのワークステーションにNICI 2.7をインストールすることも必要です。
認証局(CA)サーバを、サポートされているeDirectoryのバージョンにアップグレードする場合、キーサイズは変わらず2KBになります。4KBのキーサイズを作成するには、アップグレードされたeDirectoryサーバでCAを再作成する必要があります。加えて、CA作成時に、キーサイズのデフォルトを2KBから4KBに変更する必要があります。
(状況によって実行) eDirectoryツリー内のコンテナの名前にピリオドが含まれている場合は、インストール時、および既存のツリーにサーバを追加するときに、エスケープ文字を使用して、管理者名、管理者コンテキスト、およびサーバコンテキストパラメータを指定する必要があります。詳細については、セクション 8.1, コンテナ名にピリオド(「.」)が含まれている場合のエスケープ文字の使用を参照してください。
Virtual List View (VLV)およびServer Side Sort (SSS)コントロールを使用してLDAP検索をサポートするには、eDirectory 9.0.2またはeDirectory 8.8.8 Patch 9にHotfix 2を適用します。詳細については、セクション 11.0, アイデンティティボールトへのHotfix 2の適用を参照してください。
このホットフィックスは、統合インストールプログラムを使用してeDirectoryをインストールしている場合は必要ありません。統合されたインストーラでは、このホットフィックスが適用されているeDirectoryのアップデートされたバージョンがインストールされます。
非rootユーザとして識別ボールトをインストールするには、ご使用の環境が次の条件を満たしている必要があります。
クラスタ環境では、非rootユーザとして識別ボールトをインストールすることはできません。
SNMPサブエージェント(NOVsubag)は、rootユーザによってサーバにインストールされ、設定される必要があります。
コマンド「rpm -ivh --nodeps NOVLsubag_rpm_file_name_with_path」を入力します。
次のコマンドを使用して、環境変数のパスを手動でエクスポートします。
export LD_LIBRARY_PATH=custom_location/opt/novell/eDirectory/lib64:/opt/novell/eDirectory/lib64/nds-modules:/opt/novell/lib64:$LD_LIBRARY_PATH export PATH=/opt/novell/eDirectory/bin:$PATH export MANPATH=/opt/novell/man:$MANPATH
次に例を示します。
rpm -ivh --nodeps novell-NOVLsubag-8.8.1-5.i386.rpm
(状況によって実行)識別ボールトサーバ上でSLPおよびSNMPを使用するには、rootとしてサービスをインストールする必要があります。
識別ボールトをインストールする非rootユーザアカウントは、インストール先のディレクトリに対する書き込み権を持っている必要があります。
NetIQでは、Windowsサーバに識別ボールトをインストールする前に、次の考慮事項を確認することをお勧めします。
Windowsサーバ、およびドメイン対応ユーザオブジェクトを含むeDirectoryツリーのすべての部分に対する管理権が必要です。既存のツリー内にインストールする場合は、スキーマを拡張しオブジェクトを作成するために、そのTreeオブジェクトに対する管理権が必要です。
(状況によって実行)サイレントインストール(無人インストール)を実行する前に、ターゲットサーバに次のソフトウェアをインストールする必要があります。
Microsoft Visual C++ 2005およびMicrosoft Visual C++ 2012再頒布可能パッケージ。デフォルトでは、インストールファイルvcredist_x86.exeおよびvcredist_x64.exeは、eDirectory\Windows\x64\redist_pkgフォルダにあります。
Novell International Cryptographic Infrastructure (NICI) (32ビットおよび64ビットの両方)。デフォルトでは、インストールファイルは、eDirectory/Windows/processor_type/niciフォルダにあります。
FATファイルシステムの場合、NTFSに比べてトランザクション処理の安全性が低いため、eDirectoryはNTFSパーティションにのみインストールできます。FATファイルシステムしかない場合は、次のいずれかを実行します。
この作業には、Windowsの「ディスクの管理」を使用します。詳細については、Windowsサーバのマニュアルを参照してください。
新しいパーティションを作成し、NTFSとしてフォーマットする。
CONVERTコマンドを使って、既存のFATファイルシステムをNTFSに変換する。
詳細については、Windowsサーバのマニュアルを参照してください。
サーバにFATファイルシステムしか存在しないときに上記の措置をとらなかった場合は、インストールプログラムによってNTFSパーティションを作成するよう指示されます。
最新バージョンのWindows SNMPサービスを実行している必要があります。
インストールプロセスを開始する前に、Windowsオペレーティングシステムが最新のサービスパックを実行していることを確認します。
DHCPアドレスが設定されている仮想マシン、またはSLPがブロードキャストでない物理マシンまたは仮想マシンにインストールするには、ディレクトリエージェントがネットワークで設定されていることを確認します。詳細については、セクション 8.2.2, OpenSLPの理解を参照してください。
NetIQでは、クラスタ環境に識別ボールトをインストールする前に、次の考慮事項を確認することをお勧めします。
クラスタリングソフトウェアがインストールされている2つ以上のWindowsサーバまたはLinuxサーバが必要です。
すべての識別ボールトおよびNICIデータを格納するための十分なディスク容量を持つ、クラスタソフトウェアがサポートしている外部共有ストレージが必要です。
識別ボールトDIBは、クラスタ共有ストレージに存在している必要があります。識別ボールトの状態データは、サービスを現在実行しているクラスタノードで使用できるように、共有ストレージに配置する必要があります。
各クラスタノード上のルート識別ボールトインスタンスは、共有ストレージのDIBを使用するよう設定する必要があります。
さらに、共有NICI (NetIQ International Cryptographic Infrastructure)データを共有して、サーバ固有のキーがクラスタノード間で複製されるようにすることも必要です。すべてのクラスタノードが使用するNICIのデータは、クラスタ共有ストレージに配置する必要があります。
NetIQでは、他のすべてのeDirectory設定およびログデータを共有ストレージに格納することをお勧めします。
仮想IPアドレスが必要です。
(状況によって実行)識別ボールトのサポート構造としてeDirectoryを使用している場合、nds-cluster-configユーティリティでは、ルートeDirectoryインスタンスの設定のみがサポートされます。クラスタ環境内でのeDirectoryの複数インスタンスの環境設定と、eDirectoryの非ルートインストールはサポートされていません。
クラスタ環境内におけるアイデンティティボールドのインストールの詳細については、『NetIQ eDirectory Installation Guide』の「Deploying eDirectory on High Availability Clusters」を参照してください。