10.3 リモートローダとドライバの設定

リモートローダは、.dll.so、または.jarファイルに含まれるIdentity Managerアプリケーションシムをホストできます。JavaリモートローダはJavaドライバシムのみをホストします。ネイティブ(C++)ドライバシムはロードまたはホストしません。

リモートローダを使用する前に、Identity Managerエンジンに安全に接続するようにアプリケーションシムを設定する必要があります。さらに、リモートローダとIdentity Managerドライバ両方の設定も必要です。シムの詳細については、シムの理解を参照してください。

10.3.1 Identity Managerエンジンへのセキュア接続の作成

リモートローダとIdentity Managerエンジンとの間でデータが安全に転送されるようにする必要があります。NetIQでは、通信にTLS/SSL (Transport Layer Security/Secure Socket Layer)プロトコルを使用することをお勧めします。TLS/SSL接続をサポートするには、キーストアファイルまたはKMOに適切な自己署名証明書が必要です。このセクションでは、その証明書を作成、エクスポート、および保管する方法について説明します。

メモ:Identity Managerエンジンをホストするサーバとリモートローダで同じバージョンのSSLを使用してください。サーバとリモートローダのSSLのバージョンが一致していないと、サーバから「SSL3_GET_RECORD:wrong version number」というエラーメッセージが返されます。このメッセージは単なる警告で、サーバとリモートローダ間の通信が中断されることはありませんが、エラーが表示されると混乱を招くおそれがあります。

通信プロセスの理解

リモートローダはクライアントのソケットを開いて、リモートインタフェースシムからの接続をリスンします。リモートインタフェースシムとリモートローダは、SSLハンドシェークを実行してセキュアなチャネルを確立します。続いて、リモートインタフェースシムはリモートローダへの認証を実行します。リモートインタフェースシムの認証が成功すると、リモートローダはリモートインタフェースシムへの認証を実行します。正規の権限によって通信が確立されていることを両側から確認できた場合にのみ、同期トラフィックが発生します。

ドライバとIdentity Managerエンジンとの間でSSL接続を確立するプロセスは、次のようにドライバのタイプによって異なります。

メモ:リモートローダでは、リモートローダおよびIdentity Managerサーバでホストされているリモートインタフェースシムとの間の接続方法をカスタマイズできます。カスタム接続モジュールを設定する場合、接続文字列で必要な項目と使用可能な項目に関する情報については、モジュールに付属のマニュアルを参照してください。

自己署名サーバ証明書の管理

自己署名サーバ証明書を作成してエクスポートすることで、リモートローダとIdentity Managerエンジン間のセキュアな通信を保証できます。セキュリティを追加する場合は、Suite Bによって指定されるSSL通信のより強力はサイファを設定できます。この通信では、データを暗号化するためにECDSA (Elliptic Curveデジタル署名アルゴリズム)証明書を使用する必要があります。Suite Bが有効な場合、リモートローダは、通信プロトコルとしてTLS 1.2を使用します。Suite Bの詳細については、「Suite B Cryptography」を参照してください。

新しく作成された証明書をエクスポートするか、既存の証明書を使用することができます。

メモ:サーバがツリーに参加すると、eDirectoryによって次のデフォルトの証明書が作成されます。

  • SSL CertificateIP

  • SSL CertificateDNS

  • Suite B対応の証明書

  1. NetIQ iManagerにログインします。

  2. 新しい証明書を作成するには、次の手順を実行します。

    1. NetIQ Certificate Server > Create Server Certificate (サーバ証明書の作成)の順にクリックします。

    2. 証明書を所有するサーバを選択します。

    3. 証明書のニックネームを指定します。たとえば、「remotecert」と指定します。

      メモ:証明書のニックネームにはスペースを使用しないことをお勧めします。たとえば、「remote cert」ではなく「remotecert」を使用します。

      また、証明書のニックネームは書き留めておいてください。このニックネームは、ドライバのリモート接続パラメータのKMO名に使用します。

    4. 証明書の作成方法を選択して、次へをクリックします。

      次の選択肢があります。

      • 標準: このオプションでは、可能な最大キーサイズを使用してサーバ証明書オブジェクトが作成され、組織CAによって公開鍵証明書に署名されます。

      • カスタム: このオプションでは、ユーザが指定する設定を使用してサーバ証明書オブジェクトが作成されます。サーバ証明書オブジェクトの多数のカスタマイズされた設定を指定できます。このオプションを選択すると、Suite B通信用のECDSA証明書が作成されます。

      • インポート: このオプションでは、PKCS12(PFX)ファイルからキーと証明書を使用してサーバ証明書オブジェクトが作成されます。このオプションをエクスポート機能と組み合わせて使用すると、サーバ証明書のバックアップおよび復元をしたり、サーバ証明書オブジェクトをサーバから別のサーバへ移動できます。

    5. 証明書パラメータを指定します。

    6. 残りの項目については、証明書のデフォルト値をそのまま使用します。

    7. [概要]の画面を確認し、終了をクリックして、閉じるをクリックします。

  3. 証明書をエクスポートするには、次の手順を実行します。

    1. iManagerで、Roles and Task (役割とタスク) > NetIQ Certificate Access (NetIQ証明書へのアクセス) > Server Certificates (サーバ証明書) の順に移動します。

    2. 作成した証明書またはサーバが作成した証明書(SSL CertificateDNSなど)に移動して選択します。

    3. エクスポートをクリックします。

    4. CA証明書をドロップダウンメニューからOU=organization CA.O=TREEANAMEとして選択します。

    5. エクスポート形式をドロップダウンメニューから BASE64として選択します。

      メモ:リモートローダをWindows 2012 R2 64ビットサーバで実行している場合、証明書はBase64形式にする必要があります。DER形式を使用すると、リモートローダがIdentity Managerエンジンに接続できません。

    6. 次へをクリックします。

    7. 保存閉じるの順にクリックします。

SSL接続使用時のキーストアファイルの作成

JavaドライバとIdentity Managerエンジンの間でSSL接続を使用するには、キーストアを作成する必要があります。キーストアは、暗号化キーおよび証明書(オプション)を含むJavaファイルです。リモートローダとIdentity Managerエンジンの間でSSLを使用する必要があり、Javaシムを使用する場合は、キーストアファイルを作成する必要があります。次のセクションでは、キーストアファイルの作成方法について説明します。

任意のプラットフォームでのキーストアの作成

任意のプラットフォームでキーストアを作成するには、コマンドラインで次のコマンドを入力します。

keytool -import -alias trustedroot -file self-signed_certificate_name -keystore filename -storepass keystorepass

filenameには任意の名前を指定できます(rdev_keystoreなど)。

キーストアの作成

Keytoolユーティリティを実行します。このユーティリティは、デフォルトではc:\novell\remoteloader\jre\binディレクトリにあります。

10.3.2 リモートローダの環境設定パラメータの理解

Identity Managerアプリケーションシムをホストするドライバインスタンスとリモートローダを連携するには、ドライバインスタンスを設定する必要があります。たとえば、インスタンスの接続およびポートの設定を指定する必要があります。コマンドラインまたはリモートローダコンソールから設定を指定できます。インスタンスが実行状態になったら、コマンドラインを使用して、環境設定パラメータを変更したり、特定の機能を実行するようリモートローダに命令したりできます。たとえば、トレースウィンドウを開いたり、リモートローダをアンロードしたりできます。

このセクションでは、環境設定パラメータについて説明します。ここでの説明では、インスタンスの実行中にコマンドラインからパラメータを送信してリモートローダを更新できるかどうかを指定します。

新しいドライバインスタンスの設定の詳細については、セクション 10.3.3, ドライバインスタンスのリモートローダの設定を参照してください。

リモートローダのドライバインスタンスの環境設定パラメータ

ドライバインスタンスは、コマンドラインまたは環境設定ファイルで設定できます。リモートローダおよびドライバをアプリケーションシム用に設定するのに役立つサンプルファイルconfig8000.txtが用意されています。サンプルファイルは、デフォルトではC:\novell\remoteloader\<architecture(64bit/32bit>\またはC:\Novell\remoteloader.NETディレクトリにあります。たとえば、環境設定ファイルに次の行を記述できます。

-commandport 8000
-connection "port=8090"
-trace 4
-tracefile ./trace8000.log
-class com.novell.nds.dirxml.driver.delimitedtext.DelimitedTextDriver

使用するパラメータは、以下のとおりです。

-assembly

(状況によって実行) .NETリモートローダを使用する場合、ドライバ.dllが配置されているパスを指定します。環境設定ファイルにこのパラメータが含まれていることを確認します。次に例を示します。

-assembly C:\Novell\remoteloader.NET\DXMLMADDriver.dll
-description value (-desc value)

(オプション)文字列形式の短い説明を指定します(SAPなど)。この説明は、アプリケーションによってトレースウィンドウのタイトルや監査ログに使用されます。次に例を示します。

-description SAP
-desc SAP
-class name (-cl name)

(状況によって実行) Javaドライバを使用する場合、ホストするIdentity ManagerアプリケーションシムのJavaクラス名を指定します。このオプションにより、Javaキーストアを使用して証明書を読み込むようアプリケーションに指示します。次に例を示します。

-class com.novell.nds.dirxml.driver.ldap.LDAPDriverShim-cl com.novell.nds.dirxml.driver.ldap.LDAPDriverShim

メモ:

  • -moduleオプションを指定した場合、このオプションは使用できません。

  • -classオプションで区切り文字としてタブを使用すると、リモートローダは自動的に起動しません。代わりに、手動で起動する必要があります。リモートローダを適切に起動するには、タブではなくスペースを使用できます。

  • このオプションで指定できる名前の詳細については、Java -classパラメータの名前の理解を参照してください。

-commandport port_number (-cp port_number)

ドライバインスタンスが制御目的で使用するTCP/IPポートを指定します。たとえば、-commandport 8001または-cp 8001と指定します。デフォルトは8000です。

同じサーバ上のリモートローダで複数のドライバインスタンスを使用するには、インスタンスごとに異なる接続ポートとコマンドポートを指定します。

ドライバインスタンスがアプリケーションシムをホストしている場合、コマンドポートは、別のインスタンスが、シムをホストしているインスタンスと通信するポートになります。ドライバインスタンスが、アプリケーションシムをホストしているインスタンスにコマンドを送信する場合、コマンドポートはホストインスタンスがリスンしているポートになります。

このパラメータをコマンドラインから、アプリケーションシムをホストしているインスタンスに送信する場合、コマンドポートはホストインスタンスがリスンしているポートを表します。このコマンドはリモートローダの実行中に送信できます。

-config filename

ドライバインスタンスの環境設定ファイルを指定します。次に例を示します。

-config config.txt

環境設定ファイルには、-config以外のあらゆるコマンドラインオプションを含めることができます。コマンドラインで指定したオプションは、環境設定ファイル内で指定されたオプションよりも優先されます。

このコマンドはリモートローダの実行中に送信できます。

-connection “parameters” (-conn “parameters”)

Identity Managerリモートインタフェースシムを実行するIdentity Managerエンジンをホストしているサーバに接続するための設定を指定します。デフォルトの接続方法は、SSLを使用したTCP/IPです。

同じサーバ上のリモートローダで複数のドライバインスタンスを使用するには、インスタンスごとに異なる接続ポートとコマンドポートを指定します。

次の構文で接続設定を入力します。

-connection "parameter parameter parameter"

次に例を示します。

-connection "port=8091 fromaddress=198.51.100.0 rootfile=server1.pem keystore=ca.pem localaddress=198.51.100.0 hostname=198.51.100.0 kmo=remote driver cert"

TCP/IP接続の設定を指定するには、次のパラメータを使用します。

address=IP_address

(オプション)リモートローダが特定のローカルIPアドレスをリスンするかどうかを指定します。これは、リモートローダをホストするサーバが複数のIPアドレスを持ち、リモートローダが1つのアドレスのみをリスンしなければならない場合に便利です。有効な値は次のとおりです。

  • address=address number

  • address='localhost'

次に例を示します。 

address=198.51.100.0

値を指定しない場合、リモートローダはすべてのローカルIPアドレスをリスンします。

fromaddress=IP_address

リモートローダが接続を受け入れる元のサーバを指定します。アプリケーションは他のアドレスからの接続を無視します。サーバのIPアドレスまたはDNS名を指定します。次に例を示します。

fromaddress=198.51.100.0
fromaddress=testserver1.company.com
handshaketimeout=milliseconds

(状況によって実行) Identity Managerエンジンからの有効な接続でハンドシェークのタイムアウトが発生した場合に適用されます。リモートローダとIdentity Managerエンジン間のハンドシェークのタイムアウト時間(ミリ秒単位)を指定します。次に例を示します。 

handshaketimeout=1000

ゼロ以上の整数を指定できます。ゼロは、接続がタイムアウトしないことを意味します。デフォルト値は1000ミリ秒です。

hostname=server

リモートローダを実行するサーバのIPアドレスまたは名前を指定します。次に例を示します。

hostname=198.51.100.0
secureprotocol=TLS version

リモートローダがIdentity Managerエンジンに接続するために使用するTLSプロトコルのバージョンを指定します。次に例を示します。

secureprotocol=TLSv1_2

Identity Managerは、TLSv1およびTLSv1_2をサポートします。デフォルトで、リモートローダはTLSv1_2を使用します。TLSv1を使用するには、パラメータでこのバージョンを指定します。

enforceSuiteB=true/false

(状況によって実行)リモートローダがSuite B暗号アルゴリズムを使用してIdentity Managerエンジンと通信する場合にのみ適用します。

通信にSuite Bを使用するには、trueを指定します。この通信は、TLS 1.2プロトコルでのみサポートされます。

Suite B対応エンジンを、TLSv1.2をサポートしないリモートローダと接続しようとする場合、ハンドシェークが失敗し、通信が確立されません。たとえば、リモートローダ4.5.3は、TLS v1.2をサポートしません。

useMutualAuth=true/false

(状況によって実行)リモートローダとIdentity Managerエンジンが、信頼する認証局(CA)によって発行された公開鍵証明書やデジタル証明書、または自己署名証明書を検証することにより相互認証する場合にのみ適用します。次に例を示します。

useMutualAuth=true
keystore=filename

リモートインタフェースシムが使用する証明書の発行者のルート認証局証明書を含むJavaキーストアのファイル名を指定します。次に例を示します。

keystore=keystore filename

通常は、リモートインタフェースシムをホストしているツリーの認証局を指定します。

kmo=name

SSL接続に使用するキーと証明書を含む暗号化キーオブジェクトのキー名を指定します。次に例を示します。

kmo=remote driver cert
localaddress=IP_address

クライアント接続用ソケットのバインド先IPアドレスを指定します。次に例を示します。

localaddress=198.51.100.0
port=port_number

リモートローダがリモートインタフェースシムからの接続をリスンするTCP/IPポートを指定します。デフォルトポートを指定するには、「port=8090」と入力します。

rootfile=trusted certname

リモートインタフェースシムが使用する証明書の発行者のルート認証局証明書を含むファイルの名前を指定します。この証明書はBase64形式(PEM)である必要があります。次に例を示します。

rootfile=trustedcert

通常、このファイルはリモートインタフェースシムをホストしているツリーの認証局です。

storepass=password

keystoreパラメータに入力したJavaキーストアのパスワードを指定します。次に例を示します。

storepass=mypassword

リモートローダがJavaドライバと通信するには、次の構文を使用して、キーと値のペアを指定します。 

keystore=keystorename storepass=password
-datadir directory (-dd directory)

リモートローダが使用するデータファイルのディレクトリを指定します。次に例を示します。

-datadir C:\novell\remoteloader

このコマンドを使用すると、リモートローダにより、カレントディレクトリが指定のディレクトリに変更されます。明示的にパスが指定されていないトレースファイルなどのファイルは、このデータディレクトリに作成されます。

-help (-h)

ヘルプを表示するようアプリケーションに命令します。

-java (-j)

(状況によって実行) Javaドライバシムインスタンスのパスワードを設定するよう指定します。

メモ:-classの値を同時に指定しない場合、このオプションは-setpasswordsオプションとともに使用します。

-javadebugport port_number (-jdp port_number)

指定されたポートでJavaデバッグを有効にするようインスタンスに命令します。次に例を示します。

-javadebugport 8080

このコマンドはIdentity Managerアプリケーションシムの開発時に使用します。このコマンドはリモートローダの実行中に送信できます。

-javaparam parameters (-jp parameters)

Java環境の各種パラメータを指定します。次の構文でJava環境パラメータを入力します。

-javaparam parameter
-jp parameter
-jp parameter

メモ:Javaリモートローダと一緒にこのパラメータを使用しないでください。

個々のパラメータに複数の値を指定するには、パラメータを引用符で囲みます。次に例を示します。

-javaparam DHOST_JVM_MAX_HEAP=512M
-jp DHOST_JVM_MAX_HEAP=512M
-jp "DHOST_JVM_OPTIONS=-Dfile.encoding=utf-8 -Duser.language=en"

Java環境を設定するには、次のパラメータを使用します。

DHOST_JVM_ADD_CLASSPATH

JVMがパッケージ(.jar)ファイルおよびクラス(.class)ファイルを検索する追加のパスを指定します。

DHOST_JVM_INITIAL_HEAP

JVMの初期(最小)ヒープサイズを10進数のバイト単位で指定します。数値を指定し、その後に単位としてバイトタイプを表すG、M、またはKを指定します。次に例を示します。

100M

バイトタイプを指定しない場合、サイズはデフォルトでバイトに設定されます。このパラメータを使用することは、java -Xmsコマンドを使用することと同等です。

このパラメータは、ドライバセット属性オプションよりも優先されます。初期ヒープサイズを大きくすれば、起動時間とスループットのパフォーマンスが改善される場合があります。

DHOST_JVM_MAX_HEAP

JVMの最大ヒープサイズを10進数のバイト単位で指定します。数値を指定し、その後に単位としてバイトタイプを表すG、M、またはKを指定します。次に例を示します。 

100M

バイトタイプを指定しない場合、サイズはデフォルトでバイトに設定されます。

このパラメータは、ドライバセット属性オプションよりも優先されます。

DHOST_JVM_OPTIONS

ドライバのJVMインスタンスの起動時に使用する引数を指定します。空白を使用して各オプション文字列を区切ります。次に例を示します。 

-Xnoagent -Xdebug -Xrunjdwp: transport=dt_socket,server=y, address=8000

このパラメータよりもドライバセット属性オプションが優先されます。この環境変数は、ドライバセット属性オプションの末尾に付加されます。有効なオプションの詳細については、JVMのマニュアルを参照してください。

-module “name” (-m “name”)

(状況によって実行)ネイティブドライバを使用する場合、ホストするIdentity Managerアプリケーションシムが含まれるモジュールを指定します。このオプションは、rootfile証明書を使用するようアプリケーションに命令します。たとえば、ネイティブドライバに対しては次のいずれかを入力します。

-module "c:\Novell\RemoteLoader\ADDriver.dll"
-m "c:\Novell\RemoteLoader\ADDriver.dll"

メモ:

  • -classオプションを指定した場合、このオプションは使用できません。

  • -moduleオプションで区切り文字としてタブを使用すると、リモートローダは自動的に起動しません。代わりに、手動で起動する必要があります。リモートローダを適切に起動するには、タブではなくスペースを使用できます。

-password value (-p value)

設定を変更するコマンドやインスタンスの操作に影響するコマンドを発行する場合は、ドライバインスタンスのパスワードを指定する必要があります。コマンドを発行するインスタンスに対してsetpasswordsで指定した最初のパスワードと同じパスワードを指定します。次に例を示します。

-password netiq4

コマンドの発行時にパスワードを送信しない場合、ドライバインスタンスにより、パスワードを入力するようプロンプトが表示されます。

このコマンドはリモートローダの実行中に送信できます。

-service value (-serv value)

Win32サービスとしてインスタンスを設定するかどうかを指定します。有効な値はinstallおよびuninstallと、アプリケーションシムをホストするのに必要なその他のパラメータです。たとえば、-moduleを記述する必要がある場合に、-commandportと接続設定も記述できます。

このコマンドは単にインスタンスをサービスとしてインストールか、アンインストールします。サービスを起動するものではありません。

このコマンドはリモートローダの実行中に送信できます。ただし、rdxmlまたはJavaリモートローダではこのコマンドを使用できません。

-setpasswords Remote_Loader_pwd optional_pwd (-sp Remote_Loader_pwd optional_pwd)

ドライバインスタンスのパスワード、およびリモートローダが通信するリモートインタフェースシムのIdentity Managerドライバオブジェクトのパスワードを指定します。

パスワードを指定する必要はありません。その代わり、リモートローダによって、パスワードを入力するようプロンプトが表示されます。ただし、リモートローダのパスワードを指定した場合、Identity Managerエンジンサーバでリモートインタフェースシムに関連付けられているIdentity Managerドライバオブジェクトのパスワードも指定する必要があります。パスワードを指定するには、次の構文を使用します。

-setpasswords Remote_Loader_password driver_object_password

次に例を示します。

-setpasswords netiq4 idmobject6

メモ:このオプションを使用すると、指定したパスワードがドライバインスタンスに設定されますが、Identity Managerアプリケーションシムはロードされず、別のインスタンスとも通信しません。

トレースファイルの設定

(状況によって実行) Identity Managerアプリケーションシムをホストする場合、リモートローダとこのインスタンスのドライバの両方からの情報メッセージを記録するトレースファイルの設定を指定します。

環境設定ファイルに次のパラメータを追加します。

-trace integer (-t integer)

トレースウィンドウに表示するメッセージのレベルを指定します。次に例を示します。

-trace 3

リモートローダのトレースレベルは、Identity Managerエンジンをホストしているサーバで使用されているトレースレベルに対応します。

-tracefile filepath (-tf filepath)

トレースメッセージを記録するファイルのパスを指定します。特定のコンピュータで実行されている各ドライバインスタンスに対して固有のトレースファイルを指定する必要があります。次に例を示します。

-tracefile c:\temp\trace.txt

-traceパラメータがゼロより大きい場合、アプリケーションはメッセージをこのファイルに書き込みます。メッセージをファイルに書き込むためにトレースウィンドウが開いている必要はありません。

-tracefilemax size (-tf size)

このインスタンスのトレースファイルのサイズの制限を指定します。キロバイト、メガバイト、またはギガバイト単位の値を、バイトタイプを表す略語を使用して指定します。次に例を示します。

  • -tracefilemax 1000K

  • -tf 100M

  • -tf 10G

メモ:

  • リモートローダの起動時にトレースファイルのデータが指定した最大サイズよりも大きい場合、10ファイルすべてのロールオーバーが完了するまで、トレースファイルのデータは指定した最大値よりも大きいままとなります。

  • 環境設定ファイルにこのオプションを追加した場合、アプリケーションは指定した名前をトレースファイルに使用し、最大9個の「ロールオーバー」ファイルを含めます。ロールオーバーファイルには、メインのトレースファイル名と「_n」に基づいた名前が付けられます。「n」は1~9の値になります。

-tracechange integer (-tc integer)

(状況によって実行)アプリケーションシムをホストしている既存のドライバインスタンスがある場合に、情報メッセージの新しいレベルを指定します。トレースレベルはIdentity Managerサーバで使用されているレベルと同じです。次に例を示します。

-trace 3

このコマンドはリモートローダの実行中に送信できます。

-tracefilechange filepath (-tfc filepath)

(状況によって実行)アプリケーションシムをホストしている既存のドライバインスタンスがある場合に、そのインスタンスに対し、特定のトレースファイルを使用するか、使用中のファイルを閉じてこの新しいファイルに変更するよう命令します。次に例を示します。

-tracefilechange \temp\newtrace.txt

このコマンドはリモートローダの実行中に送信できます。

証明書パスワードの設定

(状況によって実行) useMutualAuthが環境設定ファイルでtrueに設定されている場合にのみ有効です。

-keystorepassword (-ksp)

Javaリモートローダドライバ専用の相互認証を有効にするためにキーストアパスワードを指定します。

-keypassword (-kp)

Javaリモートローダドライバおよびネイティブリモートローダドライバの相互認証を有効にするためにキーパスワードを指定します。

-unload (-u)

アンロードするようドライバインスタンスに命令します。リモートローダがWin32サービスとして実行されている場合は、サービスを停止します。

このコマンドはリモートローダの実行中に送信できます。

-window value (-w) value

ドライバインスタンスのトレースウィンドウをオンまたはオフにするようアプリケーションに命令します。有効な値はonおよびoffです。次に例を示します。

-window on

このコマンドはリモートローダの実行中に送信できます。このコマンドはJavaリモートローダでは使用できません。

-wizard (-wiz)

リモートローダの設定ウィザードを起動します。コマンドラインパラメータを指定せずにdirxml_remote.exeを実行してもウィザードを起動できます。

このコマンドを実行する際に環境設定ファイルも指定した場合(-configオプション)、ウィザードは環境設定ファイルの値で起動します。環境設定ファイルを直接編集せずに、ウィザードを使用して設定を変更できます。次に例を示します。

-wizard -config config.txt

このコマンドはJavaリモートローダでは使用できません。

Java -classパラメータの名前の理解

-classパラメータを使用してリモートローダおよびJavaリモートローダのドライバインスタンスを設定する場合、ホストするIdentity ManagerアプリケーションシムのJavaクラス名を指定する必要があります。

Javaクラス名

ドライバ

com.novell.nds.dirxml.driver.dcsshim.DCSShim

データ収集サービス用ドライバ

com.novell.nds.dirxml.driver.delimitedtext.DelimitedTextDriver

区切り付きテキストドライバ

be.opns.dirxml.driver.ars.arsremedydrivershim.ARSDriverShim

Driver for Remedy ARS

com.novell.nds.dirxml.driver.entitlement.EntitlementServiceDriver

エンタイトルメントサービスドライバ

com.novell.gw.dirxml.driver.rest.shim.GWdriverShim

GroupWise 2014ドライバ

com.novell.idm.drivers.idprovider.IDProviderShim

IDプロバイダドライバ

com.novell.nds.dirxml.driver.jdbc.JDBCDriverShim

JDBCドライバ

com.novell.nds.dirxml.driver.jms.JMSDriverShim

JMSドライバ

com.novell.nds.dirxml.driver.ldap.LDAPDriverShim

LDAPドライバ

com.novell.nds.dirxml.driver.loopback.LoopbackDriverShim

Loopback Driver

com.novell.nds.dirxml.driver.ebs.user.EBSUserDriver

Oracleユーザ管理ドライバ

com.novell.nds.dirxml.driver.ebs.hr.EBSHRDriver

Oracle HRドライバ

com.novell.nds.dirxml.driver.ebs.tca.EBSTCADriver

Oracle TCAドライバ

com.novell.nds.dirxml.driver.msgateway.MSGatewayDriverShim

Managed System Gateway Driver

com.novell.nds.dirxml.driver.manualtask.driver.ManualTaskDriver

Manual Task Driver

com.novell.nds.dirxml.driver.nisdriver.NISDriverShim

NIS Driver

com.novell.nds.dirxml.driver.notes.NotesDriverShim

Notes Driver

com.novell.nds.dirxml.driver.psoftshim.PSOFTDriverShim

PeopleSoft Driver

com.netiq.nds.dirxml.driver.pum.PUMDriverShim

特権ユーザ管理ドライバ

com.novell.nds.dirxml.driver.salesforce.SFDriverShim

SalesForceドライバ

com.novell.nds.dirxml.driver.SAPHRShim.SAPDriverShim

SAP HRドライバ

com.novell.nds.dirxml.driver.sap.portal.SAPPortalShim

SAPポータルドライバ

com.novell.nds.dirxml.driver.sapumshim.SAPDriverShim

SAP User Management Driver

com.novell.nds.dirxml.driver.soap.SOAPDriver

SOAPドライバ

com.novell.idm.driver.ComposerDriverShim

ユーザアプリケーション

com.novell.nds.dirxml.driver.workorder.WorkOrderDriverShim

ワークオーダードライバ

10.3.3 ドライバインスタンスのリモートローダの設定

リモートローダは、.dll.so、または.jarファイルに含まれるIdentity Managerアプリケーションシムをホストできます。リモートローダを実行するには、アプリケーションは環境設定ファイル(LDAPShim.txtなど)を必要とします。リモートローダコンソールユーティリティ(コンソール)は、サーバで実行されているIdentity Managerドライバのすべてのインスタンスを管理するのに役立ちます。リモートローダの各インスタンスを起動、停止、追加、削除、および編集できます。リモートローダのインストールプログラムを実行すると、コンソールもインストールされます。

アップグレードを行う場合、コンソールは既存のドライバインスタンスを検出してインポートします。ドライバを自動的にインポートするには、その環境設定ファイルをリモートローダのディレクトリ(デフォルトではc:\novell\remoteloader)に保存する必要があります。その後、コンソールを使用してリモートドライバを管理できます。

コマンドラインまたはリモートローダコンソールを使用して、ドライバを認識するようにリモートローダを設定できます。コマンドラインの使用の詳細については、セクション 10.3.2, リモートローダの環境設定パラメータの理解を参照してください。

このセクションでは、次の操作の方法について説明します。

リモートローダの新しいドライバインスタンスの作成

  1. リモートローダコンソールを開きます。

    メモ:インストールの際にコンソールのショートカットを作成するよう選択した場合は、デスクトップの[Identity Manager Remote Loader Console (Identity Managerリモートローダコンソール)]アイコンを使用します。そうでない場合は、rlconsole.exeを実行します。デフォルトの場所はC:\novell\remoteloader\nnbitです。

  2. このサーバにドライバのインスタンスを追加するため、追加をクリックします。

  3. 説明に、インスタンスを表す短い名前を入力します。

    コンソールは、この情報をConfig File (環境設定ファイル)のデフォルト値に使用します。

  4. ドライバで、Javaクラス名を選択します。

    メモ:Active Directoryドライバを使用するには、ADDriver.dllを選択します。各ドライバのクラス名の詳細については、Java -classパラメータの名前の理解を参照してください。

  5. Config File (環境設定ファイル)で、リモートローダが環境設定パラメータを保存するファイルのパスを指定します。デフォルト値はC:\novell\remoteloader\nnbit\Description-config.txtです。

  6. リモートローダおよびドライバオブジェクトのパスワードを指定します。

  7. (オプション)リモートローダとIdentity Managerエンジンサーバの間でTLS/SSL接続を使用するには、次の手順を実行します。

    1. SSL接続の使用を選択します。

      メモ:Identity Managerエンジンサーバとリモートローダの両方で同じバージョンのSSLを使用することをお勧めします。サーバとリモートローダのSSLのバージョンが一致していないと、サーバから「SSL3_GET_RECORD:wrong version number」というエラーメッセージが返されます。このメッセージは単なる警告で、サーバとリモートローダ間の通信が中断されることはありませんが、エラーが表示されると混乱を招くおそれがあります。

    2. 信頼するルートファイルで、eDirectoryツリーの組織認証局からエクスポートされた自己署名証明書を指定します。詳細については、セクション 10.3.1, Identity Managerエンジンへのセキュア接続の作成およびセクション 10.3.2, リモートローダの環境設定パラメータの理解を参照してください。

  8. (オプション)リモートローダのトレースファイルを設定するため、次の手順を実行します。

    メモ:トレース機能は問題をトラブルシューティングする場合にのみ使用することをお勧めします。トレースを有効にすると、リモートローダのパフォーマンスが低下します。トレースを有効にしたまま運用しないでください。

    1. Trace Level (トレースレベル)で、トレースウィンドウに表示する、リモートローダとドライバの両方からの通知メッセージのレベルを定義するゼロより大きい値を指定します。1~4の値はコンソールで事前定義されています。独自のメッセージタイプを作成するには、5以上の値を指定します。

      最も一般的な設定はトレースレベル3で、処理全般、XMLドキュメント、およびリモートローダのメッセージが表示されます。

    2. Trace File (トレースファイル)で、トレースメッセージを記録するファイルのパスを指定します。たとえば、C:\novell\remoteloader\64bit\Test-Delimited-Trace.logです。

      特定のコンピュータで実行されている各ドライバインスタンスに対して固有のトレースファイルを指定する必要があります。トレースメッセージは、トレースレベルがゼロよりも大きい場合にだけトレースファイルに書き込まれます。

    3. Maximum Disk Space Allowed for all Trace Logs (Mb) (全トレースログで使用できる最大ディスク領域 (MB))で、このインスタンスのトレースファイルに使用できる最大ディスク領域のおおよその値を指定します。

  9. (オプション)コンピュータの起動時にリモートローダが自動的に起動できるようにするには、Establish Remote Loader Service for this driver instance (このドライバインスタンスのリモートローダサービスを設定する)を選択します。

    メモ:リモートローダがIdentity Managerエンジンとの接続を確立する場合にhandshaketimeoutによりSSL接続が失敗する場合、デフォルトのhandshaketimeout変数を10000に更新して、ドライバとリモートローダの両方を再起動します。

  10. (状況によって実行) Java環境設定のパラメータを変更するには、次の手順を実行します。

    1. Advanced (詳細)を選択します。

    2. Classpath (クラスパス)で、JVMがパッケージ(.jar)ファイルおよびクラス(.class)ファイルを検索するパスを指定します。

      このパラメータの機能はjava -classpathコマンドと同じです。

    3. JVM Options (JVMオプション)で、ドライバのJVMインスタンスの起動時に使用するオプションを指定します。

    4. JVMインスタンスの初期ヒープサイズと最大ヒープサイズをMB単位で指定します。

    5. Suite B通信の場合、enforceSuiteB=trueを指定します。この通信は、TLS 1.2プロトコルでのみサポートされます。

      詳細については、セクション 10.3.1, Identity Managerエンジンへのセキュア接続の作成およびセクション 10.3.2, リモートローダの環境設定パラメータの理解を参照してください。

    6. OKをクリックします。

  11. (オプション)リモートローダがIdentity Managerエンジンとの接続中にセキュアプロトコルを使用できるようにするには、リモートローダ設定ファイルでセキュアプロトコルバージョンを指定します。例: secureprotocol=TLSv1_2

    詳細については、セクション 10.3.2, リモートローダの環境設定パラメータの理解を参照してください。

    メモ:すでにドライバでセキュアプロトコルバージョンを設定している場合は、この手順をスキップします。

  12. (オプション)リモートローダ通信がSuite Bで指定されたプロトコルを使用できるようにするには、リモートローダ設定ファイルで enforceSuiteB=trueを指定します。この通信は、TLS 1.2プロトコルでのみサポートされます。

    詳細については、セクション 10.3.2, リモートローダの環境設定パラメータの理解を参照してください。

    メモ:すでにドライバでSuite B通信を有効化している場合は、この手順をスキップします。

  13. OKをクリックします。

リモートローダの既存のドライバインスタンスの変更

  1. リモートローダコンソールの説明カラムから、ドライバインスタンスを選択します。

  2. 停止をクリックします。

  3. リモートローダのパスワードを入力して、OKをクリックします。

  4. 編集をクリックします。

  5. 設定情報を変更します。各パラメータの詳細については、リモートローダの新しいドライバインスタンスの作成を参照してください。

  6. 変更を保存するには、OKをクリックします。

10.3.4 ドライバインスタンスのJavaリモートローダの設定

JavaリモートローダはJavaドライバシムのみをホストします。ネイティブ(C++)ドライバシムはロードまたはホストしません。

  1. テキストエディタで新しいファイルを作成します。

    リモートローダおよびドライバをアプリケーションシム用に設定するのに役立つサンプルファイルconfig8000.txtが用意されています。サンプルファイルは、デフォルトではC:\novell\remoteloader\<architecture(64bit\32bit>\またはC:\Novell\remoteloader.NETディレクトリにあります。

  2. 新しい環境設定ファイルに次のパラメータを追加します。

    • -description (オプション)

    • -classまたは-module

      たとえば、-class com.novell.nds.dirxml.driver.ldap.LDAPDriverShimです。

    • -commandport

    • 接続パラメータ:

      • port (必須)

      • address

      • fromaddress

      • handshaketimeo

      • rootfile

      • keystore

      • localaddress

      • hostname

      • kmo

      • secureprotocol

      • enforceSuiteB

      • useMutualAuth

    • -java (条件付き)

    • -javadebugport

    • -password

    • -service

    • -setpasswords

    • トレースファイルパラメータ(オプション):

      • -trace

      • -tracefile

      • -tracefilemax

    メモ:パラメータの詳細については、セクション 10.3.2, リモートローダの環境設定パラメータの理解を参照してください。

  3. 新しい環境設定ファイルを保存します。

    コンピュータの起動時にリモートローダを自動的に起動するには、ファイルを\jremoteディレクトリに保存します。

  4. コマンドプロンプトを開きます。

  5. プロンプトで「-config filename」と入力します。filenameには新しい環境設定ファイルの名前を指定します。次に例を示します。

    dirxml_jremote -config <configFile> -service

    これにより、Javaリモートローダサービスが開始され、トレースウィンドウが開きます。

  6. (オプション)ドライバサービスを停止するには、[サービス]に移動し、サービスを停止します。

10.3.5 ドライバインスタンスの.NETリモートローダの設定

リモートローダは、.dllファイルに含まれるIdentity Managerアプリケーションシムをホストできます。リモートローダを実行するには、アプリケーションは環境設定ファイル(LDAPShim.txtなど)を必要とします。リモートローダコンソールユーティリティ(コンソール)は、サーバで実行されているIdentity Managerドライバのすべてのインスタンスを管理するのに役立ちます。リモートローダの各インスタンスを起動、停止、追加、削除、および編集できます。リモートローダのインストールプログラムを実行すると、コンソールもインストールされます。

アップグレードを行う場合、コンソールは既存のドライバインスタンスを検出してインポートします。ドライバを自動的にインポートするには、その環境設定ファイルをリモートローダのディレクトリ(デフォルトではc:\novell\remoteloader)に保存する必要があります。ネット. その後、コンソールを使用してリモートドライバを管理できます。

コマンドラインまたはリモートローダコンソールを使用して、ドライバを認識するようにリモートローダを設定できます。コマンドラインの使用の詳細については、セクション 10.3.2, リモートローダの環境設定パラメータの理解を参照してください。

このセクションでは、次の操作の方法について説明します。

.NETリモートローダの新しいドライバインスタンスの作成

  1. リモートローダコンソールを開きます。

    メモ:インストールの際にコンソールのショートカットを作成するよう選択した場合は、デスクトップの[Identity Manager Remote Loader Console (Identity Managerリモートローダコンソール)]アイコンを使用します。そうでない場合は、rlconsole.exeを実行します。デフォルトの場所はC:\novell\remoteloader.netです。

  2. このサーバにドライバのインスタンスを追加するため、追加をクリックします。

  3. 説明に、インスタンスを表す短い名前を入力します。

    コンソールは、この情報をConfig File (環境設定ファイル)のデフォルト値に使用します。

  4. ドライバで、適切なドライバ.dllを選択します。

  5. Config File (環境設定ファイル)で、リモートローダが環境設定パラメータを保存するファイルのパスを指定します。デフォルト値はC:\novell\remoteloader.net\Description-config.txtです。

  6. リモートローダおよびドライバオブジェクトのパスワードを指定します。

  7. (オプション)リモートローダとIdentity Managerエンジンサーバの間でTLS/SSL接続を使用するには、次の手順を実行します。

    1. SSL接続の使用を選択します。

      メモ:Identity Managerエンジンサーバとリモートローダの両方で同じバージョンのSSLを使用することをお勧めします。サーバとリモートローダのSSLのバージョンが一致していないと、サーバから「SSL3_GET_RECORD:wrong version number」というエラーメッセージが返されます。このメッセージは単なる警告で、サーバとリモートローダ間の通信が中断されることはありませんが、エラーが表示されると混乱を招くおそれがあります。

    2. 信頼するルートファイルで、eDirectoryツリーの組織認証局からエクスポートされた自己署名証明書を指定します。詳細については、セクション 10.3.1, Identity Managerエンジンへのセキュア接続の作成およびセクション 10.3.2, リモートローダの環境設定パラメータの理解を参照してください。

  8. (オプション)リモートローダのトレースファイルを設定するため、次の手順を実行します。

    メモ:トレース機能は問題をトラブルシューティングする場合にのみ使用することをお勧めします。トレースを有効にすると、リモートローダのパフォーマンスが低下します。トレースを有効にしたまま運用しないでください。

    1. Trace Level (トレースレベル)で、トレースウィンドウに表示する、リモートローダとドライバの両方からの通知メッセージのレベルを定義するゼロより大きい値を指定します。1~4の値はコンソールで事前定義されています。独自のメッセージタイプを作成するには、5以上の値を指定します。

      最も一般的な設定はトレースレベル3で、処理全般、XMLドキュメント、およびリモートローダのメッセージが表示されます。

    2. Trace File (トレースファイル)で、トレースメッセージを記録するファイルのパスを指定します。たとえば、C:\novell\remoteloader.net\Test-Delimited-Trace.logです。

      特定のコンピュータで実行されている各ドライバインスタンスに対して固有のトレースファイルを指定する必要があります。トレースメッセージは、トレースレベルがゼロよりも大きい場合にだけトレースファイルに書き込まれます。

    3. Maximum Disk Space Allowed for all Trace Logs (Mb) (全トレースログで使用できる最大ディスク領域 (MB))で、このインスタンスのトレースファイルに使用できる最大ディスク領域のおおよその値を指定します。

  9. (オプション)コンピュータの起動時にリモートローダが自動的に起動できるようにするには、Establish Remote Loader Service for this driver instance (このドライバインスタンスのリモートローダサービスを設定する)を選択します。

    メモ:リモートローダがIdentity Managerエンジンとの接続を確立する場合にhandshaketimeoutによりSSL接続が失敗する場合、デフォルトのhandshaketimeout変数を10000に更新して、ドライバとリモートローダの両方を再起動します。

  10. (オプション)リモートローダがIdentity Managerエンジンとの接続中にセキュアプロトコルを使用できるようにするには、リモートローダ設定ファイルでセキュアプロトコルバージョンを指定します。例: secureprotocol=TLSv1_2

    詳細については、セクション 10.3.2, リモートローダの環境設定パラメータの理解を参照してください。

    メモ:すでにドライバでセキュアプロトコルバージョンを設定している場合は、この手順をスキップします。

  11. (オプション)リモートローダ通信がSuite Bで指定されたプロトコルを使用できるようにするには、リモートローダ設定ファイルで enforceSuiteB=trueを指定します。この通信は、TLS 1.2プロトコルでのみサポートされます。

    詳細については、セクション 10.3.2, リモートローダの環境設定パラメータの理解を参照してください。

    メモ:すでにドライバでSuite B通信を有効化している場合は、この手順をスキップします。

  12. OKをクリックします。

.NETリモートローダの既存のドライバインスタンスの変更

  1. リモートローダコンソールの説明カラムから、ドライバインスタンスを選択します。

  2. 停止をクリックします。

  3. リモートローダのパスワードを入力して、OKをクリックします。

  4. 編集をクリックします。

  5. 設定情報を変更します。各パラメータの詳細については、.NETリモートローダの新しいドライバインスタンスの作成を参照してください。

  6. 変更を保存するには、OKをクリックします。

10.3.6 リモートローダと連携するためのIdentity Managerドライバの設定

新しいドライバを設定するか、または既存のドライバを有効にして、リモートローダと通信できます。Identity Managerアプリケーションシムをリモートローダで使用できるように設定する必要があります。

メモ:このセクションでは、リモートローダと通信できるようにするためのドライバの設定に関する一般的な情報について説明します。ドライバ固有の情報については、Identity ManagerドライバマニュアルのWebサイトで、関連するドライバ実装ガイドを参照してください。

DesignerまたはiManagerで新しいドライバオブジェクトを追加したり、既存のドライバオブジェクトを変更したりするには、リモートローダのドライバインスタンスを有効にするための設定が必要です。このセクションで使用されているパラメータの詳細については、リモートローダの環境設定パラメータの理解を参照してください。

  1. 概要からIdentity Managerドライバオブジェクトを選択します。

  2. ドライバオブジェクトのプロパティで、次の手順を実行します。

    1. ドライバモジュールから、リモートローダに接続を選択します。

    2. ドライバオブジェクトパスワードで、リモートローダがIdentity Managerエンジンサーバに対して自身を認証するために使用するパスワードを指定します。

      このパスワードは、リモートローダで定義したドライバオブジェクトのパスワードに一致している必要があります。

    3. Remote Loader Connection Parameters (リモートローダ接続パラメータ)で、リモートローダに接続するために必要な情報を指定します。使用する構文は次のとおりです。

      hostname=xxx.xxx.xxx.xxx port=xxxx kmo=certificatename localaddress=xxx.xxx.xxx.xxx

      各要素の内容は次のとおりです。

      hostname

      リモートローダをホストするサーバのIPアドレスを指定します。たとえば、「hostname=192.168.0.1」と指定します。

      port

      リモートローダがリスンするポートを指定します。デフォルトは8090です。

      kmo

      SSL接続に使用するキーと証明書を含む暗号化キーオブジェクトのキー名を指定します。たとえば、「kmo=remotecert」と指定します。

      localaddress

      Identity Managerエンジンをホストするサーバに複数のIPアドレスが設定されている場合、ソースIPアドレスを指定します。

    4. Remote Loader Password (リモートローダパスワード)で、Identity Managerエンジン(またはリモートローダシム)がリモートローダへ認証するために必要なパスワードを指定します。

  3. セキュリティ上同等なユーザを定義します。

  4. 次へをクリックし、終了をクリックします。

10.3.7 Identity Managerエンジンとの相互認証の設定

相互認証を設定すると、リモートローダとIdentity Managerエンジンとの間のセキュアな通信を保証することができます。相互認証では、パスワードの代わりにハンドシェークの証明書を使用します。リモートローダとIdentity Managerエンジンは、信頼する認証局(CA)によって発行された公開鍵証明書やデジタル証明書、または自己署名証明書を交換して検証することにより相互認証します。相互認証に成功すると、リモートローダはIdentity Managerエンジンの認証を受けます。リモートローダとIdentity Managerエンジンの両方が認証エンティティと通信しているという信頼を確立した後で、同期トラフィックが発生します。

相互認証を設定するには、次のタスクを実行します。

Identity Managerエンジンとリモートローダの証明書のエクスポート

相互認証が適切に機能するには、エンジン用のクライアント証明書とリモートローダ用のクライアント証明書が必要です。eDirectoryからこれらの証明書をエクスポートするか、サードパーティベンダーからそれらをインポートすることができます。ほとんどの場合、追加投資を行わずにeDirectoryからサーバ証明書をエクスポートします。リモートローダ用のサードパーティクライアント証明書をエクスポートしたい場合もあります。

eDirectoryからの証明書のエクスポート

アイデンティティボールトの証明書オブジェクトはキーマテリアルオブジェクト(KMO)と呼ばれます。このオブジェクトには、SSL通信に使用される証明書に関連付けられている公開鍵と秘密鍵を含む証明書データの両方が安全に含まれています。相互認証の場合、エンジンとリモートローダに対してそれぞれ2つのKMOが必要です。

既存のKMOをエクスポートするか、新しいKMOを作成してそれをエクスポートすることができます。クライアントKMOとサーバKMOの作成プロセスは異なります。

KMOの作成

クライアントKMOを作成する前に、サーバKMOを作成する必要があります。KMOを作成するには、次の手順を実行します。

  1. NetIQ iManagerにログインします。

  2. 左側ペインで、NetIQ Certificate Server > Create Server Certificate (サーバ証明書の作成)の順に選択します。

  3. 作成した証明書を所有するサーバを選択します。

  4. 証明書のニックネームを指定します。

    たとえば、サーバ証明書にはserverkmo、クライアント証明書にはclientkmoを指定します。

  5. 証明書の作成方法でカスタムを選択して、次へをクリックします。

  6. デフォルトの組織認証局をそのままにして、次へをクリックします。

  7. (状況によって実行) クライアントKMOを作成する場合は、次の手順を実行します。

    1. Enable Extended key usage (拡張キーの使用を有効にする)を選択します。

    2. カスタムを選択し、ユーザ認証を選択します。

    3. 次へをクリックします。

    メモ:サーバKMOについては、デフォルトの選択をそのままにして、次へをクリックします。

  8. KMOについて、Validity period (有効期間)を指定します。

    iManagerシステム時間が、Identity Managerコンポーネントおよび接続されているアプリケーションと同期されていることを確認します。

  9. [概要]の画面を確認し、終了をクリックして、閉じるをクリックします。

  10. クライアントKMOを作成するには、これらの手順を繰り返します。

KMOのエクスポート

エンジンとリモートローダが相互認証に使用するKMOをeDirectoryからエクスポートします。

Identity ManagerエンジンのKMOをエクスポートするには、DirXMLコマンドライン(dxcmd)ユーティリティを実行します。

dxcmd -user <admin DN> -password <password of admin> -exportcerts <kmoname> <server|client> <java|native|dotnet> <output dir>

where

  • user は、ドライバへの管理権限を持つユーザの名前を指定します。

  • passwordは、ドライバへの管理権限を持つユーザのパスワードを指定します。

  • exportcertsは、eDirectoryから証明書と秘密鍵/公開鍵をエクスポートします。サーバ証明書をまたはクライアント証明書のいずれをエクスポートするかどうか、証明書を使用するドライバのタイプ、およびコマンドがこの情報を保存する宛先フォルダを指定する必要があります。

例: dxcmd -user admin.sa.system -password novell -exportcerts serverkmo server java 'C:\certs'

このコマンドは、C:\certsディレクトリのserverkmo_server.ksファイルを生成します。デフォルトのキーストアパスワードおよびキーパスワードは、dirxmlです。

リモートローダのKMOをエクスポートするためのdxcmdコマンドを実行している場合は、次の考慮事項が適用されます。

  • dxcmdユーティリティはLDAPモードで実行します。このモードを初めて使用する場合、eDirectoryからの証明書を信頼するかどうかの選択を求めるプロンプトが表示されます。環境に応じて、現在のセッションのみ、または現在と今後のセッションに対して証明書を信頼する、またはすべての証明書を信頼することを選択したり、証明書を信頼しないことを選択できます。

  • Identity Managerサーバでリモートローダを実行している場合、LDAPまたはドット形式のいずれかでコマンドを実行します。別のサーバにリモートローダがインストールされている場合、LDAP形式でのみコマンドを実行します。

  • Identity Managerサーバで認証できるようにサーバIPアドレスまたはホスト名を解決するには、コマンドに-hostパラメータを指定します。

次の構文を使用してコマンドを実行します。

dxcmd -dnform ldap -host <IP address of the host> -user <admin DN> -password <password of admin> -exportcerts <kmoname> <client> <java|native|dotnet> <output dir>

表 10-1 異なるドライバのタイプの例

ドライバのタイプ

コマンド

出力

Javaドライバ

 
dxcmd -dnform ldap -host 194.99.90.218 -user cn=admin,ou=sa,o=system -password novell -exportcerts clientkmo client java 'C:\certs'

C:\certsディレクトリのclientkmo_client.ksファイル

キーストアのデフォルトパスワードはdirxmlです。

デフォルトの秘密鍵パスワードdirxmlです。

ネイティブドライバ

 
dxcmd -dnform ldap -host 194.99.90.218 -user cn=admin,ou=sa,o=system -password novell -exportcerts clientkmo client native 'C:\certs'

C:\certsディレクトリのclientkmo_clientcert.pem、clientkmo_clientkey.pemおよびtrustedcert.b64ファイル。

デフォルトキーパスワードはdirxmlです。

.NETドライバ

 
dxcmd -dnform ldap -host 194.99.90.218 -user cn=admin,ou=sa,o=system -password novell -exportcerts clientkmo client dotnet 'C:\certs'

C:\certsディレクトリのclientkmo_clientcert.pfxおよびtrustedcert.b64ファイル。

clientkmo_clientcert.pfxのデフォルトのキーパスワードはdirxmlです。

リモートローダ用サードパーティ証明書のエクスポート

リモートローダでサードパーティ証明書を使用するには、.pfxファイルの証明書およびBase 64形式の信頼するルートファイルをエクスポートし、.pfx証明書をドライバが使用する形式に変換する必要があります。たとえば、ネイティブドライバでは.pem形式の秘密鍵と証明書キーが必要ですが、Javaドライバでは、.jks形式のキーストアが必要です。.NETドライバは.pfx形式のファイルを使用します。したがって、.NETドライバについてはファイルを変換する必要はありません。

ネイティブドライバ

次の手順に従います。

  1. 秘密鍵を.pfxファイルから.pem形式で取得します。

    コマンドを入力します(openssl pkcs12 -in servercert.pfx -out serverkey.pemなど)。

  2. 証明書キーを.pfxファイルから.pem形式で取得します。.

    コマンドを入力します(openssl pkcs12 -in servercert.pfx -out servercert.pemなど)。

Javaドライバ

Javaキーストアを.pfxファイルから作成します。次のコマンドを入力します。

keytool -importkeystore -srckeystore servercert.pfx -srcstoretype pkcs12 -destkeystore servercert.jks -deststoretype JKS

このコマンドは、ソースキーストアパスワード(srckeystore passwd)および宛先キーストアパスワード(dest keystorepasswd)を入力するように求めます。これらのパスワードを適宜入力します。

最終手順として、ドライバのタイプに応じてリモートローダ設定ファイルの情報を指定します。詳細については、相互認証のためのドライバの有効化を参照してください。

相互認証のためのドライバの有効化

次のタスクを実行して、相互認証のためにドライバ通信を有効にします。

KMOまたはキーストアを使用したドライバの設定

DesignerまたはiManagerでKMOまたはキーストアを使用してドライバを設定できます。

Designer

KMOまたはDesignerのキーストアを使用してドライバを設定する前に、次のような基本的なドライバ設定が完了していることを確認します。

  1. Designerでプロジェクトを開きます。

  2. モデラービューのパレットで、作成するドライバを選択します。

  3. ドライバのアイコンをモデラービュー上にドラッグします。

  4. インストールウィザードに表示される手順に従います。

  5. [リモートローダ]ウィンドウではいを選択します。

    1. ホスト名: ドライバのリモートローダサービスが実行されているサーバのホスト名またはIPアドレスを指定します。たとえば、ホスト名として「192.168.0.1」と入力します。このパラメータの値を指定しない場合、値はデフォルトでlocalhostになります。

    2. ポート: このドライバ用のリモートローダがインストールされ、動作している場所のポート番号を指定します。デフォルトのポート番号は8090です。

  6. 次へをクリックします。

  7. ドライバのインストールが終了するまで、ウィザードの残りの指示に従ってください。

  8. ドライバを作成するために完了するタスクの概要を確認し、終了をクリックします。

KMOまたはキーストアを使用してドライバ設定を変更するには

  1. Designerのアウトラインビューで、ドライバを右クリックします。

  2. プロパティを選択します。

  3. ナビゲーションペインで、ドライバ環境設定を選択します。

  4. 認証で、Enable Mutual Authentication (相互認証を有効にする)を選択し、次のパラメータを指定します。

    KMO

    サーバKMOの名前を指定します。

    その他のパラメータ

    rootfileとその絶対パスを指定します。

    キーストアファイル

    キーストアファイルの絶対パスを指定します。

    キーエイリアス

    サーバKMOの名前を指定します。

    図 10-1 Designerで相互認証を有効にするための設定例

  5. キーストアパスワードの設定

  6. キーパスワードの設定

メモ:デフォルトで、キーストアパスワードおよびキーパスワードdirxmlに設定されます。

dxcmdコマンドを使用して、キーストアパスワードとキーパスワードを設定することもできます。

dxcmd -user <administrative_user> -password <admin_password>

  1. [ドライバ操作]を選択します。

  2. キーストアパスワードおよびキーパスワードを設定するドライバを選択します。

  3. [Password Operations (パスワード操作)]を選択します。

  4. [相互認証のキーストアパスワードの設定]を選択し、キーストアパスワードを入力します。

  5. [相互認証のキーパスワードの設定]を選択し、キーパスワードを入力します。

iManager

iManagerで設定を変更するには:

  1. iManagerを起動します。

  2. Identity Managerの管理で、Identity Managerの概要を選択します。

  3. 概要で、Identity Managerドライバセットを選択します。

  4. 設定するドライバのプロパティの編集を選択します。

  5. ドライバ環境設定で、次のパラメータを指定します。

    1. ドライバモジュールで、リモートローダに接続を選択します。

    2. リモートローダ接続パラメータで、次の接続詳細を指定します。

      KMO=<server_KMO_name>
rootfile=<absolute path to the file>

      次に例を示します。

      KMO=serverkmo
rootfile=C:\cacert.b64

    3. アプリケーションパスワードを設定します。

    4. 相互認証を有効にするを選択します。

    5. キーストア方法を使用するには、次の項目を指定します。

      キーエイリアス

      サーバKMOの名前を指定し、キーパスワードを設定します。

      たとえば、serverKMOです。

      キーストアファイル

      キーストアファイルの絶対パスを指定し、キーストアパスワードを設定します。

      たとえば、C:\certs\serverkmo_server.ksです。

    6. 適用をクリックし、OKをクリックします。

    図 10-2 iManagerで相互認証を有効にするための設定例

メモ:相互認証を有効にする場合は、リモートローダパスワードおよびドライブオブジェクトパスワードの設定は必要ありません。

新しいリモートローダドライバインスタンスの追加

  1. Identity Managerリモートローダコンソールアプリケーションを右クリックして、管理者として実行を選択します。

  2. 新しいリモートローダインスタンスを追加するには、追加をクリックします。

  3. 説明を指定し、ドライバのタイプを選択します。

  4. リモートローダとIdentity Managerエンジンの接続に使用される接続ポートを指定します。

  5. リモートローダインスタンスのコマンドポートを指定します。

  6. Mutual Authentication (相互認証)を選択し、必要なドライバタイプを指定します。

    • Javaドライバ: 証明書を含むキーストアファイルのパスを参照します。このキーストアファイルには少なくとも1つの公開鍵/秘密鍵ペアが存在する必要があります。

      キーストアファイル

      認証に使用するJava キーストアファイルのパスを指定します。キーストアファイルには暗号化キーと証明書が含まれます。たとえば、eDirectoryからの証明書のエクスポートdxcmdによって作成されたC:\certs\ディレクトリのclientkmo_client.ksです。

      キー別名

      対照鍵の生成に使用するキーストアファイル内の公開鍵/秘密鍵ペアの名前を指定します。たとえば、clientkmoです。

      キーストアパスワード

      キーストアファイルをロードする際に使用するパスワードを指定します。

      プライベートキーパスワード

      キーストアに保存されている秘密鍵のパスワードを指定します。Identity Managerは、SSL通信を暗号化する際にこの鍵を使用します。

      図 10-3 Javaリモートローダインスタンスの追加例

    • ネイティブドライバ: 認証用の証明書が保存されているキーファイルへのパスを参照します。キーファイルはBase 64形式である必要があります。

      キーファイル

      認証用の鍵が保存されているファイルのパスを指定します。たとえば、dxcmdによって作成されたC:\certs\ディレクトリのclientkmo_clientkey.pemファイルです。

      キーパスワード

      認証に使用する秘密鍵のパスワードを指定します。

      証明書ファイル

      証明書が保存されているファイルを指定します。この証明書ファイルはBase 64形式である必要があります。たとえば、eDirectoryからの証明書のエクスポートdxcmdによって作成されたC:\certs\ディレクトリのclientkmo_clientcert.pemファイルです。

      Trusted Root File

      リモートインタフェースシムが使用する証明書の発行者のルート認証局証明書を含むファイルの名前を指定します。信頼するルートファイルはBase 64形式である必要があります。たとえば、eDirectoryからの証明書のエクスポートdxcmdによって作成されたC:\certs\ディレクトリのtrustedcert.b64ファイルです。

      図 10-4 ネイティブリモートローダインスタンスを追加する例

    • .NETドライバ: 認証用の証明書が保存されているキーファイルへのパスを参照します。

      キーファイル

      認証用の鍵が保存されているファイルのパスを指定します。たとえば、eDirectoryからの証明書のエクスポートdxcmdによって作成されたC:\certs\ディレクトリのclientkmo_clientcert.pfxファイルです。

      キーパスワード

      認証に使用する秘密鍵のパスワードを指定します。

      Trusted Root File

      リモートインタフェースシムが使用する証明書の発行者のルート認証局証明書を含むファイルの名前を指定します。信頼するルートファイルはBase 64形式である必要があります。たとえば、eDirectoryからの証明書のエクスポートdxcmdによって作成されたC:\certs\ディレクトリのtrustedcert.b64ファイルです。

      図 10-5 .NETリモートローダインスタンスの追加例

    このドライバ用に、dxcmdツールを使用して生成した出力ファイルの詳細については、表 10-1, 異なるドライバのタイプの例を参照してください。

ドライバインスタンスのリモートローダの設定

リモートローダ設定ファイルのドライバインスタンスを設定する必要があります。ドライバ用のリモートローダ設定ファイルのキーストアファイル、キーファイル、証明書ファイル、およびルートファイルを格納するディレクトリへの絶対パスを確実に指定します。

  1. リモートローダコンソールの説明カラムから、ドライバインスタンスを選択します。

  2. 停止をクリックします。

  3. リモートローダのパスワードを入力して、OKをクリックします。

  4. 編集をクリックし、新しいリモートローダドライバインスタンスの追加からステップ 6を実行します。

  5. OKをクリックします。

10.3.8 設定の検証

リモートローダの起動と停止の詳細については、セクション 10.4, リモートローダの起動と停止を参照してください。

  1. iManagerを使用してドライバを起動します。

  2. 次のいずれかの方法を使用してリモートローダを管理します。

    リモートローダユーザインタフェース

    1. Identity Managerリモートローダコンソールを右クリックして、管理者として実行を選択します。

    2. リモートローダインタフェースを使用して、開始停止追加削除、および他の操作を実行できます。

    メモ:リモートローダをサービスとして実行するには、このドライバインスタンスのリモートローダサービスを設定するを選択します。このオプションを選択解除すると、リモートローダがアプリケーションとして実行されます。

    リモートローダコンソール

    リモートローダがインストールされた場所に移動し、コマンドプロンプトで次のコマンドを実行します。

    1. リモートローダインスタンスを起動またはロードするには:

      Javaリモートローダの場合:

      dirxml_jremote -config <configuration_filename> -ksp <keystore_password> -kp <keypassword>

dirxml_jremote -config <configuration_filename>

      ネイティブリモートローダの場合:

      dirxml_remote -config <configuration_filename> -ksp <keystore_password> -kp <keypassword>

dirxml_remote -config <configuration_filename>

      .NETリモートローダの場合:

      RemoteLoader.exe  -config <configuration_filename> -ksp <keystore_password> -kp <keypassword>

RemoteLoader.exe  -config <configuration_filename>

    2. リモートローダインスタンスを停止またはアンロードするには、前のコマンドの最後に-uを追加します。例  

      Javaリモートローダの場合:

      dirxml_jremote -config <configuration_filename> -u

      ネイティブリモートローダの場合:

      dirxml_remote -config <configuration_filename> -u

      .NETリモートローダの場合:

      RemoteLoader.exe  -config <configuration_filename> -u

    メモ:リモートローダインスタンスをサービスとして実行するには、次のコマンドを使用します。

    dirxml_remote -config config.txt -service install