このセクションでは、識別ボールトのインストールに必要な前提条件、考慮事項、およびシステム設定について説明します。まず、次のチェックリストを参照してインストールプロセスを理解します。
NetIQでは、次のチェックリストの手順を実行することをお勧めします。
チェックリストの項目 |
|
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
識別ボールトでは、ディレクトリを使用して、Identity Managerソリューションを通じて同期されたオブジェクトを格納します。次のセクションでは、識別ボールトのフレームワークとして使用するNetIQ eDirectoryの展開の計画に役立つガイドラインを示します。
NetIQでは、識別ボールトのフレームワークとしてeDirectoryをインストールする前に、次の考慮事項を確認することをお勧めします。
効率的なパフォーマンスが得られるよう、eDirectoryインフラストラクチャ用のサーバには静的IPアドレスを設定する必要があります。サーバでDHCPアドレスを使用すると、eDirectoryで予測不可能な結果が発生する可能性があります。
すべてのネットワークサーバ間で時刻を同期します。NetIQでは、Network Time Protocol (NTP)のntpオプションを使用することをお勧めします。
(状況によって実行)セカンダリサーバをインストールするには、製品をインストールするパーティション内のレプリカがすべて、オンの状態になっている必要があります。
(状況によって実行)管理者以外のユーザとしてセカンダリサーバを既存のツリーにインストールするには、コンテナを作成し、そのコンテナをパーティションで分割します。次の権限を持っていることを確認します。
サーバを追加するパーティションに対するスーパバイザ権。
サーバを追加するコンテナに対するスーパバイザ権。
すべての属性権: W0.KAP.Securityオブジェクトに対する読み込み権、比較権、および書き込み権
属性権: Securityコンテナオブジェクトに対する読み込み権および比較権。
エントリ権: Securityコンテナオブジェクトに対するブラウズ権。
これらの権限は、レプリカ数が 3未満の場合にレプリカを追加するために必要です。
(状況によって実行)管理者以外のユーザとしてセカンダリサーバを既存のツリーにインストールするには、ツリー内の少なくとも1台のサーバのeDirectoryバージョンが、コンテナ管理者として追加されるセカンダリのeDirectoryバージョンと同じかそれ以上である必要があります。追加されるセカンダリのバージョンのほうが新しい場合、ツリーの管理者は、コンテナ管理者を使用してセカンダリを追加する前に、スキーマを拡張する必要があります。
セカンダリサーバを追加できるように、eDirectoryの設定中に、ファイアウォールのNetWare Core Protocol (NCP)ポート(デフォルトは524)を有効にする必要があります。さらに、必要に応じて、次のデフォルトサービスポートも有効にできます。
LDAP (平文) - 389
LDAP (セキュリティ保護) - 636
HTTP (クリアテキスト) - 8028
HTTP (セキュリティ保護) - 8030
iManagerなど、eDirectoryの管理ユーティリティを使用して、すべてのワークステーションにNovell International Cryptographic Infrastructure (NICI)をインストールする必要があります。NICIおよびeDirectoryでサポートされているキーサイズは、最大4,096ビットです。詳細については、『NetIQ eDirectory Installation Guide』の「Installing NICI」を参照してください。
(状況によって実行) eDirectoryツリー内のコンテナの名前にピリオドが含まれている場合は、インストール時、および既存のツリーにサーバを追加するときに、エスケープ文字を使用して、管理者名、管理者コンテキスト、およびサーバコンテキストパラメータを指定する必要があります。詳細については、セクション 7.2.1, コンテナ名にピリオド(「.」)が含まれている場合のエスケープ文字の使用を参照してください。
サーバ、およびドメイン対応ユーザオブジェクトを含むeDirectoryツリーのすべての部分に対する管理権が必要です。既存のツリー内にインストールする場合は、スキーマを拡張しオブジェクトを作成するために、そのTreeオブジェクトに対する管理権が必要です。
FATファイルシステムの場合、NTFSに比べてトランザクション処理の安全性が低いため、eDirectoryはNTFSパーティションにのみインストールできます。FATファイルシステムしかない場合は、次のいずれかを実行します。
この作業には、Windowsの「ディスクの管理」を使用します。詳細については、Windowsサーバのマニュアルを参照してください。
新しいパーティションを作成し、NTFSとしてフォーマットする。
CONVERTコマンドを使って、既存のFATファイルシステムをNTFSに変換する。
詳細については、Windowsサーバのマニュアルを参照してください。
サーバにFATファイルシステムしか存在しないときに上記の措置をとらなかった場合は、インストールプログラムによってNTFSパーティションを作成するよう指示されます。
最新バージョンのWindows SNMPサービスを実行している必要があります。
インストールプロセスを開始する前に、Windowsオペレーティングシステムが最新のサービスパックを実行していることを確認します。
DHCPアドレスが設定されている仮想マシン、またはSLPがブロードキャストでない物理マシンまたは仮想マシンにインストールするには、ディレクトリエージェントがネットワークで設定されていることを確認します。
NetIQでは、クラスタ環境に識別ボールトをインストールする前に、次の考慮事項を確認することをお勧めします。
クラスタリングソフトウェアがインストールされている2つ以上のWindowsサーバが必要です。
すべての識別ボールトおよびNICIデータを格納するための十分なディスク容量を持つ、クラスタソフトウェアがサポートしている外部共有ストレージが必要です。
識別ボールトDIBは、クラスタ共有ストレージに存在している必要があります。識別ボールトの状態データは、サービスを現在実行しているクラスタノードで使用できるように、共有ストレージに配置する必要があります。
各クラスタノード上のルート識別ボールトインスタンスは、共有ストレージのDIBを使用するよう設定する必要があります。
さらに、共有NICI (NetIQ International Cryptographic Infrastructure)データを共有して、サーバ固有のキーがクラスタノード間で複製されるようにすることも必要です。すべてのクラスタノードが使用するNICIのデータは、クラスタ共有ストレージに配置する必要があります。
NetIQでは、他のすべてのeDirectory設定およびログデータを共有ストレージに格納することをお勧めします。
仮想IPアドレスが必要です。
(状況によって実行)識別ボールトのサポート構造としてeDirectoryを使用している場合、nds-cluster-configユーティリティでは、ルートeDirectoryインスタンスの設定のみがサポートされます。クラスタ環境内でのeDirectoryの複数インスタンスの環境設定と、eDirectoryの非ルートインストールはサポートされていません。
クラスタ環境内におけるアイデンティティボールドのインストールの詳細については、『NetIQ eDirectory Installation Guide』の「Deploying eDirectory on High Availability Clusters」を参照してください。
次のリストは、eDirectoryに保存されている主要なIdentity Managerオブジェクト、およびそれらが互いにどのように関係しているのかを示しています。インストールプロセスでは、オブジェクトは作成されません。その代わり、Identity Managerソリューションの設定時にIdentity Managerオブジェクトを作成します。
ドライバセット: ドライバセットはIdentity Managerドライバおよびライブラリオブジェクトを格納するコンテナです。1つのサーバで一度にアクティブにできるドライバセットは1つだけです。ただし、複数のサーバを1つのドライバセットに関連付ける場合があります。また、1つのドライバは同時に複数のサーバと関連付けることができます。ただし、ドライバは一度に1つのサーバでしか実行できません。そのドライバは他のサーバで無効化しておく必要があります。ドライバセットに関連付けられているすべてのサーバには、Identity Managerサーバがインストールされている必要があります。
ライブラリ: ライブラリオブジェクトは共通に使用するポリシーのリポジトリで、複数の場所から参照できます。ライブラリはドライバセットに保存されます。ドライバセットのすべてのドライバが参照できるようにライブラリにポリシーを配置できます。
ドライバ: ドライバは、アプリケーションと識別ボールト間の接続を提供します。また、システム間でデータの同期や共有も可能にします。ドライバはドライバセットに保存されます。
ジョブ: ジョブは繰り返して実行されるタスクを自動化します。たとえば、ジョブを使用することで、特定の日にアカウントを無効にしたり、ワークフローを開始して会社のリソースに対するユーザのアクセス権の拡張を要求したりするようにシステムを設定できます。ジョブはドライバセットに保存されます。
このセクションでは、アイデンティティボールトをインストールするサーバの最小要件について記載します。インストール、特にオペレーティングシステムに関するインストールについての前提条件と考慮事項を必ず確認してください。
メモ:BTRFSファイルシステムは、アイデンティティボールトではサポートされていません。
カテゴリ |
要件 |
---|---|
プロセッサ |
1GHz |
ディスクスペース |
|
メモリ |
2GB |
オペレーティングシステム(認定済み) |
次のいずれかの64ビットオペレーティングシステム:
NetIQでは、Identity Managerをインストールする前に、製造元の自動更新機能に従ってオペレーティングシステムの最新パッチを適用することをお勧めします。 メモ:「認定済み」とは、完全にテストされてサポートされているオペレーティングシステムを意味します。 |
オペレーティングシステム(サポート) |
認定済みオペレーティングシステムのサービスパックの最新バージョン メモ:「サポート」とは、まだテストされていないが機能することが想定されているオペレーティングシステムを意味します。 |
仮想化システム |
NetIQでは、NetIQ製品が動作するオペレーティングシステムを正式にサポートするエンタープライズクラスの仮想化システムでIdentity Managerをサポートします。仮想化システムのベンダーが該当のオペレーティングシステムを正式にサポートしていれば、NetIQはそのオペレーティングシステム上のIdentity Managerスタック全体をサポートします。 |
ディレクトリサービス |
NetIQ eDirectory 9.1 |