4.3 root以外のユーザによるIdentity Managerエンジンのインストール

root以外のユーザとしてIdentity Managerエンジンをインストールすると、Linuxサーバのセキュリティを強化できます。アイデンティティボールトをrootとしてインストールした場合、Identity Managerエンジンをroot以外のユーザとしてインストールすることはできません。root以外のユーザとしてエンジンをインストールする場合は、次の手順を実行する必要があります。

  1. NICIがインストールされていることを確認します。詳細については、NICI のインストールを参照してください。

  2. アイデンティティボールトのルート以外のインストールを実行します。詳細については、アイデンティティボールトのroot以外のインストールの実行を参照してください。

  3. Identity Managerエンジンのroot以外のインストールを実行します。詳細については、エンジンのroot以外のインストールを実行を参照してください。

4.3.1 NICI のインストール

アイデンティティボールトのインストールを続行する前に、NICIをインストールする必要があります。必須NICIパッケージはシステム全体で使われるため、rootユーザを使って、必要なパッケージをインストールすることをお勧めします。ただし、必要であれば、sudoを使用して別のアカウントにアクセス権限を委任し、そのアカウントを使用してNICIパッケージをインストールすることができます。

  1. マウントしたisoから、/IDVault/setup/ディレクトリに移動します。

  2. 次のコマンドを実行します。

    rpm -ivh nici64-3.1.0-1.00.x86_64.rpm

  3. NICIがサーバモードに設定されていることを確認します。次のコマンドを入力します。

    /var/opt/novell/nici/set_server_mode64

    これはアイデンティティボールトの設定プロセスが失敗しないようにするための必須の手順です。

4.3.2 アイデンティティボールトのroot以外のインストールの実行

このセクションでは、アイデンティティボールトをインストールするためにtarballを使用する方法について説明します。ファイルを抽出すると、システムによりetcopt、およびvarディレクトリが作成されます。

  1. 識別ボールトをインストールするコンピュータに対する適切な権利を持つsudoユーザとしてログインします。

    メモ:カスタムインストールパスを指定する場合は、rootユーザとしてログインすることもできます。

  2. マウントしたisoから、/IDVault/ディレクトリに移動します。

  3. 新しいディレクトリを作成して、そのディレクトリにeDir_NonRoot.tar.gzファイルをコピーします。たとえば、/home/user/install/eDirectoryです。

  4. 次のコマンドを使用してファイルを展開します。

    tar -zxvf eDir_NonRoot.tar.gz

  5. 環境変数のパスを手動でエクスポートするには、以下のコマンドを入力します。

    export LD_LIBRARY_PATH=custom_location/eDirectory/opt/novell/eDirectory/
lib64:custom_location/eDirectory/opt/novell/eDirectory/lib64/ndsmodules:
custom_location/eDirectory/opt/novell/lib64:$LD_LIBRARY_PATH

export PATH=custom_location/eDirectory/opt/novell/eDirectory/
bin:custom_location/eDirectory/opt/novell/eDirectory/sbin:/opt/novell/
eDirectory/bin:$PATH

export MANPATH=custom_location/eDirectory/opt/novell/man:custom_location/
eDirectory/opt/novell/eDirectory/man:$MANPATH

export TEXTDOMAINDIR=custom_location/eDirectory/opt/novell/eDirectory/
share/locale:$TEXTDOMAINDIR

  6. ndspathスクリプトを使用して、環境変数のパスをエクスポートするには、ユーティリティの前にndspathスクリプトを指定する必要があります。次の手順に従います。

    1. custom_location/eDirectory/optディレクトリから、次のコマンドを使用してユーティリティを実行します。

      custom_location/eDirectory/opt/novell/eDirectory/bin/ndspath
utility_name_with_parameters

    2. 次のコマンドを使用して、現在のシェルのパスをエクスポートします。

      . custom_location/eDirectory/opt/novell/eDirectory/bin/ndspath

    3. ユーティリティを通常どおり実行します。

    4. パスのエクスポート指示は、/etc/profile~/bashrcなどのスクリプトの最後に追加します。

      この手順により、ログイン時または新しいシェルのオープン時には常に、ユーティリティを直接起動できます。

  7. 以下のいずれかの方法を使用して、アイデンティティボールトを設定します。

    • ndsconfigユーティリティを使用します

      ndsconfig new [-t <treename>] [-n <server_context>] [-a <admin_FDN>] [-w
<admin password>] [-i] [-S <server_name>] [-d <path_for_dib>] [-m <module>]
[e] [-L <ldap_port>] [-l <SSL_port>] [-o <http_port>] -O <https_port>] [-p
<IP address:[port]>] [-c] [-b <port_to_bind>] [-B <interface1@port1>,
<interface2@port2>,..] [-D <custom_location>] [--config-file
<configuration_file>] [--configure-eba-now <yes/no>]

      ここで、-tはサーバの追加先のツリー名を示します。

      -nは、サーバオブジェクトを追加するサーバのコンテキストを示します。

      -aは、サーバオブジェクトとディレクトリサービスの作成先のコンテキストに対するスーパバイザ権を持つ、ユーザオブジェクトの完全識別名を示しします。

      -sは、サーバ名を示します

      -dは、データベースファイルが保存されているディレクトリパスを示します。

      -mは、モジュール名を示します。

      設定プロセス中に指定した値と同じ値を指定する必要があります。

      次に例を示します。

      ndsconfig new -t novell-tree -n novell -a admin.novell -S linux1 -d /home/
mary/inst1/data -b 1025 -L 1026 -l 1027 -o 1028 -O 1029 -D /home/inst1/var --config-file /home/inst1/nds.conf --configure-eba-now yes

      入力するポート番号は、1024~65535の範囲内にする必要があります。1024より小さいポート番号は通常、スーパユーザと標準アプリケーション用に予約されています。そのため、eDirectoryアプリケーションには、デフォルトのポート524は使用できません。

      これが原因で、次のアプリケーションで問題が発生する可能性があります。

      • ターゲットサーバポートを指定するオプションがないアプリケーション。

      • NCPを使用し、ポート524でルートとして動作する古いアプリケーション。

    • ndsmanageユーティリティを使用して、新しいインスタンスを設定します。詳細については、『NetIQ eDirectory Installation Guide』の「Creating an Instance through ndsmanage」を参照してください。

4.3.3 エンジンのroot以外のインストールを実行

この方法を使用する場合、次のコンポーネントはインストールできません。

  • リモートローダ: root以外のユーザとしてリモートローダをインストールするには、Javaリモートローダを使用します。詳細については、Javaリモートローダのインストールを参照してください。

  • Linuxアカウントドライバ: 機能させるにはroot権限が必要です。

メモ:root以外のユーザとしてIdentity Managerエンジンをインストールすると、インストールファイルはroot以外のユーザディレクトリに置かれます。たとえば、/home/userです。このユーザはroot以外です。インストールファイルは、Identity Managerを実行するために必要ではありません。インストール後にファイルを削除できます。

Identity Managerエンジンを非rootユーザとしてインストールする

  1. アイデンティティボールトのインストールに使用したroot以外のユーザとしてログインします。

    このユーザアカウントには、root以外でインストールしたアイデンティティボールトのディレクトリおよびファイルに対する書き込みアクセス権が必要です。

  2. Identity_Manager_4.8_Linux.isoをマウントした場所に移動します。

  3. マウント場所から、/IDMディレクトリに移動します。

  4. 次のコマンドを実行します:

    ./idm-nonroot-install.sh

  5. 次の情報を使用して、インストールを完了します。

    root以外でインストールしたeDirectoryの基本ディレクトリ

    root以外でインストールしたeDirectoryがあるディレクトリを指定します。たとえば、/home/user/install/eDirectoryです。

    eDirectoryスキーマの拡張

    これがeDirectoryのこのインスタンスにインストールされている最初のIdentity Managerサーバである場合、「Y」と入力してスキーマを拡張します。スキーマを拡張しないと、Identity Managerは機能しません。

    root以外でインストールしたeDirectoryによってホストされていて、root以外のユーザが所有しているeDirectoryの各インスタンスのスキーマを拡張するようメッセージが表示されます。

    スキーマを拡張するよう選択した場合、スキーマを拡張する権限を持つeDirectoryユーザの完全識別名(DN)を指定します。スキーマを拡張するには、ユーザにツリー全体に対するスーパバイザ権限が必要です。root以外のユーザとしてスキーマを拡張する場合の詳細については、schema.logファイルを参照してください。このファイルは、eDirectoryの各インスタンスのdataディレクトリにあります。

    インストール完了後、/opt/novell/eDirectory/bin/idm-install-schemaプログラムを実行して、追加のeDirectoryインスタンスのスキーマを拡張します。

  6. インストールプロセスを完了するには、root以外のインストールの完了に移動してください。