リモートローダとIdentity Managerエンジンとの間でデータが安全に転送されるようにする必要があります。NetIQでは、通信にTLS/SSL (Transport Layer Security/Secure Socket Layer)プロトコルを使用することをお勧めします。TLS/SSL接続をサポートするには、キーストアファイル内に適切な自己署名証明書が必要です。このセクションでは、その証明書を作成、エクスポート、および保管する方法について説明します。
メモ:Identity Managerエンジンをホストするサーバとリモートローダで同じバージョンのSSLを使用してください。サーバとリモートローダのSSLのバージョンが一致していないと、サーバから「SSL3_GET_RECORD:wrong version number」というエラーメッセージが返されます。このメッセージは単なる警告で、サーバとリモートローダ間の通信が中断されることはありませんが、エラーが表示されると混乱を招くおそれがあります。
リモートローダはサーバのソケットを開いて、リモートインタフェースシムからの接続をリスンします。リモートインタフェースシムとリモートローダは、SSLハンドシェークを実行してセキュアなチャネルを確立します。続いて、リモートインタフェースシムはリモートローダへの認証を実行します。リモートインタフェースシムの認証が成功すると、リモートローダはリモートインタフェースシムへの認証を実行します。正規の権限によって通信が確立されていることを両側から確認できた場合にのみ、同期トラフィックが発生します。
ドライバとIdentity Managerエンジンとの間でSSL接続を確立するプロセスは、次のようにドライバのタイプによって異なります。
ネイティブのドライバ(Active Directoryドライバなど)の場合、Base64エンコード証明書を指します。詳細については、セクション 18.1.2, 自己署名サーバ証明書の管理を参照してください。
Javaドライバの場合、キーストアを作成する必要があります。詳細については、セクション 18.1.3, SSL接続使用時のキーストアファイルの作成を参照してください。
メモ:リモートローダでは、リモートローダおよびIdentity Managerサーバでホストされているリモートインタフェースシムとの間の接続方法をカスタマイズできます。カスタム接続モジュールを設定する場合、接続文字列で必要な項目と使用可能な項目に関する情報については、モジュールに付属のマニュアルを参照してください。
自己署名サーバ証明書を作成してエクスポートすることで、リモートローダとIdentity Managerエンジン間のセキュアな通信を保証できます。新しい証明書を作成してエクスポートできます。SSLサーバ証明書がすでに存在していて、SSL証明書を使用した経験がある場合は、新しい証明書を作成して使用するのではなく既存の証明書を使用することもできます。Active Directoryドライバなどのネイティブドライバを使用する場合は、このプロセスを使用する必要があります。
メモ:サーバがツリーに参加すると、eDirectoryによって次のデフォルトの証明書が作成されます。
SSL CertificateIP
SSL CertificateDNS
NetIQ iManagerにログインします。
新しい証明書を作成するには、次の手順を実行します。
[NetIQ Certificate Server]>[Create Server Certificate (サーバ証明書の作成)]の順にクリックします。
証明書を所有するサーバを選択します。
証明書のニックネームを指定します。たとえば、「remotecert」と指定します。
メモ:証明書のニックネームにはスペースを使用しないことをお勧めします。たとえば、「remote cert」ではなく「remotecert」を使用します。
また、証明書のニックネームは書き留めておいてください。このニックネームは、ドライバのリモート接続パラメータのKMO名に使用します。
[Creation method]は[Standard]のままにし、[Next]をクリックします。
[Summary]の画面を確認し、[Finish]をクリックして[Close]をクリックします。
証明書をエクスポートするには、次の手順を実行します。
iManagerで、[eDirectory Administration]>[Modify Object]の順にクリックします。
[Security]コンテナの[Certificate Authority]を参照して選択し、[OK]をクリックします。
認証局(CA)にはツリー名に基づいた名前(Treename-CA.Security)が付けられます。
[Certificates (証明書)]タブで、証明書のリストから[Self-Signed Certificate (自己署名証明書)]を選択します。
[Export]をクリックします。
Export Certificate (証明書のエクスポート)ウィザードで、[Export private key (秘密鍵のエクスポート)]を選択解除します。
エクスポート形式で[BASE64]を選択して、[次へ]をクリックします。
メモ:Windows 2003 R2 SP1 32ビットサーバでリモートローダを実行している場合、証明書はBase64形式にする必要があります。DER形式を使用すると、リモートローダがIdentity Managerエンジンに接続できません。
[Save the exported certificate (エクスポートした証明書を保存)]をクリックして、ローカルファイルシステムの場所を指定します。
[保存]、[閉じる]の順にクリックします。
JavaドライバとIdentity Managerエンジンの間でSSL接続を使用するには、キーストアを作成する必要があります。キーストアは、暗号化キーおよび証明書(オプション)を含むJavaファイルです。リモートローダとIdentity Managerエンジンの間でSSLを使用する必要があり、Javaシムを使用する場合は、キーストアファイルを作成する必要があります。次のセクションでは、キーストアファイルの作成方法について説明します。
任意のプラットフォームでキーストアを作成するには、コマンドラインで次のコマンドを入力します。
keytool -import -alias trustedroot -file self-signed_certificate_name -keystore filename -storepass keystorepass
filenameには任意の名前を指定できます(rdev_keystoreなど)。
Linux環境では、create_keystoreファイルを使用します。これは、Keytoolユーティリティを呼び出すシェルスクリプトです。このファイルはrdxmlとともにインストールされ、デフォルトではinstall_directory/dirxml/binディレクトリにあります。create_keystoreファイルは、\dirxml\java_remoteloaderディレクトリにあるdirxml_jremote.tar.gzファイルにも含まれています。
メモ:UNIXコンピュータでは、自己署名証明書を使用してキーストアが作成されると、Base64またはバイナリのDER形式で証明書をエクスポートできます。
コマンドラインで次のコマンドを入力します。
create_keystore self-signed_certificate_name keystorename
たとえば、次のいずれかを入力します。
create_keystore tree-root.b64 mystore create_keystore tree-root.der mystore
create_keystoreスクリプトにより、キーストアパスワード用にハードコードされている“dirxml”のパスワードが指定されます。キーストアに保存されるのはパブリック証明書と公開鍵のみなので、セキュリティリスクはありません。
Windowsでコンピュータでは、Keytoolユーティリティを実行します。このユーティリティは、デフォルトではc:\novel\lremoteloader\jre\binディレクトリにあります。