識別ボールトでは、ディレクトリを使用して、Identity Managerソリューションを通じて同期されたオブジェクトを格納します。次のセクションでは、識別ボールトのフレームワークとして使用するNetIQ eDirectoryの展開の計画に役立つガイドラインを示します。
識別ボールトのインストールに関する前提条件
NetIQでは、識別ボールトのフレームワークとしてeDirectoryをインストールする前に、次の考慮事項を確認することをお勧めします。
-
効率的なパフォーマンスが得られるよう、eDirectoryインフラストラクチャ用のサーバには静的IPアドレスを設定する必要があります。サーバでDHCPアドレスを使用すると、eDirectoryで予測不可能な結果が発生する可能性があります。
-
すべてのネットワークサーバ間で時刻を同期します。NetIQでは、Network Time Protocol (NTP)のntpオプションを使用することをお勧めします。
-
(状況によって実行)セカンダリサーバをインストールするには、製品をインストールするパーティション内のレプリカがすべて、オンの状態になっている必要があります。
-
(状況によって実行)管理者以外のユーザとしてセカンダリサーバを既存のツリーにインストールするには、コンテナを作成し、そのコンテナをパーティションで分割します。次の権限を持っていることを確認します。
-
サーバを追加するパーティションに対するスーパバイザ権。
-
サーバを追加するコンテナに対するスーパバイザ権。
-
すべての属性権: W0.KAP.Securityオブジェクトに対する読み込み権、比較権、および書き込み権
-
属性権: Securityコンテナオブジェクトに対する読み込み権および比較権。
-
エントリ権: Securityコンテナオブジェクトに対するブラウズ権。
これらの権限は、レプリカ数が 3未満の場合にレプリカを追加するために必要です。
-
(状況によって実行)管理者以外のユーザとしてセカンダリサーバを既存のツリーにインストールするには、ツリー内の少なくとも1台のサーバのeDirectoryバージョンが、コンテナ管理者として追加されるセカンダリのeDirectoryバージョンと同じかそれ以上である必要があります。追加されるセカンダリのバージョンのほうが新しい場合、ツリーの管理者は、コンテナ管理者を使用してセカンダリを追加する前に、スキーマを拡張する必要があります。
-
セカンダリサーバを追加できるように、eDirectoryの設定中に、ファイアウォールのNetWare Core Protocol (NCP)ポート(デフォルトは524)を有効にする必要があります。さらに、必要に応じて、次のデフォルトサービスポートも有効にできます。
-
LDAP (平文) - 389
-
LDAP (セキュリティ保護) - 636
-
HTTP (クリアテキスト) - 8028
-
HTTP (セキュリティ保護) - 8030
-
iManagerなど、eDirectoryの管理ユーティリティを使用して、すべてのワークステーションにNovell International Cryptographic Infrastructure (NICI)をインストールする必要があります。NICIおよびeDirectoryでサポートされているキーサイズは、最大4,096ビットです。詳細については、『NetIQ eDirectory Installation Guide』の「Installing NICI」を参照してください。
-
(状況によって実行) eDirectoryツリー内のコンテナの名前にピリオドが含まれている場合は、インストール時、および既存のツリーにサーバを追加するときに、エスケープ文字を使用して、管理者名、管理者コンテキスト、およびサーバコンテキストパラメータを指定する必要があります。詳細については、セクション 7.2.1, コンテナ名にピリオド(「.」)が含まれている場合のエスケープ文字の使用を参照してください。
-
サーバ、およびドメイン対応ユーザオブジェクトを含むeDirectoryツリーのすべての部分に対する管理権が必要です。既存のツリー内にインストールする場合は、スキーマを拡張しオブジェクトを作成するために、そのTreeオブジェクトに対する管理権が必要です。
-
FATファイルシステムの場合、NTFSに比べてトランザクション処理の安全性が低いため、eDirectoryはNTFSパーティションにのみインストールできます。FATファイルシステムしかない場合は、次のいずれかを実行します。
-
この作業には、Windowsの「ディスクの管理」を使用します。詳細については、Windowsサーバのマニュアルを参照してください。
-
新しいパーティションを作成し、NTFSとしてフォーマットする。
-
CONVERTコマンドを使って、既存のFATファイルシステムをNTFSに変換する。
-
詳細については、Windowsサーバのマニュアルを参照してください。
サーバにFATファイルシステムしか存在しないときに上記の措置をとらなかった場合は、インストールプログラムによってNTFSパーティションを作成するよう指示されます。
-
最新バージョンのWindows SNMPサービスを実行している必要があります。
-
インストールプロセスを開始する前に、Windowsオペレーティングシステムが最新のサービスパックを実行していることを確認します。
-
DHCPアドレスが設定されている仮想マシン、またはSLPがブロードキャストでない物理マシンまたは仮想マシンにインストールするには、ディレクトリエージェントがネットワークで設定されていることを確認します。
クラスタ環境への識別ボールトのインストールに関する前提条件
NetIQでは、クラスタ環境に識別ボールトをインストールする前に、次の考慮事項を確認することをお勧めします。
-
クラスタリングソフトウェアがインストールされている2つ以上のWindowsサーバが必要です。
-
すべての識別ボールトおよびNICIデータを格納するための十分なディスク容量を持つ、クラスタソフトウェアがサポートしている外部共有ストレージが必要です。
-
識別ボールトDIBは、クラスタ共有ストレージに存在している必要があります。識別ボールトの状態データは、サービスを現在実行しているクラスタノードで使用できるように、共有ストレージに配置する必要があります。
-
各クラスタノード上のルート識別ボールトインスタンスは、共有ストレージのDIBを使用するよう設定する必要があります。
-
さらに、共有NICI (NetIQ International Cryptographic Infrastructure)データを共有して、サーバ固有のキーがクラスタノード間で複製されるようにすることも必要です。すべてのクラスタノードが使用するNICIのデータは、クラスタ共有ストレージに配置する必要があります。
-
NetIQでは、他のすべてのeDirectory設定およびログデータを共有ストレージに格納することをお勧めします。
-
仮想IPアドレスが必要です。
-
(状況によって実行)識別ボールトのサポート構造としてeDirectoryを使用している場合、nds-cluster-configユーティリティでは、ルートeDirectoryインスタンスの設定のみがサポートされます。クラスタ環境内でのeDirectoryの複数インスタンスの環境設定と、eDirectoryの非ルートインストールはサポートされていません。
クラスタ環境内におけるアイデンティティボールドのインストールの詳細については、『NetIQ eDirectory Installation Guide』の「Deploying eDirectory on High Availability Clusters」を参照してください。
