aix アダプターインストールと構成のガイド -...

Tivoli® Identity Manager

AIX アダプターインストールと構成のガイド

バージョン 4.6

SC88-9749-01(英文原典：SC32-1162-05)

��

注:

本書および本書で紹介する製品をご使用になる前に、63 ページの『付録 C. 特記事項』に記載されている情報をお読みください。

本書は、このアダプターのバージョン 4.6、および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。

本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。

http://www.ibm.com/jp/manuals/main/mail.html

なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは

http://www.ibm.com/jp/manuals/ の「ご注文について」をご覧ください。

(URL は、変更になる場合があります)

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　原　典： SC32–1162–05

Tivoli Identity Manager

Version 4.6

AIX Adapter Installation and Configuration Guide

　発　行：日本アイ・ビー・エム株式会社

　担　当：ナショナル・ランゲージ・サポート

第1刷 2005.8

この文書では、平成明朝体™W3、平成明朝体™W7、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™

W5、および平成角ゴシック体™W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。フォントとして無断複製することは禁止されています。

　　注* 平成明朝体™W3、平成明朝体™W7、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、平成角ゴシック体™W7

© Copyright International Business Machines Corporation 2003, 2005. All rights reserved.

© Copyright IBM Japan 2005

目次まえがき. . . . . . . . . . . . . . . v本書の対象読者 . . . . . . . . . . . . . v資料と関連情報 . . . . . . . . . . . . . v

Tivoli Identity Manager ライブラリー . . . . . v前提製品の資料 . . . . . . . . . . . . vii関連資料 . . . . . . . . . . . . . . ix

アクセシビリティ . . . . . . . . . . . . ixサポート情報 . . . . . . . . . . . . . . ix本書の規則 . . . . . . . . . . . . . . . x書体の規則 . . . . . . . . . . . . . . xオペレーティング・システムによる違い . . . . xHOME およびその他のディレクトリー変数の定義 xi

第 1 章 AIX アダプターの概要 . . . . . 1アダプターの機能 . . . . . . . . . . . . . 1

第 2 章 AIX アダプターのインストールと構成 . . . . . . . . . . . . . . . . 3前提条件 . . . . . . . . . . . . . . . . 3ネットワーク接続のテスト . . . . . . . . . . 3アダプターのインストール . . . . . . . . . . 4アダプター・プロファイルの Tivoli Identity Managerサーバーへのインポート . . . . . . . . . . 5アダプター・プロファイルのインポート . . . . 5

AIX サービスの作成 . . . . . . . . . . . . 6アダプターの構成 . . . . . . . . . . . . . 7

第 3 章 IBM Tivoli Identity Manager 用AIX アダプターの構成 . . . . . . . . . 9アダプター構成ツールの開始 . . . . . . . . . 9構成設定の表示 . . . . . . . . . . . . . 10プロトコル構成設定の変更 . . . . . . . . . 10イベント通知の構成 . . . . . . . . . . . 14イベント通知トリガーの設定 . . . . . . . 17イベント通知コンテキストの変更 . . . . . . 18

構成キーの変更 . . . . . . . . . . . . . 20アクティビティー・ロギング設定の変更 . . . . . 21レジストリー設定の変更 . . . . . . . . . . 23暗号化されないレジストリー設定値の変更 . . . 23

拡張設定の変更 . . . . . . . . . . . . . 25統計の表示 . . . . . . . . . . . . . . 26コード・ページ設定の変更 . . . . . . . . . 27ヘルプおよび追加オプションへのアクセス . . . . 27

第 4 章 AIX アダプターの SSL 認証の構成 . . . . . . . . . . . . . . . . 31SSL およびデジタル証明書の概要 . . . . . . . 31秘密鍵、公開鍵、およびデジタル証明書 . . . . 32自己署名証明書 . . . . . . . . . . . . 33証明書および鍵フォーマット . . . . . . . 33

SSL 認証の使用 . . . . . . . . . . . . . 34SSL 認証用証明書の構成 . . . . . . . . . . 34片方向 SSL 認証用証明書の構成 . . . . . . 34両方向 SSL 認証用証明書の構成 . . . . . . 35アダプターが SSL クライアントとして作動する際の証明書の構成 . . . . . . . . . . . 36

CertTool を使用した SSL 証明書の管理 . . . . . 37CertTool の始動 . . . . . . . . . . . . 38秘密鍵および認証要求の生成 . . . . . . . 40証明書のインストール . . . . . . . . . . 41PKCS12 ファイルからの証明書および鍵のインストール . . . . . . . . . . . . . . . 41インストール済みの証明書の表示 . . . . . . 42CA 証明書のインストール . . . . . . . . 42CA 証明書の表示 . . . . . . . . . . . 43CA 証明書の削除 . . . . . . . . . . . 43登録証明書の表示 . . . . . . . . . . . 43証明書の登録 . . . . . . . . . . . . . 43証明書の登録抹消 . . . . . . . . . . . 44PKCS12 ファイルへの証明書と鍵のエクスポート 44

第 5 章 AIX アダプターのカスタマイズ 45AIXProfile.jar ファイルのコピーとファイルの抽出 . 45新しい JAR ファイルの作成と新しい属性の TivoliIdentity Manager サーバーへのインストール . . . 46アカウントの復元時のパスワード管理 . . . . . 46

第 6 章 AIX アダプターまたは ADK のアップグレード . . . . . . . . . . . 49AIX アダプターのアップグレード . . . . . . . 49ADK のアップグレード . . . . . . . . . . 49ログ・ファイル . . . . . . . . . . . . 51

第 7 章 AIX アダプターのアンインストール . . . . . . . . . . . . . . . . 53

付録 A. アダプター属性 . . . . . . . . 55属性説明 . . . . . . . . . . . . . . . 55アクション別の AIX アダプター属性 . . . . . . 57

System Login Add . . . . . . . . . . . 57System Login Change . . . . . . . . . . 57System Login Delete . . . . . . . . . . 57システム・ログインの復元 . . . . . . . . 57システム・ログインのサスペンド . . . . . . 58Reconciliation . . . . . . . . . . . . . 58グループ・アクセス . . . . . . . . . . 58

付録 B. サポート情報. . . . . . . . . 61知識ベースの検索 . . . . . . . . . . . . 61

© Copyright IBM Corp. 2003, 2005 iii

ローカル・システムまたはネットワーク上のインフォメーション・センターの検索 . . . . . . 61インターネットの検索 . . . . . . . . . . 61

フィックスの取得 . . . . . . . . . . . . 62お客様サポートとの連絡 . . . . . . . . . . 62

付録 C. 特記事項 . . . . . . . . . . 63商標 . . . . . . . . . . . . . . . . . 64

索引 . . . . . . . . . . . . . . . . 67

iv IBM Tivoli Identity Manager: AIX アダプターインストールと構成のガイド

まえがき

IBM® Tivoli® Identity Manager AIX® アダプター (AIX アダプター) は、AIX サーバーを実行する複数のシステムから成るネットワークと IBM Tivoli Identity

Manager サーバーとの間の接続を確立します。アダプターがインストールおよび構成されると、Tivoli Identity Manager は、既存のサイトのセキュリティー・システムを使用して AIX リソースへのアクセスを管理します。本書では、AIX アダプターのインストールと構成の方法について説明します。

注: 管理対象リソースを Tivoli Identity Manager サーバーに接続するために使用されるプログラムを、アダプターと呼びます。アダプターという用語は、従来使用されていたエージェントという用語に代わるものです。アダプターを構成するために使用するユーザー・インターフェースでは、現在でもアダプターをエージェントと呼びます。

本書の対象読者本書の対象読者は、サイトのコンピューター・システム上にソフトウェアをインストールする AIX システム管理者およびセキュリティー管理者です。本書は、読者がAIX で使用される概念を理解していることを前提にしています。インストール手順を実行するユーザーは、対象となるサイトのシステム規格にも精通している必要があり、AIX に関して十分な経験と知識を持っている必要があります。読者は、通常の AIX システム管理タスクおよびセキュリティー管理タスクを実行できる必要があります。

AIX アダプター・ディレクトリーは、ルート・ディレクトリーの一部として作成する必要があります。インストール手順の一部のステップを完了するためには、アダプターをインストールする担当者にスーパーユーザー権限が必要です。

資料と関連情報Tivoli Identity Manager ライブラリーの説明をお読みください。どの追加資料が役立つかを判断するには、 viiページの『前提製品の資料』と ixページの『関連資料』をお読みください。

Tivoli Identity Manager ライブラリーTivoli Identity Manager 技術文書ライブラリーの資料は、以下のカテゴリーで構成されています。

v リリース情報

v オンライン・ユーザー・アシスタンス

v サーバー・インストールと構成

v 問題判別

v 技術的な補足

v アダプター・インストールと構成

© Copyright IBM Corp. 2003, 2005 v

リリース情報:

v IBM Tivoli Identity Manager リリース情報

Tivoli Identity Manager のソフトウェアとハードウェアの要件、および追加修正やパッチなどのサポート情報を提供します。

v IBM Tivoli Identity Manager はじめにお読みください

Tivoli Identity Manager 資料のリストを示します。

オンライン・ユーザー・アシスタンス

すべての Tivoli Identity Manager 管理用タスクのオンライン・ヘルプ・トピックとインフォメーション・センターを提供します。インフォメーション・センターには、従来は「IBM Tivoli Identity Manager 構成ガイド」と「IBM Tivoli Identity

Manager Policy および Organization 管理ガイド」で提供されていた情報が含まれます。

サーバー・インストールと構成:

「IBM Tivoli Identity Manager サーバーインストールと構成のガイド (WebSphere

環境用)」は、Tivoli Identity Manager のインストールと構成の情報を提供します。

従来は「IBM Tivoli Identity Manager 構成ガイド」で提供されていた構成情報が、現在ではインストール・ガイドまたは「IBM Tivoli Identity Manager インフォメーション・センター」で提供されています。

問題判別:

「IBM Tivoli Identity Manager 問題判別ガイド」は、Tivoli Identity Manager 製品の問題判別、ロギング、およびメッセージの情報を提供します。

技術的な補足:

以下の技術的な補足情報は、この製品に関心を持つ開発者などのグループにより提供されているものです。

v IBM Tivoli Identity Manager Performance Tuning Guide

実稼働環境用に Tivoli Identity Manager サーバーをチューニングするために必要な情報を提供します。以下の Web サイトで入手できます。

http://publib.boulder.ibm.com/tividd/td/tdprodlist.html

A-Z 製品リストの I の文字をクリックし、次に Tivoli Identity Manager リンクをクリックします。インフォメーション・センターで「Technical Supplements」セクションを参照します。

v Redbooks とホワイト・ペーパーは、以下の Web サイトで入手できます。

http://www.ibm.com/software/sysmgmt/products/support/

IBMTivoliIdentityManager.html

「Self Help」セクションの「Learn」カテゴリーを参照し、Redbooks リンクをクリックします。

vi IBM Tivoli Identity Manager: AIX アダプターインストールと構成のガイド


http://www-306.ibm.com/software/sysmgmt/products/support/IBMTivoliIdentityManager.html


v 技術情報は、以下の Web サイトで入手できます。

http://www.redbooks.ibm.com/redbooks.nsf/tips/

v フィールド・ガイドは、以下の Web サイトで入手できます。

http://www.ibm.com/software/sysmgmt/products/support/Field_Guides.html

v その他の Tivoli Identity Manager リソースを含む詳細なリストについては、以下の IBM developerWorks Web アドレスを検索してください。

http://www.ibm.com/developerworks/

アダプター・インストールと構成:

Tivoli Identity Manager サーバー技術文書ライブラリーにも、Tivoli Identity Manager

サーバー実装のアダプター・コンポーネントに関するプラットフォーム固有の最新のインストール文書が含まれています。アダプターは、以下の Web サイトで検索できます。

http://www.lotus.com/services/passport.nsf/WebDocs/

Passport_Advantage_Home

「Support & downloads」をクリックします。「Downloads and drivers」を参照します。リンクをクリックして、現在のアダプターのリストを表示します。

スキルとトレーニング:

以下は英語のみの対応となります。また、日本のお客様のためには、 Tivoli 研修サイト (http://www-6.ibm.com/jp/software/tivoli/training/roadmap.html) と Tivoli Identity

Manager 構成と管理のサイト (http://www-6.ibm.com/jp/lsj/newcees/

WMAdmi.wss?__FORM__ =CM_CurrCatDisp.html&course=CT161) があります。このマニュアルの発行の時点で、以下の追加スキルおよび技術トレーニングの情報が利用可能です。

v Virtual Skills Center for Tivoli Software の Web ページは、以下の URL にあります。

http://www.cgselearning.com/tivoliskills/

v Tivoli Education Software Training Roadmaps の Web ページは、以下の URL にあります。

http://www.ibm.com/software/tivoli/education/eduroad_prod.html

v Tivoli Technical Exchange の Web ページは、以下の URL にあります。


supp_tech_exch.html

前提製品の資料本書の情報を効果的に使用するには、Tivoli Identity Manager サーバーの前提製品についての知識が必要です。資料は以下の場所で入手できます。

v AIX サーバー

– http://www16.boulder.ibm.com/pseries/en_US/infocenter/base/aix.htm

まえがき vii




http://www.lotus.com/services/passport.nsf/WebDocs/Passport_Advantage_Home

http://www.lotus.com/services/passport.nsf/WebDocs/Passport_Advantage_Home

http://www.cgselearning.com/tivoliskills/

http://www.ibm.com/software/tivoli/education/eduroad_prod.html

http://www.ibm.com/software/sysmgmt/products/support/supp_tech_exch.html

http://www.ibm.com/software/sysmgmt/products/support/supp_tech_exch.html

http://www16.boulder.ibm.com/pseries/en_US/infocenter/base/aix.htm

v オペレーティング・システム

– IBM AIX®

http://www16.boulder.ibm.com/pseries/en_US/infocenter/base/aix52.htm

– Sun Solaris

http://docs.sun.com/db?q=solaris+9

– Red Hat Linux®

http://www.redhat.com/docs/

– Microsoft® Windows Server 2003

http://www.microsoft.com/windowsserver2003/proddoc/default.mspx

v データベース・サーバー

– IBM DB2®

- サポート: http://www.ibm.com/software/data/db2/udb/support.html

- インフォメーション・センター:

http://publib.boulder.ibm.com/infocenter/db2help/index.jsp

- 文書: http://www.ibm.com/cgi-bin/db2www/data/db2/udb/

winos2unix/support/v8pubs.d2w/en_main

- DB2 製品ファミリー: http://www.ibm.com/software/data/db2

- フィックスパック:

http://www.ibm.com/software/data/db2/udb/support/downloadv8.html

- システム要件: http://www.ibm.com/software/data/db2/udb/sysreqs.html

– Oracle

http://www.oracle.com/technology/documentation/index.html

http://otn.oracle.com/tech/index.html

http://otn.oracle.com/tech/linux/index.html

– Microsoft SQL Server 2000

http://www.msdn.com/library/

http://www.microsoft.com/sql/

v ディレクトリー・サーバー・アプリケーション

– IBM Directory Server

http://publib.boulder.ibm.com/tividd/td/IBMDS/IDSapinst52/

en_US/HTML/ldapinst.htm

http://www.ibm.com/software/network/directory

– Sun ONE ディレクトリー・サーバー

http://docs.sun.com/app/docs/coll/S1_DirectoryServer_52

v WebSphere Application Server

追加情報は、製品ディレクトリーまたは Web サイトで入手できます。

viii IBM Tivoli Identity Manager: AIX アダプターインストールと構成のガイド

http://www16.boulder.ibm.com/pseries/en_US/infocenter/base/aix52.htm

http://docs.sun.com/db?q=solaris+9

http://www.redhat.com/docs/

http://www.microsoft.com/windowsserver2003/proddoc/default.mspx

http://www.ibm.com/software/data/db2/udb/support.html

http://publib.boulder.ibm.com/infocenter/db2help/index.jsp

http://www.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/v8pubs.d2w/en_main

http://www.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/v8pubs.d2w/en_main

http://www.ibm.com/software/data/db2

http://www.ibm.com/software/data/db2/udb/support/downloadv8.html

http://www.ibm.com/software/data/db2/udb/sysreqs.html

http://www.oracle.com/technology/documentation/index.html

http://otn.oracle.com/tech/index.html

http://otn.oracle.com/tech/linux/index.html

http://www.msdn.com/library/

http://www.microsoft.com/sql/

http://publib.boulder.ibm.com/tividd/td/IBMDS/IDSapinst52/en_US/HTML/ldapinst.htm

http://publib.boulder.ibm.com/tividd/td/IBMDS/IDSapinst52/en_US/HTML/ldapinst.htm

http://www.ibm.com/software/network/directory

http://docs.sun.com/app/docs/coll/S1_DirectoryServer_52

http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp

http://www.redbooks.ibm.com/

v WebSphere Embedded Messaging

http://www.ibm.com/software/integration/wmq/

v IBM HTTP Server

http://www.ibm.com/software/webservers/httpservers/library.html

関連資料Tivoli Identity Manager サーバーに関連する情報は、以下の資料で入手できます。

v Tivoli Software Library には、ホワイト・ペーパー、データ・シート、デモンストレーション、Redbooks、発表レターなど各種の Tivoli 資料があります。Tivoli

Software Library の Web ページは、以下の URL にあります。

http://www.ibm.com/software/tivoli/literature/

v Tivoli Software Glossary には、Tivoli ソフトウェアに関連する多数の技術用語の定義があります。Tivoli Software Glossary には、Tivoli Software Library Web ページの以下の Glossary リンクからアクセスできます。

http://publib.boulder.ibm.com/tividd/glossary/tivoliglossarymst.htm

アクセシビリティこの製品資料には、アクセシビリティを補助する以下のような特徴があります。

v スクリーン・リーダー・ソフトウェアを利用するユーザーの便宜を考慮して、変換可能な PDF 形式の文書が提供されています。

v 文書内のすべてのイメージに代替テキストが提供されているため、視覚障害のあるユーザーもイメージの内容を理解できます。

サポート情報IBM ソフトウェアで問題が発生した場合は、速やかに解決する必要があります。IBM では、以下の方法で必要なサポートを提供します。

v 知識ベースの検索: 既知の問題、予備手段、技術情報などの情報を収集した大規模なデータベースを検索できます。

v フィックスの入手: 製品用に既に提供されている最新のフィックスを入手できます。

v お客様サポートとの連絡: 資料およびお客様サポートについては営業担当員にお問い合わせください。

問題を解決するこれらの方法について詳しくは、 61ページの『付録 B. サポート情報』を参照してください。

まえがき ix

http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp

http://www.redbooks.ibm.com/

http://www.ibm.com/software/integration/wmq/

http://www-3.ibm.com/software/webservers/httpservers/library.html

http://www.ibm.com/software/tivoli/literature/

http://publib.boulder.ibm.com/tividd/glossary/tivoliglossarymst.htm

本書の規則本書では、特殊な用語と操作およびオペレーティング・システム依存のコマンドとパスを表記する場合に、いくつかの規則を使用します。

書体の規則本書では、次の書体の規則を使用しています。

太字

v 周囲のテキストと区別しにくい小文字のコマンドまたは大/小文字混合のコマンド

v インターフェース・コントロール (チェック・ボックス、プッシュボタン、ラジオ・ボタン、スピン・ボタン、フィールド、フォルダー、アイコン、リスト・ボックス、リスト・ボックス内の項目、複数列のリスト、コンテナー、メニュー選択、メニュー名、タブ、プロパティー・シート)、ラベル (ヒント:、およびオペレーティング・システムの考慮事項: など)

v テキスト内のキーワードおよびパラメーター

イタリック

v テキスト内で定義された用語

v 用語の強調 (通常の単語として)

v テキスト内の新規用語 (定義リスト内を除く)

v ユーザーが指定する変数および値

モノスペース

v 例およびコード例

v 周囲のテキストと区別しにくいファイル名、プログラミング・キーワードなどのエレメント

v ユーザーに対するメッセージ・テキストおよびプロンプト

v ユーザーが入力するテキスト

v 引数またはコマンド・オプションの値

オペレーティング・システムによる違い本書では、環境変数の指定およびディレクトリーの表記に UNIX® の規則を使用します。

Windows のコマンド行を使用するときには、環境変数の場合は $variable を%variable% に、ディレクトリー・パスの場合は各スラッシュ (/) を円記号 (¥) に置き換えてください。Windows と UNIX では環境変数の名前が異なることがあります。例えば、Windows オペレーティング・システムでの %TEMP% は、UNIX オペレーティング・システムでの $tmp に相当します。

注: Windows システム上で bash シェルを使用している場合は、UNIX の規則を使用できます。

x IBM Tivoli Identity Manager: AIX アダプターインストールと構成のガイド

HOME およびその他のディレクトリー変数の定義以下の表は、さまざまな製品インストール・パスの HOME ディレクトリー・レベルを表現するために本書で使用されるデフォルトの定義を示します。インストール・ディレクトリーと HOME ディレクトリーは、個別の実装に応じてカスタマイズできます。その場合には、この表に示す各変数の定義を適切な値で置き換える必要があります。

path の値はオペレーティング・システムごとに異なります。

v Windows: drive:¥Program Files

v AIX: /usr

v その他の UNIX: /opt

パス変数デフォルト定義説明

DB_INSTANCE_HOME Windows:

path¥IBM¥SQLLIB

UNIX:

v AIX、Linux: /home/dbinstancename

v Solaris: /export/home/dbinstancename

Tivoli Identity

Manager のデータベースを格納するディレクトリー。

まえがき xi


LDAP_HOME v IBM Directory Server Version 5.2 の場合

Windows:

path¥IBM¥LDAP

UNIX:

– AIX、Linux: path/ldap

– Solaris: path/IBMldaps

path/IBM/LDAP

v IBM Directory Server Version 6.0 の場合

Windows:

path¥IBM¥LDAP¥V6.0

UNIX:

path/IBM/LDAP/V6.0

– AIX、Solaris

– Linux: opt/ibm/ldap/V6.0

v Sun ONE ディレクトリー・サーバーの場合

Windows:

path¥Sun¥MPS

UNIX:

/var/Sun/mps

ディレクトリー・サーバー・コードを格納するディレクトリー。

xii IBM Tivoli Identity Manager: AIX アダプターインストールと構成のガイド


IDS_instance_HOME IBM Directory Server Version 6.0 の場合

Windows:

drive¥ibmslapd-instance_owner_name

Windows システム上での drive の値の例は C:¥ です。instance_owner_name の例はldapdb2 です。例えば、ログ・ファイルはC:¥idsslapd-ldapdb2¥logs¥ibmslapd.log になります。

UNIX:

INSTANCE_HOME/idsslapd-instance_name

Linux および AIX システム上でのデフォルト・ホーム・ディレクトリーは/home/instance_owner_name ディレクトリーです。 Solaris システム上でのディレクトリーの例は/export/home/ldapdb2/idsslapd-ldapdb2 ディレクトリーです。

IBM Directory Server

Version 6.0 インスタンスを格納するディレクトリー。

HTTP_HOME Windows:

path¥IBMHttpServer

UNIX:

path/IBMHttpServer

IBM HTTP Server

コードを格納するディレクトリー。

ITIM_HOME Windows:

path¥IBM¥itim

UNIX:

path/IBM/itim

Tivoli Identity

Manager コード、構成、および文書を格納する基本ディレクトリー。

WAS_HOME Windows:

path¥WebSphere¥AppServer

UNIX:

path/WebSphere/AppServer

WebSphere

Application Server ホーム・ディレクトリー。

WAS_MQ_HOME Windows:

path¥ibm¥WebSphere MQ

UNIX:

path/mqm

WebSphere MQ コードを格納するディレクトリー。

WAS_NDM_HOME Windows:

path¥WebSphere¥DeploymentManager

UNIX:

path/WebSphere/DeploymentManager

デプロイメント・マネージャー上のホーム・ディレクトリー。

まえがき xiii


Tivoli_Common_Directory Windows:

path¥ibm¥tivoli¥common¥CTGIM

UNIX:

path/ibm/tivoli/common/CTGIM

ログや First Failure

Capture Data などすべての保守サービス関連ファイルの中央の格納場所。

xiv IBM Tivoli Identity Manager: AIX アダプターインストールと構成のガイド

第 1 章 AIX アダプターの概要

アダプターは、管理対象リソースと Tivoli Identity Manager サーバーの間のインターフェースを提供するプログラムです。アダプターは、管理対象リソース上に配置される場合とそうでない場合とがあります。Tivoli Identity Manager サーバーは、既存のセキュリティー・システムを使用してリソースへのアクセスを管理します。アダプターは、ターゲット・プラットフォーム上の信頼された仮想アドミニストレーターとして機能して、ログイン ID の作成や ID のサスペンドなどのタスクを実行したり、通常はアドミニストレーターが手動で実行するその他の機能を実行したりします。アダプターは、ユーザーが Tivoli Identity Manager サーバーにログオンしているかどうかとは無関係に、サービスとして実行されます。

IBM Tivoli Identity Manager AIX アダプターは、AIX サーバーを実行中のシステムと Tivoli Identity Manager サーバーとの間の接続を確立します。このインストール・ガイドでは、AIX アダプターのインストールと構成に必要な基本情報を提供します。この章では、アダプターの概要およびアダプターの機能を説明します。

アダプターの機能AIX アダプターを使用して、以下の管理タスクを自動化することができます。

v AIX サーバーへのアクセスを許可するユーザー ID を作成する。

v AIX サーバーにアクセスするための既存のユーザー ID を変更する。

v ユーザー ID からアクセスを除去する。これにより、AIX サーバーからユーザーID が削除されます。

v AIX サーバーへのアクセスを一時的に非アクティブ化することによってユーザー・アカウントをサスペンドする。

v AIX サーバーへのアクセスを再アクティブ化することによってユーザー・アカウントを復元する。

v AIX サーバーのユーザー・アカウント・パスワードを変更する。

v AIX サーバー上のすべての現行ユーザーに関するユーザー情報を調整する。

v ルックアップを実行して AIX サーバー上の特定のユーザー・アカウントに関するユーザー情報を調整する。

© Copyright IBM Corp. 2003, 2005 1

2 IBM Tivoli Identity Manager: AIX アダプターインストールと構成のガイド

第 2 章 AIX アダプターのインストールと構成

AIX アダプターをインストールおよび構成するには、いくつかのステップを適切な順序で実行する必要があります。インストール・プロセスを開始する前に、前提条件を確認してください。管理対象リソース上に、アダプターが使用するアカウントを作成することもできます。

前提条件表 1 は、AIX アダプターのインストールに必要なハードウェア、ソフトウェア、許可の前提条件を示しています。AIX アダプターをインストールする前に、すべての前提条件を満たしているかどうか確認してください。

表 1. アダプターのインストールの前提条件

システム v Power PC または Power PC 以外のサーバー

v 最小 256 MB のメモリー

v 最小 300 MB の空きディスク・スペース

オペレーティング・システム v AIX バージョン 5.1

v AIX バージョン 5.2

v AIX バージョン 5.3

ネットワークの接続性 TCP/IP ネットワーク

システム管理者権限 AIX アダプターのインストール手順を完了するユーザーは、この章のステップを完了できるシステム管理者権限を保有している必要があります。

Tivoli Identity Manager サーバー

バージョン 4.6

ネットワーク接続のテストAIX アダプターを正常に動作させるには、ご使用のシステムの基本的なネットワーク接続およびファイル転送機能をテストする必要があります。テストは、AIX アダプターをインストールする予定の AIX ワークステーションと、Tivoli Identity

Manager サーバーがインストールされている (インストールする予定の) ワークステーションの間で実行されます。

Tivoli Identity Manager サーバーから指定したアダプター・ワークステーションに対して ping コマンドを発行し、通信を確認する必要があります。

1. root またはスーパーユーザーとして AIX ワークステーションにログオンします。

2. Tivoli Identity Manager サーバーがインストールされているシステムと AIX ワークステーションの間の通信をテストします。例えば、ping AIX_host_name と入力します。


アダプターのインストールTivoli Identity Manager AIX アダプター・インストール・プログラムは、IBM Web

サイトからダウンロードして入手できます。Web アドレスおよびダウンロード手順については、IBM 担当者にお問い合わせください。

アダプターをインストールするには、以下のステップを完了します。

1. IBM Web サイトから AIX アダプター圧縮ファイルをダウンロードします。

2. 圧縮ファイルのコンテンツを一時ディレクトリーに抽出し、そのディレクトリーに移動します。

3. ./setupaix.bin と入力して Enter キーを押し、インストール・スクリプトを実行します。

FTP を使用してファイルを AIX サーバーに転送する場合は、必ずファイル名を英小文字にしてください。英小文字でない場合は、ファイルを名前変更して英小文字を使用してください。

4. 「ようこそ」ウィンドウで「次へ」をクリックします。

5. 「使用許諾契約書」ウィンドウで、ご使用条件を確認して、条項を受け入れるかどうか決定します。受け入れる場合は、「承諾」をクリックして、「次へ」をクリックします。

6. 「宛先ディレクトリーの選択 (Select Destination Directory)」ウィンドウで、アダプターをインストールする場所を「ディレクトリー名 (Directory Name)」フィールドに指定します。デフォルトの場所を受け入れることも、「参照」をクリックして、異なるディレクトリーを指定することもできます。次に、「次へ」をクリックします。

図 1. 「宛先ディレクトリーの選択 (Select Destination Directory)」ダイアログ・ウィンドウ


7. 「シャドー・パスワードの使用 (Use Shadow Passwords)」ウィンドウで、シャドー・パスワードを使用するかどうかを選択し、「次へ」をクリックします。

8. 「インストール後にエージェントを開始 (Start Agent After Installation)」ウィンドウで、インストールが完了した後にエージェントを開始するかどうかを選択し、「次へ」をクリックします。

9. 「インストールの要約 (Install Summary)」ウィンドウで、インストールの設定を確認します。設定を変更するには、「戻る」をクリックします。そうでない場合は、「次へ」をクリックし、インストールを開始します。

10. 「インストール完了」ウィンドウで「完了」をクリックして、プログラムを終了します。

アダプター・プロファイルの Tivoli Identity Manager サーバーへのインポート

サービスとしてアダプターを Tivoli Identity Manager サーバーに追加するには、サーバーにアダプターをサービスとして認識できるアダプター・プロファイルが必要です。AIX アダプターに同梱されているこのファイルには、アダプター JAR ファイル、AIXProfile.jar が含まれています。 Tivoli Identity Manager サーバーのインポート機能を使用して、アダプター・プロファイルをサービス・プロファイルとしてサーバーにインポートすることができます。

AIXProfile.jar ファイルには、アダプター・スキーマ、アカウント・フォーム、プロファイル・プロパティーの定義に必要なすべてのファイルが含まれています。AIXProfile.jar ファイルは、スキーマまたはプロファイルに何らかの変更を加えるために、この資料で参照します。JAR ファイルからこれらのファイルを抽出し、必要なファイルに変更を加え、更新済みファイルと共に JAR ファイルを再度パッケージする必要があります。JAR ファイルの更新方法について詳しくは、 45ページの『AIXProfile.jar ファイルのコピーとファイルの抽出』を参照してください。

アダプター・プロファイルのインポートアダプター・プロファイルは、Tivoli Identity Manager サーバーが管理するリソースのタイプを定義します。AIX アダプターを使用する前に、アダプター・プロファイルを Tivoli Identity Manager サーバーにインポートする必要があります。このプロファイルを使用して、Tivoli Identity Manager サーバーに AIX アダプター・サービスを作成し、アダプターと通信します。

アダプター・プロファイルをインポートする前に、以下の条件を満たしているかどうか確認してください。

v Tivoli Identity Manager サーバーをインストールし実行しておく必要があります。

v Tivoli Identity Manager サーバーで root 権限または管理者権限が必要です。

アダプター・プロファイルをインポートするには、以下のステップを完了します。

1. 管理者タスクを実行できる権限を保有したアカウントを使用して Tivoli Identity

Manager サーバーにログインします。

2. メインメニュー・ナビゲーション・バーで、「構成」タブを選択します。

3. 「構成」ウィンドウで、「インポート/エクスポート」 → 「インポート」タブを選択します。

第 2 章 AIX アダプターのインストールと構成 5

4. 「インポート」ウィンドウで、「アップロードするファイル」フィールドに、AIXProfile.jar ファイルの場所を入力するか、または「参照」をクリックしてファイルを検索します。

5. 「Identity Manager へのデータのインポート」リンクをクリックして、アダプター・プロファイルを Tivoli Identity Manager サーバーにインポートします。

v アダプター・プロファイルのインポートが正常終了したら、以下のメッセージが表示されます。

プロファイルのインストールが完了しました。

v アダプター・プロファイルのインポートが失敗したら、以下のメッセージが表示されます。

プロファイルのインストールに失敗しました。(Profile installation failed.)

アダプター・プロファイルをインポートする際、スキーマ関連のエラーが発生したら、trace.log ファイルにそのエラーに関する情報が含まれています。trace.log ファイルの場所は、Tivoli Identity Manager enRoleLogging.properties

ファイルに定義された handler.file.fileDir プロパティーで指定します。このファイルは、Tivoli Identity Manager ¥data ディレクトリーにあります。

AIX サービスの作成アダプター・プロファイルを Tivoli Identity Manager サーバーにインポートしたら、Tivoli Identity Manager がアダプターと通信できるようにプロビジョニング・サービスを作成する必要があります。

プロビジョニング・サービスを作成するには、以下のステップを完了します。

1. 管理者タスクを実行できる権限を保有したアカウントを使用して Tivoli Identity

Manager サーバーにログインします。

2. メインメニュー・ナビゲーション・バーで、「プロビジョニング」タブをクリックします。

3. 「プロビジョニング」ウィンドウで、「サービスの管理」タブをクリックします。

4. 「サービスの管理」ウィンドウで、「追加」をクリックします。

5. サービス・タイプのリストから、「AIX プロファイル (AIX Profile)」を選択し、「続行」をクリックします。「AIX アダプター (AIX Adapter)」サービス・フォームが表示されます。サービス・フォームには、以下のフィールドが含まれています。

サービス名Tivoli Identity Manager サーバーで、この AIX サービスを定義する名前を指定します。サービス名は、必須フィールドです。

説明このサービスの説明を指定します。説明は、オプション・フィールドです。

URL AIX アダプターの場所およびポート番号を指定します。ポート番号は、agentCfg プログラムを使用して、プロトコル構成に定義します。プロトコル構成設定について詳しくは、 10ページの『プロトコル構成設定の変更』を参照してください。URL は必須フィールドです。


https が URL の一部として指定されている場合、SSL 認証を使用できるようにアダプターを構成する必要があります。SSL 認証を使用するようにアダプターを構成していない場合は、URL に対して HTTP を指定します。SSL 認証を使用するアダプターの構成について詳しい情報は、31

ページの 31ページの『第 4 章 AIX アダプターの SSL 認証の構成』を参照してください。

ユーザー IDDirectory Access Markup Language (DAML) プロトコル・ユーザー名を指定します。ユーザー名は、agentCfg プログラムを使用して、プロトコル構成に定義します。プロトコル構成設定について詳しくは、 10ページの『プロトコル構成設定の変更』を参照してください。ユーザー ID

は、必須フィールドです。

パスワードDAML プロトコルのユーザー名のパスワードを指定します。このパスワードは、agentCfg プログラムを使用して、プロトコル構成に定義します。プロトコル構成設定について詳しくは、 10ページの『プロトコル構成設定の変更』を参照してください。パスワードは必須フィールドです。

所有者サービス所有者 (ある場合) を指定します。所有者は、オプション・フィールドです。

サービス前提条件AIX サービスの前提条件である既存の Tivoli Identity Manager サービスを指定します。サービス前提条件は、オプション・フィールドです。

6. 接続を検査するには、「テスト」を押します。

7. サービスを作成するには、「実行」を押します。

アダプターの構成Tivoli Identity Manager AIX アダプターのインストールが完了したら、適切に機能するために構成が必要です。

AIX アダプターを構成するには、以下のステップを完了します。

1. AIX アダプター・サービスを始動します。

アダプターの /bin ディレクトリーで ./StartAgent.sh と入力します。

2. Tivoli Identity Manager サーバーとの通信を確保するために DAML を構成します。DAML の構成について詳しくは、 10ページの『プロトコル構成設定の変更』を参照してください。

3. Tivoli Identity Manager サーバーと通信するには、イベント通知用にアダプターを構成して、AIX アダプターを構成します。イベント通知の構成について詳しくは、 14ページの『イベント通知の構成』を参照してください。

4. セキュアな通信のために、アダプターが存在するマシンおよび Tivoli Identity

Manager サーバーに証明書をインストールしてください。証明書のインストールについて詳しくは、 31ページの『第 4 章 AIX アダプターの SSL 認証の構成』を参照してください。

第 2 章 AIX アダプターのインストールと構成 7

5. Tivoli Identity Manager サーバーにアダプター・プロファイルをインストールします。アダプター・プロファイルのインストールについて詳しくは、 5ページの『アダプター・プロファイルの Tivoli Identity Manager サーバーへのインポート』を参照してください。

6. アダプター・サービス・フォームを構成します。サービス・フォームの構成について詳しくは、 6ページの『AIX サービスの作成』を参照してください。

7. アダプター・パラメーターを変更するには、agentCfg ユーティリティーを使用してください。パラメーターの構成について詳しくは、 9ページの『第 3 章 IBM

Tivoli Identity Manager 用 AIX アダプターの構成』を参照してください。

8. アダプター・アカウント・フォームを構成します。アカウント・フォームの構成について詳しくは、「IBM Tivoli Identity Manager インフォメーション・センター」を参照してください。


第 3 章 IBM Tivoli Identity Manager 用 AIX アダプターの構成

AIX アダプター・パラメーターの表示または変更には、アダプター構成プログラムagentCfg を使用します。このツールを使用したパラメーターの変更は、すべて即時有効になります。

アダプター構成ツールの開始アダプター構成ツール、agentCfg を AIX アダプター・パラメーター用に開始するには、以下のステップを完了してください。

1. AIX アダプター・システムにログインします。

2. コマンド・プロンプトで、アダプターの ¥bin ディレクトリーに移動します。例えば、AIX アダプターがデフォルトの場所にある場合、以下のコマンドを入力します。

# cd /usr/tivoli/agents/AixAgent/bin

3. 以下のコマンドを入力します。

agentCfg -agent AixAgent

また、agentCfg を使用して、リモート・コンピューターから構成設定を表示または変更することができます。追加の引数を使用する手順については、 27ページの『ヘルプおよび追加オプションへのアクセス』の表を参照してください。

4. 「エージェント、’AixAgent’ の構成キーを入力してください (Enterconfiguration key for Agent ’AixAgent’)」プロンプトで、AIX アダプター用の構成キーを入力します。

デフォルトの構成キーは agent です。インストールが完了したら、アダプター構成への無許可アクセスを防ぐために構成キーを変更する必要があります。構成キーの変更手順については、 10ページの『プロトコル構成設定の変更』を参照してください。

「メイン構成メニュー (Main Configuration Menu)」が表示されます。

AixAgent 4.6 Agent Main Configuration Menu-------------------------------------------A. Configuration Settings.B. Protocol Configuration.C. Event Notification.D. Change Configuration Key.E. Activity Logging.F. Registry Settings.G. Advanced Settings.H. Statistics.I. Codepage Support.

X. Done.

Select menu option:

「メインメニュー (Main Menu)」から、プロトコルの構成、統計の表示、および構成、レジストリー、拡張設定などの設定の変更ができます。


表 2. メイン構成メニューのオプション

オプション構成タスク詳細

A 構成設定の表示 10 ページを参照してください。

B プロトコル構成設定の変更 10 ページを参照してください。

C イベント通知の構成 14 ページを参照してください。

D 構成キーの変更 20 ページを参照してください。

E アクティビティー・ロギング設定の変更

21 ページを参照してください。

F レジストリー設定の変更 23 ページを参照してください。

G 拡張設定の変更 25 ページを参照してください。

H 統計の表示 26 ページを参照してください。

I コード・ページ設定の変更 27 ページを参照してください。

構成設定の表示以下の手順は、AIX アダプター構成設定の表示方法を示しています。

1. 「エージェント・メイン構成メニュー (Agent Main Configuration Menu)」で、A

と入力します。 AIX アダプターの構成設定が表示されます。以下の画面は、AIX アダプター構成設定の例です。

Configuration Settings-------------------------------------------Name : AixAgentVersion : 4.6ADK Version : 4.65ERM Version : 4.65License : NONEAsynchronous ADD Requests : TRUE (Max.Threads:3)Asynchronous MOD Requests : TRUE (Max.Threads:3)Asynchronous DEL Requests : TRUE (Max.Threads:3)Asynchronous SEA Requests : TRUE (Max.Threads:3)Available Protocols : DAMLConfigured Protocols : DAMLLogging Enabled : TRUELogging Directory : /usr/tivoli/agents/AixAgent/LogLog File Name : AixAgent.logMax. log files : 3Max.log file size (Mbytes) : 1Debug Logging Enabled : TRUEDetail Logging Enabled : FALSE

Press any key to continue

2. 「メインメニュー (Main Menu)」に戻るには任意のキーを押します。

プロトコル構成設定の変更AIX アダプターは、DAML プロトコルを使用して Tivoli Identity Manager サーバーと通信します。デフォルトでは、アダプターのインストール時に、DAML プロトコルを非セキュア・モードで使用するように構成されます。セキュア環境を構成するには、SSL を使用するように DAML プロトコルを構成し、証明書をインストールする必要があります。証明書のインストールについて詳しくは、 41ページの『証明書のインストール』を参照してください。


このアダプターの前のバージョンでは、プロトコルの追加および除去ができました。しかし、このアダプターの最新バージョンでは、DAML プロトコルは使用可能なただ 1 つのサポート対象プロトコルです。したがって、プロトコルを追加または除去する必要はありません。

AIX アダプター用に DAML プロトコルを構成するには、以下のステップを完了します。

1. 「エージェント・メイン構成メニュー (Agent Main Configuration Menu)」で、B

と入力します。 DAML プロトコルが構成され、AIX アダプター用のデフォルトで使用可能になります。

Agent Protocol Configuration Menu-----------------------------------Available Protocols: DAMLConfigured Protocols: DAMLA. Add Protocol.B. Remove Protocol.C. Configure Protocol.

X. Done

Select menu option

2. 「エージェント・プロトコル構成メニュー (Agent Protocol Configuration

Menu)」で、 C と入力します。「DAML プロトコル・プロパティー・メニュー(DAML Protocol Properties Menu)」が表示されます。

3. 「DAML プロトコル・プロパティー・メニュー (DAML Protocol Properties

Menu)」で、C と入力します。構成済みプロトコル用のプロトコル・プロパティーが表示されます。メニューに表示されるプロパティーは、例で示したものとは異なる場合があります。

以下の画面は、DAML プロトコル・プロパティーの例です。

DAML Protocol Properties--------------------------------------------------------------------A. USERNAME ****** ;Authorized user name.B. PASSWORD ****** ;Authorized user password.C. MAX_CONNECTIONS 100 ;Max Connections.D. PORTNUMBER 45580 ;Protocol Server port number.E. USE_SSL FALSE ;Use SSL secure connection.F. SRV_NODENAME 9.38.215.20 ;Event Notif. Server name.G. SRV_PORTNUMBER 9443 ;Event Notif. Server port number.

H. VALIDATE_CLIENT_CE FALSE ;Require client certificate.I. REQUIRE_CERT_REG FALSE ;Require registered certificate.

X. Done

Select menu option:

4. 構成するプロトコル・プロパティー用のメニュー・オプションの文字を入力します。

DAML プロトコル用に構成できるプロパティーについて詳しくは、以下の 12ページの表 3 を参照してください。

第 3 章 IBM Tivoli Identity Manager 用 AIX アダプターの構成 11

表 3. DAML プロトコル・メニューのオプション

オプション構成タスク

A 以下のプロンプトが表示されます。

Modify Property ’USERNAME’:

ユーザー ID を入力します。

この値は、Tivoli Identity Manager サーバーがアダプターとの接続に使用するユーザー ID です。

デフォルトのユーザー ID は、agent です。

B 以下のプロンプトが表示されます。

Modify Property ’PASSWORD’:

パスワードを入力します。

この値は、Tivoli Identity Manager サーバーがアダプターとの接続に使用するユーザー ID のパスワードです。

デフォルトのパスワードは、agent です。

C 以下のプロンプトが表示されます。

Modify Property ’MAX_CONNECTIONS’:

同時にオープンする接続でアダプターがサポートする最大数を入力します。

デフォルトの数は、100 です。

D 以下のプロンプトが表示されます。

Modify Property ’PORTNUMBER’:

異なるポート番号を入力します。

この値は、Tivoli Identity Manager サーバーがアダプターとの接続に使用するポート番号です。デフォルトのポート番号は、45580 です。

E 以下のプロンプトが表示されます。

Modify Property ’USE_SSL’:

アダプターとの接続またはアダプターからの接続にセキュア SSL 接続を使用するかどうかを指定するために、TRUE または FALSE を入力してください。

デフォルト値は FALSE です。

USE_SSL が TRUE に設定されている場合、証明書をインストールする必要があります。証明書のインストールについて詳しくは、 41ページの『証明書のインストール』を参照してください。


表 3. DAML プロトコル・メニューのオプション (続き)


F 以下のプロンプトが表示されます。

Modify Property ’SRV_NODENAME’:

サーバー名または、9.38.215.20 のように IP アドレスを入力します。

この値はイベント通知および非同期要求処理で使用する、Tivoli Identity

Manager サーバーの DNS 名または IP アドレスです。注: ご使用のプラットフォームが、インターネット・プロトコル・バージョン 6 (IPv6) 接続をサポートしている場合、IPv6 サーバーを指定できます。

G 以下のプロンプトが表示されます。

Modify Property ’SRV_PORTNUMBER’:

Tivoli Identity Manager サーバーにアクセスするための異なるポート番号を入力します。

この値は、アダプターが Tivoli Identity Manager サーバーとの接続に使用するポート番号です。デフォルトのポート番号は、9443 です。

H 以下のプロンプトが表示されます。

Modify Property ’VALIDATE_CLIENT_CE’:

アダプターとの通信時に Tivoli Identity Manager サーバーに証明書を送信させるには、TRUE と入力してください。

証明書なしのアダプターとの通信を Tivoli Identity Manager サーバーに許可するには、FALSE と入力してください。デフォルト値は FALSE です。

注:

1. このオプションを TRUE に設定した場合、オプション D から H を構成する必要があります。

2. 実際のプロパティー名は VALIDATE_CLIENT_CERT です。agentCfg

によって画面に合わせて切り捨てられます。

3. 適切な CA 証明書のインストールおよびオプションの Tivoli Identity

Manager サーバー証明書の登録には、CertTool を使用する必要があります。CertTool の使用について詳しくは、 37ページの『CertTool を使用した SSL 証明書の管理』を参照してください。


表 3. DAML プロトコル・メニューのオプション (続き)


I 以下のプロンプトが表示されます。

Modify Property ’REQUIRE_CERT_REG’:

この値は、オプション H が TRUE に設定されている場合のみ適用されます。

SSL 接続を受信する前に、Tivoli Identity Manager サーバーからのクライアント証明書をアダプターで登録させるには、TRUE と入力します。

クライアント証明書を CA 証明書のリストと比較して検査するだけであれば、FALSE と入力します。デフォルト値は FALSE です。

証明書について詳しくは、 31ページの『第 4 章 AIX アダプターのSSL 認証の構成』を参照してください。

5. プロンプトで値を変更して Enter キーを押します。

「プロトコル・プロパティー・メニュー (Protocol Properties Menu)」が新しい設定で表示されます。

値を変更しない場合は、ただ Enter キーを押せば「プロトコル・プロパティー・メニュー (Protocol Properties Menu)」に戻ります。

6. 必要な多数のプロトコル・プロパティーを構成するには、ステップ 4 および 5

を繰り返します。

7. メニューを終了するには、「プロトコル・プロパティー・メニュー (Protocol

Properties Menu)」で、X を入力します。

イベント通知の構成イベント通知は、設定された間隔で Tivoli Identity Manager サーバーを更新するAIX アダプターの機能です。イベント通知は、管理対象リソースに対して行われた変更を検出し、その変更内容で Tivoli Identity Manager サーバーを更新します。完全な調整間で管理対象リソースから Tivoli Identity Manager サーバーに戻される更新された情報を保有したい場合に、イベント通知を使用可能にできます。イベント通知は、Tivoli Identity Manager サーバーの調整の置き換えを目的としたものではありません。

イベント通知を使用可能にすると、調整データのデータベースが、アダプターがインストールされているマシンに保持されます。データベースは、Tivoli Identity

Manager サーバーが要求する変更内容で更新され、サーバーと同期をとり続けます。データベースと、現在管理対象リソースに存在するデータを比較するイベント通知プロセスの間隔を指定できます。この間隔が経過すると、管理対象リソースとデータベース間のあらゆる差が Tivoli Identity Manager サーバーに転送され、ローカル・スナップショット・データベースで更新されます。

イベント通知を使用可能にするにはいくつかのステップがあります。これらのステップは、アダプターが管理対象リソースおよび Tivoli Identity Manager サーバーと正常に通信できていることを前提としています。


最初に、Tivoli Identity Manager サーバー用のホスト名、ポート番号、ログイン情報を構成する必要があります。使用する DAML プロトコルのサーバーを識別するには、以下のステップを完了します。

1. 「エージェント・プロトコル構成メニュー (Agent Protocol Configuration

Menu)」で、「プロトコルの構成 (Configure Protocol)」を選択します。プロトコルの構成について詳しくは、10 ページの『プロトコル構成設定の変更』を参照してください。

2. SRV_NODENAME プロパティーのメニュー・オプションを入力します。

3. Tivoli Identity Manager サーバーを識別する IP アドレスまたはサーバー名を指定し、Enter キーを押します。


4. SRV_PORTNUMBER プロパティーのメニュー・オプションを入力します。

5. アダプターが、イベント通知のために Tivoli Identity Manager サーバーとの接続に使用するポート番号を指定し、Enter キーを押します。


例のメニューには、イベント通知を使用可能にした場合に表示されるすべてのオプションが表示されています。イベント通知を使用不可にした場合、表示されるオプションは限られます。Tivoli Identity Manager サーバー用のイベント通知を設定するには、以下のステップを完了します。

1. 「エージェント・メイン構成メニュー (Agent Main Configuration Menu)」で、C

と入力します。「イベント通知メニュー (Event Notification Menu)」が表示されます。

Event Notification Menu--------------------------------------------------------------* Reconciliation interval : 1 day(s)* Next Reconciliation time : 23 hour(s) 56 min(s). 23 sec(s).* Configured Contexts : Jupiter, dd309A. EnabledB. Time interval between reconciliations.C. Set Processing cache size. (currently: 50 Mbytes)D. Start event notification now.E. Set attributes to be reconciled.F. Reconciliation process priority. (current: 1)G. Add Event Notification Context.H. Modify Event Notification Context.I. Remove Event Notification Context.J. List Event Notification Contexts.

X. Done

Select menu option:

注: このメニューには、イベント通知を使用可能にした場合に表示されるすべてのオプションが表示されています。イベント通知を使用不可にした場合、表示されるオプションは限られます。

2. 変更するメニュー・オプションの文字を入力します。


他のオプションの値を有効にするには、オプション A を使用可能にする必要があります。

値を変更せずに「エージェント・イベント通知メニュー (Agent Event

Notification Menu)」に戻るには、Enter キーを押します。

表 4. イベント通知メニューのオプション


A このオプションを使用可能にした場合、アダプターは一定の間隔でアダプターに対する変更によって Tivoli Identity Manager サーバーを更新します。

オプションが以下のように設定されている場合:

v 使用不可の場合、A キーを押すと使用可能に変わります

v 使用可能の場合、A キーを押すと使用不可に変わります

オプションを切り替えるには、A を入力します。


Enter new interval([ww:dd:hh:mm:ss])

異なる調整間隔を入力します。例:

[00:01:00:00:00]

注: この値はイベント通知が完了してから再び実行されるまで待機する間隔です。イベント通知プロセスは、リソースを消費するため、この値を必要以上に短く設定してはいけません。


Enter new cache size[5]:

処理キャッシュ・サイズを変更するには異なる値を入力します。

D このオプションを選択すると、イベント通知が開始されます。

E 「イベント通知エントリー・タイプ・メニュー (Event Notification Entry

Types Menu)」が表示されます。詳しくは、 17ページの『イベント通知トリガーの設定』を参照してください。

F 以下のプロンプトが表示されます。

Enter new thread priority [1-10]:

イベント通知プロセスの優先順位を変更するには異なるスレッド値を入力します。注: スレッド優先順位を低い値に設定すると、イベント通知プロセスがアダプターのパフォーマンスに与える影響を削減できます。また、値が低くなるにつれてイベント通知に時間を要します。

G 以下のプロンプトが表示されます。

Context name:

新しいコンテキスト名を入力し、Enter キーを押してください。新しいコンテキストが追加されます。


表 4. イベント通知メニューのオプション (続き)


H 使用可能なコンテキストがリストされたメニューが表示されます。詳しくは、 18ページの『イベント通知コンテキストの変更』を参照してください。

I 「コンテキスト除去メニュー (Remove Context Menu)」が表示されます。除去するコンテキストを選択します。以下のプロンプトが表示されます。

Delete context context1? [no]:

コンテキストを削除せずに終了する場合は、Enter キーを押します、コンテキストを削除する場合は、Yes と入力して、Enter キーを押します。

J イベント通知コンテキストは、以下のフォーマットで表示されます。

Context Name : Context1Target DN :erservicename=context1,o=IBM,ou=IBM,dc=com--- Attributes for search request ---{search attributes listed}-----------------------------------------------

3. オプション B、C、E、または F の値を変更した場合、Enter キーを押します。その他のオプションは、メニュー・オプションの対応する文字を入力すると、自動的に変更されます。

「イベント通知メニュー (Event Notification Menu)」が新しい設定で表示されます。

イベント通知トリガーの設定デフォルトでは、値の変更に関してすべての属性が照会されます。頻繁に変更される特定の属性 (例えば、パスワードの使用日数または最後の正常なログオンなど)

は、省略する必要があります。

1. 「イベント通知メニュー (Event Notification Menu)」で、E と入力します。「イベント通知エントリー・タイプ・メニュー (Event Notification Entry Types

Menu)」が表示されます。

Event Notification Entry Types-------------------------------------------A. USERB. GROUPX. DoneSelect menu option:

USER および GROUP タイプは、以下の条件に一致するまで前述のメニューには表示されません。

a. イベント通知が使用可能になっている

b. コンテキストが作成され構成済みである

c. 完全な調整が実行済みである

2. ユーザー調整中に戻された属性のリストに対して A と入力するか、またはグループ調整中に戻された属性に対して B と入力します。


選択された調整タイプのイベント通知属性リストが表示されます。デフォルト設定では、アダプターがサポートするすべての属性がリストされます。以下の例では、サンプル属性がリストされており、ご使用のマシンで表示されるリストと異なる場合があります。

Event Notification Attribute Listing-------------------------------------(a) **erAIXGroupId (b) **erAIXGroupMember (c) **erAIXGroupName(d) **erAIXAT (e) **erAIXCRON (f) **erUnixDuplicateUID(g) **erExpirationDate (h) **erPasswordForceChange (i) **erHomeDirPermissions(j) **erHomeDir (k) **erPasswordMinAge (l) **erLastAccessDate(m) **erPassword (n) **erUnixPrimaryGroup (o) **erPasswordLastChange(o) **erPasswordMaxAge (q) **erAIXPasswordMaxExpire (r) **erAIXPassworddMaxRepeats

(p)rev page 1 of 3 (n)ext-----------------------------

X. DoneSelect menu option:

3. イベント通知から除外する属性に対応するメニュー・オプションの文字を入力します。

2 つのアスタリスク (**) で印が付いた属性は、イベント通知中に戻されます。アスタリスクの印が付いていない属性はイベント通知中に戻されません。

イベント通知コンテキストの変更イベント通知コンテキストは、Tivoli Identity Manager サーバー上のサービスに対応します。アダプターには、複数のサービスをサポートするものがあります。サービスごとに異なる基本ポイントを指定すれば、1 つの AIX アダプターで、いくつかのTivoli Identity Manager サービスを保有できます。

AIX アダプターの基本ポイントは、アダプターのルートとして使用されるディレクトリー・サーバー内のポイントです。このポイントは、組織単位 (OU) の場合もありますし、ドメイン・コンテナー (DC) 基本ポイントの場合もあります。基本ポイントはオプション値なので、値を指定しない場合、アダプターはインストールされているマシンのデフォルト・ドメインを使用します。

複数のイベント通知コンテキストを保有できますが、少なくとも 1 つのアダプターを保有しなければなりません。以下のサンプル画面では、Context1、 Context2、Context3 がすべて異なる基本ポイントを持った 3 つの異なるコンテキストであることに注意してください。

イベント通知コンテキストを変更するには、以下のステップを完了します。

1. 「イベント通知メニュー (Event Notification Menu)」で、H と入力します。「コンテキストの変更メニュー (Modify Context Menu)」が表示されます。

Modify Context Menu------------------------------A. Context1B. Context2C. Context3X. DoneSelect menu option:

2. 変更するメニュー・オプションの文字を入力します。選択したコンテキストに関して「コンテキストの変更メニュー (Modify Context Menu)」が表示されます。


A. Set attributes for searchB. Target DN:C. Delete Baseline DatabaseX. DoneSelect menu option:

表 5. コンテキストの変更メニューのオプション

オプション構成タスク詳細

A イベント通知の検索属性の追加 19 ページを参照してください。

B イベント通知コンテキスト用のターゲット DN の構成


C イベント通知コンテキストのベースライン・データベースの除去


イベント通知の検索属性の追加アダプターによっては、1 つ以上のコンテキストに対して属性値のペアを指定しなければならない場合があります。これらの属性値ペアは、以下のステップを完了することで定義され、複数の目的で役割を果たします。

v 単一のアダプターが複数のサービスをサポートしている場合、各サービスは他のサービスと識別するために、1 つ以上の属性を指定する必要があります。

v イベント通知間隔が発生するか、または手動で開始されると、検索属性がイベント通知プロセスに渡されます。コンテキストごとに、完全検索要求がアダプターに送信されます。また、このコンテキストに指定された属性がアダプターに渡されます。

v Tivoli Identity Manager サーバーが調整プロセスを開始すると、アダプターはこのサービスを表すローカル・データベースを新規のデータベースに置き換えます。

検索属性を追加するには、以下のステップを完了します。

1. コンテキストに対する「コンテキストの変更メニュー (Modify Context Menu)」で、A と入力します。「エージェントに渡された調整属性メニュー(Reconciliation Attribute Passed to Agent Menu)」が表示されます。

Reconciliation Attributes Passed to Agent for Context: Context1--------------------------------------------------------------------------------------------------------A. Add new attributeB. Modify attribute valueC. Remove attributeX. DoneSelect menu option:

AIX アダプターには、イベント通知に指定する必要がある属性はありません。

2. 変更するメニュー・オプションの文字を入力します。

サポートされている属性名は、名前の先頭に 2 つのアスタリスク (**) が表示されます。属性の文字を入力すると、アスタリスク表示のオン/オフが切り替わります。アスタリスクのない属性はイベント通知中に更新されません。

「エージェントに渡された調整属性メニュー (Reconciliation Attribute Passed to

Agent Menu)」が変更内容と共に表示されます。


イベント通知コンテキスト用のターゲット DN の構成ターゲット DN フィールドには、イベント通知の更新を受信するサービスの固有の名前が含まれています。

ターゲット DN を構成するには、以下のステップを完了します。

1. コンテキストに対する「コンテキストの変更メニュー (Modify Context Menu)」で、B と入力します。

2. 「ターゲット DN の入力 (Enter Target DN)」プロンプトで、コンテキストのターゲット DN を入力し、Enter キーを押します。イベント通知コンテキストのターゲット DN は、以下のフォーマットでなければなりません。

erservicename=erservicename,o=organizationname,ou=tenantname,rootsuffix

DN の各エレメントは、以下のように定義されます。

表 6. DN エレメントおよび定義

エレメント定義

erservicename ターゲット・サービスの名前を指定します。

o 組織の名前を指定します。

ou 組織があるテナントの名前を指定します。

rootsuffix ディレクトリー・ツリーのルートを指定します。

「コンテキストの変更メニュー (Modify Context Menu)」が、新しいターゲット DN

のリストと共に表示されます。

イベント通知コンテキストのベースライン・データベースの除去このオプションは、コンテキストが作成され、ベースライン・データベース・ファイルを作成するためにそのコンテキストで調整が実行された場合のみ使用可能です。

コンテキストに対する「コンテキストの変更メニュー (Modify Context Menu)」で、C と入力します。「コンテキストの変更メニュー (Modify Context Menu)」が、ベースライン・データベースの削除オプションが除去されて表示されます。

構成キーの変更構成キーをパスワードとして使用して、アダプターの構成ツールにアクセスします。

AIX アダプター構成キーを変更するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、D と入力します。

2. 構成キーの値を変更し、Enter キーを押します。

構成キーを変更せずに「メイン構成メニュー (Main Configuration Menu)」に戻るには、Enter キーを押します。デフォルトの構成キーは agent です。容易に推測できないパスワードを必ず選択してください。

以下のメッセージが表示されます。


構成キーが正常に変更されました。(Configuration key successfully changed.)

構成プログラムが終了し、「メインメニュー (Main Menu)」プロンプトが表示されます。

アクティビティー・ロギング設定の変更ロギングを使用可能にした場合、AIX アダプターはすべてのトランザクションの日付付きログ・ファイル、AixAgent.log を維持します。デフォルトでは、ログ・ファイルは ¥log ディレクトリーにあります。

AIX アダプター・アクティビティー・ロギング設定を変更するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、E と入力します。

「エージェント・アクティビティー・ロギング・メニュー (Agent Activity

Logging Menu)」が表示されます。以下の例は、デフォルトのアクティビティー・ロギング設定を表示しています。

Agent Activity Logging Menu-------------------------------------A. Activity Logging (Enabled).B. Logging Directory (current: /usr/tivoli/agents/AixAgent/Log).C. Activity Log File Name (current: AixAgent.log).D. Activity Logging Max. File Size ( 1 mbytes)E. Activity Logging Max. Files ( 3 )F. Debug Logging (Enabled).G. Detail Logging (Disabled).H. Base Logging (Disabled).I. Thread Logging (Disabled).X. DoneSelect menu option:

2. 変更する「アクティビティー・ロギング・メニュー (Activity Logging Menu)」オプションの文字を入力します。

他のオプションの値を有効にするには、オプション A を使用可能にする必要があります。

値を変更せずに「エージェント・アクティビティー・ロギング・メニュー (Agent

Activity Logging Menu)」に戻るには、Enter キーを押します。

表 7. アクティビティー・ロギング・メニューのオプション


A アダプターに、すべてのトランザクションの日付付きログ・ファイルを維持させるには、このオプションを使用可能に設定します。


v 使用不可の場合、A キーを押すと使用可能に変わります

v 使用可能の場合、A キーを押すと使用不可に変わります

オプションを切り替えるには、A を入力します。


表 7. アクティビティー・ロギング・メニューのオプション (続き)



Enter log file directory:

ロギング・ディレクトリーに異なる値を入力します。例:/home/Log。ロギング・オプションが使用可能な場合、各アクセス要求に関する詳細が、このディレクトリーにあるロギング・ファイルに保管されます。


Enter log file name:

ログ・ファイル名に異なる値を入力します。ロギング・オプションが使用可能な場合、各アクセス要求に関する詳細がロギング・ファイルに保管されます。

D 以下のプロンプトが表示されます。

Enter maximum size of log files (mbytes):

10 など、新しい値を入力します。ログ・ファイルが最大ファイル・サイズに達した場合、最も古いデータがアーカイブされます。ファイル・サイズの尺度はメガバイトです。アクティビティー・ログのファイル・サイズはディスク容量を超えることが可能です。

E 以下のプロンプトが表示されます。

Enter maximum number of log files to retain:

5 など、最大 100 までの新しい値を入力します。アダプターは指定された制限値を超えた最も古いアクティビティー・ログを自動的に削除します。

F このオプションが使用可能に設定されている場合、アダプターはすべてのトランザクションのログ・ファイルにデバッグ・ステートメントを組み込みます。


v 使用不可の場合、F キーを押すと値が使用可能に変わります

v 使用可能の場合、F キーを押すと値が使用不可に変わります

オプションを切り替えるには、F を入力します。

G このオプションが使用可能に設定されている場合、アダプターはすべてのトランザクションの詳細ログ・ファイルを保守します。詳細ロギング・オプションは、診断以外の目的で使用してはいけません。詳細ロギングによってアダプターからより多くのメッセージを得られますが、ログのサイズが大きくなります。


v 使用不可の場合、G キーを押すと値が使用可能に変わります

v 使用可能の場合、G キーを押すと値が使用不可に変わります

オプションを切り替えるには、G を入力します。


表 7. アクティビティー・ロギング・メニューのオプション (続き)


H このオプションが使用可能に設定されている場合、アダプターは Adapter

Development Kit (ADK) およびライブラリー・ファイルにすべてのトランザクションのログ・ファイルを維持します。ベース・ロギングを使用するとログのサイズは極めて大きくなります。


v 使用不可の場合、H キーを押すと値が使用可能に変わります

v 使用可能の場合、H キーを押すと値が使用不可に変わります

オプションを切り替えるには、H を入力します。

I このオプションが使用可能になっている場合、ログ・ファイルには、ファイルの各行に日付およびタイム・スタンプが加わると同時に、スレッドID が含まれます。


v 使用不可の場合、I キーを押すと値が使用可能に変わります

v 使用可能の場合、I キーを押すと値が使用不可に変わります

オプションを切り替えるには、I を入力します。

3. オプションの値、B、C、D、または E を変更した場合、Enter キーを押します。その他のオプションは、メニュー・オプションの対応する文字を入力すると、自動的に変更されます。

「エージェント・アクティビティー・ロギング・メニュー (Agent Activity

Logging Menu)」が新しい設定で表示されます。

レジストリー設定の変更AIX アダプター・レジストリー設定を変更するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」で F と入力します。「レジストリー・メニュー (Registry Menu)」が表示されます。

AixAgent 4.6 Agent Registry Menu-------------------------------------------A. Modify Non-encrypted registry settings.B. Modify encrypted registry settings.C. Multi-instance settings.X. DoneSelect menu option:

2. レジストリー設定値の変更については、以下の手順を参照してください。

注: このアダプターには、暗号化されたレジストリー設定値はありません。

暗号化されないレジストリー設定値の変更暗号化されないレジストリー設定値を変更するには、次のステップを完了します。


1. 「エージェント・レジストリー・メニュー (Agent Registry Menu)」で A と入力します。「暗号化されないレジストリー設定値メニュー (Non-encrypted Registry

Settings Menu)」が表示されます。

Agent Registry Items---------------------------

01. ENROLE_VERSON ’4.0’02. deleteHomeDir ’true’03. SetupHomeDir ’/usr/tivoli/agent/AixAgent’04. UseShadowFile ’true’05. processatCron ’true’06. processPath ’false’07. processUmask ’true’--------------------------------

Page 1 of 1

A. Add new attributeB. Modify attribute valueC. Remove attributeX. DoneSelect menu option:

2. 属性に対して実行するアクションのメニュー・オプションの文字を入力します。

表 8. 属性構成オプションの説明


A 新規属性の追加

B 属性値の変更

C 属性の除去

3. レジストリー項目名を入力し、Enter キーを押します。

各レジストリー・キーの説明については、表 9 を参照してください。

4. オプション A または B を選択した場合は、レジストリー項目値を入力し、Enter キーを押します。

暗号化されないレジストリー設定値メニューが再表示され、新規の設定値が表示されます。

表 9 は、レジストリー・キーと有効な設定値を示します。

表 9. レジストリー・キーの説明

キー説明

deleteHomeDir delete_user を使用してホーム・ディレクトリーを削除するかどうかを示すフラグを指定します。デフォルト値は TRUE です。

SetupHomeDir アダプターのセットアップ・ディレクトリーを指定します。この値は、アダプターのインストール中に設定する必要があります。

UseShadowFile シャドー・ファイルを使用するかどうかを示すフラグを指定します。デフォルト値はTRUE です。


表 9. レジストリー・キーの説明 (続き)

キー説明

processatCron 以下のファイルを処理するかどうかを示すフラグを指定します。

v cron_allowed

v cron_deny

v at_allowed

v at_deny

デフォルト値は TRUE です。

processPath ユーザー検索パス属性を処理するかどうかを示すフラグを指定します。デフォルト値はFALSE です。

processUmask ユーザー UMASK を処理するかどうかを示すフラグを指定します。デフォルト値はTRUE です。

拡張設定の変更以下のタイプの要求に関する AIX アダプター・スレッド・カウント設定を変更できます。

v System Login Add

v System Login Change

v System Login Delete

v Reconciliation

これらの設定で AIX アダプターが同時に処理できる要求の最大数が決まります。これらの設定を変更するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、G と入力します。

「拡張設定メニュー (Advanced Settings Menu)」が表示されます。以下の例は、デフォルトのスレッド・カウント設定を表示しています。

AixAgent 4.6 Advanced Settings Menu-------------------------------------------A. Single Thread Agent (current:TRUE)B. ADD max. thread count. (current:3)C. MODIFY max. thread count. (current:3)D. DELETE max. thread count. (current:3)E. SEARCH max. thread count. (current:3)F. Allow User EXEC procedures (current:FALSE)G. Archive Request Packets (current:FALSE)H. UTF8 Conversion support (current:TRUE)I. Pass search filter to agent (current:FALSE)J. Thread Priority Level (1-10) (current:4)X. DoneSelect menu option:

2. 変更する詳細設定のメニュー・オプションの文字を入力します。各オプションの説明については、 26ページの表 10 を参照してください。


表 10. 拡張設定メニューのオプション

オプション説明

A アダプターが一度に 1 つの要求のみ許容するようにします。

デフォルト値は TRUE です。

B 一度に同時実行可能な ADD 要求の数を制御します。

デフォルト値は、3 です。

C 一度に同時実行可能な MODIFY 要求の数を制御します。


D 一度に同時実行可能な DELETE 要求の数を制御します。


E 一度に同時実行可能な SEARCH 要求の数を制御します。


F アダプターが実行前機能および実行後機能を許容するかどうか決定します。このオプションを使用可能にすると、潜在的なセキュリティー・リスクが発生します。

デフォルト値は FALSE です。

G このオプションは現在サポートされていません。

H このオプションは現在サポートされていません。

I 現在、このアダプターは処理フィルターを直接サポートしていません。このオプションは、常時 FALSE でなければなりません。

J アダプターのスレッド優先順位のレベルを設定します。


3. 値を変更し、Enter キーを押します。

「拡張設定メニュー (Advanced Settings Menu)」が新しい設定で表示されます。

統計の表示AIX アダプター用のイベント・ログを表示するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、H と入力します。

アダプターのアクティビティー・ヒストリーが表示されます。

AixAgent 4.6 Agent Request Statistics--------------------------------------------------------------------Date Add Mod Del Ssp Res Rec

-----------------------------------------------------------------

11/15/02 000001 000000 000000 000000 000000 000001

-----------------------------------------------------------------

X. Done


2. 「メイン構成メニュー (Main Configuration Menu)」に戻るには、X と入力します。

コード・ページ設定の変更AIX アダプターでサポートされているコード・ページ情報をリストするには、アダプターが稼働している必要があります。コード・ページ情報を表示するには、以下のコマンドを実行してください。

agentCfg -agent [adapter_name] -codepages

AIX アダプター用にコード・ページ設定を変更するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、I と入力します。

アダプターの「コード・ページ・サポート・メニュー (Code Page Support


AixAgent 4.6 Codepage Support Menu-------------------------------------------* Configured codepage: US-ASCII-------------------------------------------********************************************* Restart Agent After Configuring Codepages*******************************************

A. Codepage Configure.

X. Done

Select menu option:

2. コード・ページを構成するには、A を入力します。

注: AixAgent コード・ページはユニコードを使用しているため、このオプションは適用できません。

3. 「メイン構成メニュー (Main Configuration Menu)」に戻るには、X と入力します。

ヘルプおよび追加オプションへのアクセスagentCfg ヘルプ・メニューにアクセスし、ヘルプ引数を使用するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、X と入力します。コマンド・プロンプトが表示され、¥bin ディレクトリーに移動します。

2. ヘルプ・メニューを表示するには、プロンプトで agentCfg -help と入力します。

使用可能なコマンドのリストが以下のように表示されます。


-version ; Show version-hostname < value> ; Target nodename to connect to (Default:Local host IP address)-findall ; Find all agents on target node-list ; List available agents on target node-agent <value> ; Name of agent-tail ; Display agent’s activity log-schema ; Display agent’s attribute schema-portnumber <value>; Specified agent’s TCP/IP port number-netsearch <value> ; Lookup agents hosted on specified subnet-confidencetest ; Confidence test-setup ; Confidence test setup-help ; Display this help screen

表 11 は、各引数を説明しています。

表 11. agentCfg ヘルプ・メニューの引数および説明

引数説明

-version agentCfg ツールのバージョンを表示するにはこの引数を使用します。

-hostname <value> 異なるホストを指定するには、以下の引数のいずれかと共に-hostname 引数を使用します。

v -findall

v -list

v -tail

v -agent

値にはホスト名または IP アドレスを入力します。

-findall 44970 と 44994 間のすべてのポート・アドレスおよび割り当てられたアダプター名を検索、表示するにはこの引数を使用します。このオプションは、未使用のポート番号に達するとタイムアウトになるため、完了するには数分かかる場合があります。

リモート・ホストの検索には -hostname 引数を追加します。

-list AIX アダプターのローカル・ホストにインストール済みのアダプターを表示するには、この引数を使用します。デフォルトでは、最初にアダプターをインストールした際に、ポート・アドレス 44970 またはそれ以降で使用可能なポート番号に割り当てられます。続いてインストールされるすべてのアダプターは、以降の使用可能なポート・アドレスに順に割り当てられます。未使用のポートが見つかると、リスト処理は停止します。

リモート・ホストの検索には -hostname 引数を使用します。

-agent <value> 構成するアダプターを指定するには、この引数を使用します。値にはアダプター名を入力します。リモート・ホストから構成設定を変更するには、-hostname 引数と共にこの引数を使用します。この引数は、-tail 引数と共に使用することもできます。

-tail アダプターのアクティビティー・ログを表示するには、-agent

引数と共にこの引数を使用します。異なるホスト上のアダプターのログ・ファイルを表示するには、-hostname 引数を追加します。


表 11. agentCfg ヘルプ・メニューの引数および説明 (続き)

引数説明

-schema このオプションは現在サポートされていません。

-portnumber <value> agentCfg ツールの接続に使用するポート番号を指定するには、-agent と共にこの引数を使用します。

-netsearch <value> システム上のすべてのアクティブなアダプターを表示するには、-findall 引数と共にこの引数を使用します。値にはサブネット・アドレスを指定する必要があります。

-confidencetest アダプターへの要求の追加、変更、検索、削除を試行するには、この引数を使用します。信頼性テストによって、アダプターと AIX サーバー間の接続をテストできます。これによって、アダプターが Tivoli Identity Manager サーバーなしでAIX サーバーに接続できるかどうか検査できます。

-setup 信頼性テストを構成するには、-confidence 引数と共にこの引数を使用します。

-help agentCfg コマンドのヘルプ情報を表示するにはこの引数を使用します。

3. プロンプトで、agentCfg および 1 つ以上のサポートされている引数を入力します。

アダプター構成ツールを実行するには、あらゆる引数の前に agentCfg を入力する必要があります。

ローカル・ホスト IP アドレスですべてのアダプターをリストするには、agentCfg -list と入力します。Tivoli Identity Manager サーバーのポート・アドレスは 44970 ということに注意してください。出力内容は、以下のようになります。

Agent(s) installed on node ’127.0.0.1’-----------------------AixAgent (44970)

AIX アダプター・パラメーターの表示または変更に使用する agentCfg ツールの「メインメニュー (Main Menu)」を表示するには、agentCfg -agent AixAgent

と入力します。

IP アドレスが 192.9.200.7 のホスト上にあるアダプターをリストするには、agentCfg-list -hostname 192.9.200.7 と入力します。出力内容は、以下のようになります。

Agent(s) installed on node ’192.9.200.7’------------------AixAgent (44970)

IP アドレスが 192.9.200.7 のホストの agentCfg ツールの「メインメニュー(Main Menu)」を表示するには、agentCfg -agent AixAgent -hostname

192.9.200.7 と入力します。AIX アダプター・パラメーターを表示または変更するには、メニュー・オプションを使用します。


第 4 章 AIX アダプターの SSL 認証の構成

Tivoli Identity Manager アダプターと Tivoli Identity Manager サーバー間のセキュア接続を確立するには、デフォルトの通信プロトコル DAML によって Secure Sockets

Layer (SSL) 認証を使用するようにアダプターおよびサーバーを構成する必要があります。SSL 用アダプターを構成することで、セキュア接続の確立前に Tivoli Identity

Manager サーバーによるアダプターの ID の検査が保証されます。

Tivoli Identity Manager サーバーまたはアダプターから発生する接続に対する SSL

認証を構成できます。通常、Tivoli Identity Manager サーバーはアダプター上の管理対象属性の値を設定または検索するため、アダプターとの接続を開始します。しかし、ご使用の環境のセキュリティー要件によっては、アダプターから発生する接続に対する SSL 認証を構成しなければならない場合があります。例えば、アダプターがイベントを使用してアダプター上の属性に関する変更を Tivoli Identity Manager

サーバーに通知している場合、アダプターから Tivoli Identity Manager サーバーが使用する Web サーバーに対して発生する Web 接続の SSL 認証を構成できます。

実稼働環境では、SSL セキュリティーを使用可能にする必要がありますが、テスト目的の場合は SSL を使用不可にしても構いません。アダプターと通信する外部アプリケーション (Tivoli Identity Manager サーバーなど) がサーバー認証を使用するように設定されている場合は、アダプター上の SSL を使用可能にしてアプリケーションが提示する証明書を検査する必要があります。

この章では、SSL 認証と証明書の概要、および CertTool ユーティリティーを使用して SSL 認証を使用可能にする方法について概要を説明します。

SSL およびデジタル証明書の概要エンタープライズ・ネットワークに Tivoli Identity Manager をデプロイする際、Tivoli Identity Manager サーバーとソフトウェア製品およびサーバーが通信するさまざまなコンポーネントの間の通信を保護する必要があります。認証局 (CA) からの署名デジタル証明書を使用して認証を行う業界標準の SSL プロトコルを使用して、Tivoli Identity Manager デプロイメントにおける通信を保護します。また、SSL はアプリケーション間で交換されるデータを暗号化します。暗号化によって、ネットワークで送信されるデータの意味は対象の受信者にしかわからなくなります。

署名デジタル証明書によって、ネットワークで接続中の 2 つのアプリケーションがお互いの ID を認証することができます。SSL サーバーの役割を果たしているアプリケーションは、SSL クライアントに対して、主張するエンティティーであることを検査するために信任状を署名デジタル証明書で提示します。また、SSL サーバーの役割を果たしているアプリケーションを構成して、SSL クライアントの役割を果たしているアプリケーションに証明書で信任状を提示するように要求することができます。これによって、証明書の両方向の交換が完了します。署名証明書はサード・パーティーの認証局から有料で発行されます。OpenSSL が提供するものなど、いくつかの公共機関も署名証明書を発行できます。


署名デジタル証明書発信元を検査するには、認証局証明書 (CA 証明書) のインストールが必要です。アプリケーションが他のアプリケーションの署名証明書を受信した際、CA 証明書を使用して証明書の発信元を検査します。認証局には、既知で広く他の組織が使用しているものもありますし、特定の地域または会社に限定されたローカルなものもあります。Web ブラウザーなど多くのアプリケーションは既知の認証局の CA 証明書で構成され、ネットワークのセキュリティー・ゾーン全体にCA 証明書を配布する作業の手間を排除または削減しています。

秘密鍵、公開鍵、およびデジタル証明書鍵、デジタル証明書、および信頼された認証局を使用して、アプリケーションの ID

を確立および検査します。

SSL は、認証に公開鍵暗号化テクノロジーを使用します。公開鍵暗号化では、公開鍵および秘密鍵がアプリケーションに対して生成されます。公開鍵で暗号化されたデータは、対応する秘密鍵でしか暗号化解除できません。同様に、秘密鍵で暗号化されたデータは、対応する公開鍵でしか暗号化解除できません。秘密鍵は、鍵データベース・ファイルでパスワード保護されているため、所有者だけが秘密鍵にアクセス可能で、対応する公開鍵を使用して暗号化されたメッセージを暗号化解除できます。

署名デジタル証明書は、サーバー、クライアント、アプリケーションなどのエンティティーの認証性を検査する業界標準の手法です。セキュリティーを最大限に確保するために、サード・パーティーの認証局が証明書を発行します。証明書には、エンティティーの ID の検査に必要な以下の情報が含まれています。

組織情報証明書のこのセクションには、組織名およびアドレスなど証明書の所有者を識別できる固有の情報が含まれています。証明書管理ユーティリティーを使用して証明書を作成する際にこの情報を提供します。

公開鍵証明書の受信側は、公開鍵を使用して証明書所有者が ID 検査のために送信した暗号化テキストを復号します。公開鍵は、テキストを暗号化する対応した秘密鍵を持っています。

認証局の識別名証明書の発行者は、この情報で自らを識別します。

デジタル署名証明書の発行者は、デジタル署名で証明書に署名し認証性を検査します。この署名は、信頼された認証局を発信元とする証明書であることを検査するために、対応する CA 証明書の署名と比較されます。

Web ブラウザー、サーバー、およびその他の SSL が使用可能なアプリケーションは、通常信頼された認証局が署名するか、それ以外の場合であっても有効なデジタル証明書を正しいものとして受け取ります。例えば、証明書自体の期限切れや検査に使用された CA 証明書が期限切れ、またはサーバーのデジタル証明書にある識別名がクライアントによって指定された識別名と一致しない場合に、そのデジタル証明書は無効になります。


自己署名証明書自己署名証明書を使用して、認証局が発行した署名証明書を作成およびインストールする前に SSL 構成をテストできます。自己署名証明書には、公開鍵、証明書所有者の情報、および所有者の署名が含まれています。関連した秘密鍵を持っていますが、サード・パーティーの認証局を通じて証明書の発信元を検査することはしません。SSL サーバー・アプリケーションに自己署名証明書を生成すると、SSL クライアント・アプリケーションの証明書レジストリーにその証明書を抽出および追加する必要があります。

この手順は、サーバー証明書に対応する CA 証明書のインストール手順と同じです。しかし、自己署名証明書を抽出して CA 証明書と同等に使用する際は、ファイルに秘密鍵は含まれません。

鍵管理ユーティリティーを使用して、自己署名証明書および秘密鍵の生成、自己署名証明書の抽出、追加を行います。

自己署名証明書をどこでどのように使用するかは、セキュリティー要件によって異なります。重要なソフトウェア・コンポーネント間で高水準な認証を行うには、自己署名証明書を使わないか、または選択的に使用します。例えば、署名デジタル証明書によってサーバー・データを保護するアプリケーションを認証し、一方で自己署名証明書を使用して Web ブラウザーまたは Tivoli Identity Manager アダプターを認証することができます。

自己署名証明書を使用する場合、以下の手順で自己署名証明書を証明書および CA

証明書のペアに置き換えることができます。

証明書および鍵フォーマット証明書および鍵は、以下のフォーマットでファイルに保管されています。

.pem フォーマットプライバシー拡張メール (.pem) のフォーマット・ファイルの開始行と終了行は以下のとおりです。

-----BEGIN CERTIFICATE----------END CERTIFICATE-----

.pem ファイル・フォーマットは、証明書チェーンなど複数のデジタル証明書をサポートしています。組織で証明書チェーンを使用している場合は、このフォーマットを使用して CA 証明書を作成します。

.arm フォーマット.arm ファイルには、base-64 エンコード ASCII 表記の証明書が含まれており、秘密鍵などがありますが、公開鍵は対象外です。.arm ファイル・フォーマットは IBM 鍵管理ユーティリティーで生成および使用されます。

.der フォーマット.der ファイルにはバイナリー・データが含まれています。.der ファイルは、複数の証明書を含むことができる .pem ファイルと異なり、単一の証明書にしか使用できません。

.pfx フォーマット (PKCS12)PKCS12 ファイルはポータブル・ファイルで、証明書および対応する秘密鍵

第 4 章 AIX アダプターの SSL 認証の構成 33

を含んでいます。このフォーマットは、1 つのタイプの SSL インプリメンテーションから異なるタイプのインプリメンテーションへの変換に役立ちます。例えば、IBM 鍵管理ユーティリティーを使用して PKCS12 ファイルを作成、エクスポートしてから、そのファイルを CertTool ユーティリティーを使用して別のマシンにインポートすることができます。

SSL 認証の使用アダプターを開始すると、使用可能な接続プロトコルがロードされます。 DAML

プロトコルは、SSL 認証の使用をサポートするただ 1 つの使用可能なプロトコルです。DAML SSL インプリメンテーションの使用を指定できます。

DAML SSL インプリメンテーションは、証明書レジストリーを使用して、秘密鍵および証明書を保管します。証明書レジストリーの場所は、CertTool 鍵および証明書管理ツールによって内部的に管理されていますので、証明書管理タスクの実行時にレジストリーの場所を指定する必要はありません。

DAML プロトコルについて詳しくは、 10ページの『プロトコル構成設定の変更』を参照してください。

SSL 認証用証明書の構成以下の手順を使用して、署名証明書を使用した片方向または両方向の SSL 認証用アダプターを構成します。これらの手順を実行するには、CertTool ユーティリティーを使用します。

片方向 SSL 認証用証明書の構成このシナリオでは、Tivoli Identity Manager サーバーおよび Tivoli Identity Manager

アダプターが SSL を使用するように設定されています。クライアント認証は、どちらのアプリケーションにも設定されていません。 Tivoli Identity Manager サーバーは SSL クライアントとして作動し接続を開始します。アダプターは SSL サーバーとして作動し、署名証明書を Tivoli Identity Manager サーバーに送信することで応答します。Tivoli Identity Manager サーバーは、アダプターから送信された証明書を検査するためにインストールされた CA 証明書を使用します。

35ページの図 2 で、アプリケーション A は Tivoli Identity Manager サーバーとして作動し、アプリケーション B は Tivoli Identity Manager アダプターとして作動します。


片方向 SSL を構成するには、アプリケーションごとに以下のタスクを実行します。

1. アダプター側では、以下のステップを完了します。

a. CertTool ユーティリティーを始動します。

b. 認証局が発行した署名証明書を持つ SSL サーバー・アプリケーションを構成するには以下のようにします。

1) 証明書署名要求 (CSR) および秘密鍵を作成します。このステップは、組み込まれた公開鍵と分離した秘密鍵を持つ証明書を作成し、PENDING_KEY レジストリー値に秘密鍵を配置します。

2) CA が提供する指示を使用して認証局に CSR を実行します。CSR を実行する際、ルート CA 証明書がサーバー証明書と共に戻されるように指定します。

2. Tivoli Identity Manager サーバーで、以下のステップのいずれか 1 つを完了します。

v 既知の CA が発行する署名証明書の使用を構成する場合、Tivoli Identity

Manager サーバーが CA のルート証明書 (CA 証明書) を鍵ストアに保管したことを確認します。鍵ストアが CA 証明書を含んでいない場合、アダプターから CA 証明書を抽出し、サーバーの鍵ストアに追加します。

v 自己署名証明書の使用を構成する場合は以下のようにします。

– 自己署名証明書を Tivoli Identity Manager サーバーで生成した場合は、その証明書はすでに鍵ストアにインストール済みです。

– 別のアプリケーションの鍵管理ユーティリティーを使用して自己署名証明書を生成した場合は、アプリケーションの鍵ストアから証明書を抽出し、Tivoli Identity Manager サーバーの鍵ストアに追加します。

両方向 SSL 認証用証明書の構成このシナリオでは、Tivoli Identity Manager サーバーおよび Tivoli Identity Manager

アダプターが SSL を使用するように設定されており、アダプターはクライアント認証を使用するように設定されています。証明書を Tivoli Identity Manager サーバーに送信すると、アダプターはサーバーに対して識別検査を要求し、サーバーは署名証明書をアダプターに送ります。両方のアプリケーションが署名証明書および対応する CA 証明書で構成されます。

図 2. 片方向 SSL 認証 (サーバー認証)


図 3 では、Tivoli Identity Manager サーバーはアプリケーション A として作動し、Tivoli Identity Manager アダプターはアプリケーション B として作動します。

以下の手順は、 34ページの『片方向 SSL 認証用証明書の構成』で述べた手順を使用して、片方向 SSL 認証用のアダプターおよび Tivoli Identity Manager サーバーの構成が完了済みであることを前提としています。したがって、CA からの署名証明書を使用する場合、以下のようになります。

v アダプターは、秘密鍵と CA が発行した署名証明書で構成されます。

v Tivoli Identity Manager サーバーはアダプターの署名証明書を発行した CA のCA 証明書で構成されます。

両方向 SSL 用の証明書構成を完了するには、以下のタスクを実行します。

1. Tivoli Identity Manager サーバーでは、CSR および秘密鍵を作成し、CA から証明書を取得して、CA 証明書および新規の署名証明書をインストールしてから、一時ファイルに CA 証明書を抽出します。

2. アダプター側では、Tivoli Identity Manager サーバーの鍵ストアから抽出したCA 証明書をアダプターに追加します。

両方向の証明書構成を完了したら、各アプリケーションは固有の証明書と秘密鍵、さらにアプリケーションごとに証明書を発行した CA の CA 証明書を保有します。

アダプターが SSL クライアントとして作動する際の証明書の構成このシナリオでは、アダプターは SSL サーバーとしてだけでなく、SSL クライアントとしても作動します。このシナリオは、アダプターがイベント通知を送信するために Web サーバー (Tivoli Identity Manager サーバーが使用) との接続を開始する場合に適用されます。例えば、アダプターは接続を開始し、Web サーバーは証明書をアダプターに提示することで応答します。

37ページの図 4 では、Tivoli Identity Manager アダプターが SSL サーバーおよびSSL クライアントとして作動する方法について説明しています。Tivoli Identity

図 3. 両方向 SSL 認証 (クライアント認証)


Manager サーバーと通信する際、アダプターは認証用に証明書を送信します。Web

サーバーと通信する際、アダプターは Web サーバーの証明書を受信します。

Web サーバーが両方向 SSL 認証用に構成済みの場合、Web サーバーは署名証明書を Web サーバーに送信するアダプターの ID を検査します (図では示されていません)。アダプターと Web サーバー間の両方向 SSL 認証を使用可能にするには、以下の手順を実行します。

1. クライアント認証を使用するように Web サーバーを構成します。

2. 手順に従って Web サーバーに署名証明書を作成およびインストールします。

3. CertTool ユーティリティーを使用して、アダプターに CA 証明書をインストールします。

4. アダプターの署名証明書に対応する CA 証明書を Web サーバーに追加します。

アダプターがイベント通知送信のために Web サーバー (Tivoli Identity Manager サーバーが使用) との接続を開始する際の証明書の構成について詳しくは、「Tivoli

Identity Manager インフォメーション・センター」を参照してください。

CertTool を使用した SSL 証明書の管理このセクションの手順では、CertTool ユーティリティーを使用して秘密鍵および証明書を管理する方法について説明します。

このセクションには、以下のタスクの実行に関する説明が含まれています。

v 38ページの『CertTool の始動』

v 40ページの『秘密鍵および認証要求の生成』

v 41ページの『証明書のインストール』

v 41ページの『PKCS12 ファイルからの証明書および鍵のインストール』

v 42ページの『インストール済みの証明書の表示』

v 43ページの『CA 証明書の表示』

v 42ページの『CA 証明書のインストール』

図 4. SSL サーバーおよび SSL クライアントとして作動している Tivoli Identity Manager アダプター


v 43ページの『CA 証明書の削除』

v 43ページの『登録証明書の表示』

v 43ページの『証明書の登録』

v 44ページの『証明書の登録抹消』

CertTool の始動証明書構成ツール、CertTool を始動するには、AIX アダプターの場合、以下のステップを完了します。

1. AIX アダプターにログインします。

2. アダプター用の bin ディレクトリーに移動します。例えば、AIX アダプター・ディレクトリーがデフォルトの場所にある場合は、以下のコマンドを入力します。

# cd /usr/tivoli/agents/AixAgent/bin

3. プロンプトで CertTool -agent AixAgent と入力します。「メインメニュー(Main Menu)」が表示されます。

Main menu - Configuring agent: AixAgent------------------------------A. Generate private key and certificate requestB. Install certificate from fileC. Install certificate and key from PKCS12 fileD. View current installed certificate

E. List CA certificatesF. Install a CA certificateG. Delete a CA certificate

H. List registered certificatesI. Register certificateJ. Unregister a certificate

K. Export certificate and key to PKCS12 file

X. Quit

Choice:

「メインメニュー (Main Menu)」からは、秘密鍵および認証要求の作成、証明書のインストールおよび削除、証明書の登録および登録抹消、証明書のリストを行うことができます。以下のセクションでは、オプションの各グループの目的について要約しています。

オプションの第 1 セット (A から D) は、CSR の生成および戻された署名証明書のアダプターへのインストールに使用します。

A. 秘密鍵および認証要求の生成 (Generate private key and certificate request)CSR および認証局に送信される関連した秘密鍵を生成します。オプションA について詳しくは、 40ページの『秘密鍵および認証要求の生成』を参照してください。

B. ファイルからの証明書のインストール (Install certificate from file)ファイルから証明書をインストールします。このファイルは、オプションA で生成された CSR に応答して CA が戻した署名証明書でなければなりません。オプション B について詳しくは、 41ページの『証明書のインストール』を参照してください。


C. PKCS12 ファイルからの証明書および鍵のインストール (Install certificate andkey from a PKCS12 file)

公開証明書および秘密鍵の両方を含んだ PKCS12 フォーマット・ファイルから証明書をインストールします。証明書の取得にオプション A と B を使用していない場合、使用する証明書は PKCS12 フォーマットでなければなりません。オプション C について詳しくは、 41ページの『PKCS12 ファイルからの証明書および鍵のインストール』を参照してください。

D. 現在インストール済みの証明書の表示 (View current installed certificate)システムにインストール済みの証明書を表示します。オプション D について詳しくは、 42ページの『インストール済みの証明書の表示』を参照してください。

オプションの第 2 のセットは、ルート CA 証明書のアダプターへのインストールに使用します。CA 証明書は、Tivoli Identity Manager サーバーなどのクライアントが提示した対応する証明書を検査するために Tivoli Identity Manager アダプターが使用します。

E. CA 証明書のリスト (List CA certificates)インストール済みの CA 証明書を表示します。アダプターは、インストール済みの CA 証明書の 1 つによって証明書が検査済みの Tivoli Identity

Manager サーバーとしか通信しません。

F. CA 証明書のインストール (Install a CA certificate)CA が生成した証明書を検査するために新規の CA 証明書をインストールします。CA 証明書ファイルでは、X.509 または PEM エンコード・フォーマットのいずれかを使用できます。CA 証明書のインストール方法について詳しくは、 42ページの『CA 証明書のインストール』を参照してください。

G. CA 証明書の削除 (Delete a CA certificate)インストール済みの CA 証明書のいずれかを除去します。CA 証明書の削除方法について詳しくは、 43ページの『CA 証明書の削除』を参照してください。

残りのオプション (H から K) は、アダプターが情報を送信する先のアプリケーション (例えば Tivoli Identity Manager サーバーまたは Web サーバー) を認証する必要があるアダプターに適用されます。これらのオプションは、アダプターへの証明書の登録に使用します。Tivoli Identity Manager バージョン 4.5 以前の場合、Tivoli

Identity Manager サーバーの署名証明書は、アダプター上でクライアント認証を可能とするためにアダプターに登録する必要があります。クライアント認証用の CA 証明書を使用するように既存のアダプターをアップグレードしない場合は、Tivoli

Identity Manager サーバーが提示した署名証明書をアダプターに登録する必要があります。

アダプターを構成してイベント通知を使用する場合、またはクライアント認証がDAML で使用可能な場合は、オプション F の『CA 証明書のインストール』オプションを使用して、Tivoli Identity Manager サーバーの署名証明書に対応する CA

証明書をインストールする必要があります。


H. 登録証明書のリスト (List registered certificates)通信で受け入れられるすべての登録証明書をリストします。登録証明書のリストについて詳しくは、 43ページの『登録証明書の表示』を参照してください。

I. 証明書の登録 (Register a certificate)新規の証明書を登録します。登録する証明書は Base 64 エンコード X.509

フォーマットまたは PEM でなければなりません。証明書の登録について詳しくは、 43ページの『証明書の登録』を参照してください。

J. 証明書の登録抹消 (Unregister a certificate)登録済みリストから証明書を抹消 (除去) します。証明書の登録抹消について詳しくは、 44ページの『証明書の登録抹消』を参照してください。

K. 証明書および鍵の PKCS12 ファイルへのエクスポート (Export certificate andkey to PKCS12 file)

以前にインストールした証明書および秘密鍵をエクスポートします。暗号化のためにファイル名およびパスワードの入力をプロンプトで要求されます。証明書および鍵の PKCS12 ファイルへのエクスポートについて詳しくは、44ページの『PKCS12 ファイルへの証明書と鍵のエクスポート』を参照してください。

秘密鍵および認証要求の生成証明書署名要求はテキスト・ファイルの未署名証明書です。未署名証明書を認証局に実行すると、CA は対応する CA 証明書に含まれている秘密デジタル署名で証明書に署名します。CSR が署名されると、有効な証明書になります。CSR には、組織名、国、Web サーバーの公開鍵など、組織に関する情報が含まれています。

CSR ファイルを生成するには、以下のステップを完了します。

1. CertTool の「メインメニュー (Main Menu)」で、A と入力します。以下のメッセージおよびプロンプトが表示されます。

Enter values for certificate request (press enter to skip value)-------------------------------------------------------------------------

2. 「組織」プロンプトで、組織名を入力し、Enter キーを押します。

3. 「組織単位」プロンプトで、組織単位を入力し、Enter キーを押します。

4. 「エージェント名 (Agent Name)」プロンプトで、証明書を要求する対象のアダプターの名前を入力し、Enter キーを押します。

5. 「電子メール」プロンプトで、この要求の担当者の電子メール・アドレスを入力し、Enter キーを押します。

6. 「都道府県」プロンプトで、アダプターがある都道府県を入力し、Enter キーを押します。認証局によっては、都道府県に 2 文字の省略形を受け入れない場合があるため、フルネームで都道府県名を入力する必要があります。

7. 「国」プロンプトで、アダプターがある国を入力し、Enter キーを押します。

8. 「地域」プロンプトで、アダプターがある都市名を入力し、Enter キーを押します。

9. 「これらの値を受け入れますか (Accept these values)」プロンプトで、表示された値を受け入れる場合は Y、値を再入力する場合は N を入力し、Enter キーを押します。


値を受け入れると、秘密鍵および認証要求が生成されます。

10. 「PEM 認証要求を保管するファイル名を入力してください (Enter name offile to store PEM cert request)」プロンプトで、ここまでのステップで指定した値を保管するために使用するファイル名を入力し、Enter キーを押します。

11. Enter キーを押して継続します。認証要求および入力値が指定したファイルに書き込まれ、再度「メインメニュー (Main Menu)」が表示されます。

これで、生成した .pem ファイルを認証局ベンダーに送信することで、トラステッド CA に対して証明書を要求できます。

証明書署名要求の例CSR ファイルは以下の例のようになります。-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

証明書のインストールトラステッド CA から証明書を受信したら、アダプターのレジストリーにインストールします。証明書をインストールするには、以下のステップを完了します。

1. 電子メール・メッセージの一部として証明書を受信した場合は、証明書のテキストをテキスト・ファイルにコピーし、そのファイルをアダプターの bin ディレクトリーにコピーします。例:

/usr/tivoli/agents/AixAgent/bin

2. CertTool の「メインメニュー (Main Menu)」で、B と入力します。以下のプロンプトが表示されます。

Enter name of certificate file:-------------------------------------------------------------------------

3. 「証明書ファイル名を入力してください (Enter name of certificate file)」プロンプトで、証明書ファイルの絶対パスを入力し、Enter キーを押します。

証明書はアダプターのレジストリーにインストールされ、再度「メインメニュー(Main Menu)」が表示されます。

PKCS12 ファイルからの証明書および鍵のインストール証明書を取得するための CSR の生成に CertTool ユーティリティーを使用しない場合は、証明書および秘密鍵をインストールし、それらを PKCS12 ファイルに保管する必要があります。CA はパスワード保護ファイルまたは PKCS12 ファイル (拡張子が .pfx のファイル) を送信する場合があり、それらのファイルには証明書と秘密鍵の両方が含まれています。この PKCS12 ファイルから証明書をインストールするには、以下のステップを完了します。

1. PKCS12 ファイルをアダプターの bin ディレクトリーにコピーします。例:


/usr/tivoli/agents/AixAgent/bin

2. CertTool の「メインメニュー (Main Menu)」で、C と入力します。以下のプロンプトが表示されます。

Enter name of PKCS12 file:-------------------------------------------------------------------------

3. 「PKCS12 ファイルの名前を入力してください (Enter name of PKCS12 file)」プロンプトで、証明書および秘密鍵の情報を含んだ PKCS12 ファイルの名前を入力し、Enter キーを押します。例: DamlSrvr.pfx

4. 「パスワードを入力してください (Enter password)」プロンプトで、ファイルのアクセスに必要なパスワードを入力し、Enter キーを押します。

証明書および秘密鍵はアダプターのレジストリーにインストールされ、再度「メインメニュー (Main Menu)」が表示されます。

インストール済みの証明書の表示システムにインストール済みの証明書をリストするには、CertTool の「メインメニュー (Main Menu)」で D と入力します。

インストール済みの証明書がリストされ、「メインメニュー (Main Menu)」が表示されます。以下の例ではインストール済みの証明書をリストしています。

The following certificate is currently installed.Subject: c=US,st=California,l=Irvine,o=DAML,cn=DAML Server

CA 証明書のインストールクライアント認証を使用している場合、CA 証明書をインストールする必要があります。インストールする CA 証明書は、認証局ベンダーから発行されます。

一時ファイルに抽出した CA 証明書をインストールするには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、F (CA 証明書のインストール)

と入力します。

以下のプロンプトが表示されます。

Enter name of certificate file:

2. 「証明書ファイル名を入力してください (Enter name of certificate file)」プロンプトで、DamlCACerts.pem などの証明書ファイル名を入力し、Enter キーを押します。

証明書ファイルがオープンされ、以下のプロンプトが表示されます。

[email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=EngInstall the CA? (Y/N)

3. 「CA のインストール (Install the CA)」プロンプトで、証明書をインストールするには Y と入力し、Enter キーを押します。

証明書ファイルが CACerts.pem ファイルにインストールされます。


CA 証明書の表示CertTool は 1 つの証明書および 1 つの秘密鍵しかインストールしません。アダプターにインストール済みの CA 証明書をリストするには、「メインメニュー (MainMenu)」プロンプトで E と入力します。

インストール済みの CA 証明書が表示され、「メインメニュー (Main Menu)」が表示されます。以下の例ではインストール済みの CA 証明書をリストしています。

Subject: o=IBM,ou=SampleCACert,cn=TestCAValid To: Wed Jul 26 23:59:59 2006

CA 証明書の削除アダプター・ディレクトリーから CA 証明書を削除するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、G と入力します。

アダプターにインストール済みのすべての CA 証明書のリストが表示されます。

0 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=Eng1 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Support,cn=SupportEnter number of CA certificate to remove:

2. 「除去する CA 証明書の番号を入力してください (Enter number of CAcertificate to remove)」プロンプトで、除去する CA 証明書の番号を入力し、Enter キーを押します。

CA 証明書が CACerts.pem ファイルから削除され、「メインメニュー (Main


登録証明書の表示クライアントの妥当性検査が使用可能になっている場合に、アダプターは、登録証明書を表示する要求のみ受け入れます。

アダプターが使用可能なすべての登録証明書のリストを表示するには、「メインメニュー (Main Menu)」プロンプトで、H と入力します。

登録証明書が表示され、「メインメニュー (Main Menu)」が表示されます。以下の例では登録証明書をリストしています。

0 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=Eng1 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Support,cn=Support

証明書の登録アダプターの証明書を登録するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、I と入力します。


Enter name of certificate file:

2. 「証明書ファイル名を入力してください (Enter name of certificate file)」プロンプトで、登録する証明書ファイル名を入力し、Enter キーを押します。


証明書の件名が表示され、プロンプトが表示されます。例:

[email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=EngRegister this CA? (Y/N)

3. 「この CA を登録 (Register this CA)」プロンプトで、証明書を登録するには、Y と入力し、Enter キーを押します。

証明書はアダプターに登録され、「メインメニュー (Main Menu)」が表示されます。

証明書の登録抹消アダプターの証明書を登録抹消するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、J と入力します。

登録証明書が表示されます。以下の例では登録証明書をリストしています。

0 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=Eng1 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Support,cn=Support

2. 登録抹消する証明書ファイルの番号を入力し、Enter キーを押します。

選択した証明書の件名が表示され、プロンプトが表示されます。例:

[email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=EngUnregister this CA? (Y/N)

3. 「この CA を登録抹消 (Unregister this CA)」プロンプトで、証明書を登録抹消するには Y と入力し、Enter キーを押します。

証明書は、アダプターの登録証明書リストから除去され、「メインメニュー(Main Menu)」が表示されます。

PKCS12 ファイルへの証明書と鍵のエクスポートアダプターの PKCS12 ファイルに証明書および鍵をエクスポートするには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、K と入力します。


Enter name of PKCS12 file:

2. 「PKCS12 ファイルの名前を入力してください (Enter name of PKCS12 file)」プロンプトで、インストール済みの証明書または秘密鍵の PKCS12 ファイルの名前を入力し、Enter キーを押します。

3. 「パスワードを入力してください (Enter Password)」プロンプトで、PKCS12 ファイルのパスワードを入力し、Enter キーを押します。

4. 「パスワードの確認」プロンプトで、パスワードを再入力し、Enter キーを押します。

証明書または秘密鍵が PKCS12 ファイルにエクスポートされ、「メインメニュー (Main Menu)」が表示されます。


第 5 章 AIX アダプターのカスタマイズ

AIX アダプター JAR ファイル (AIXProfile.jar) を更新して、アダプター・スキーマ、アカウント・フォーム、サービス・フォーム、およびプロファイル・プロパティーを変更できます。このような更新を行うには、JAR ファイルからファイルを抽出し、必要なファイルを変更し、更新したファイルで JAR ファイルを圧縮し直す必要があります。

AIX アダプター・プロファイルをカスタマイズするには、以下のステップを完了してください。

1. JAR ファイルを一時ディレクトリーにコピーしてファイルを抽出します。ファイルの抽出について詳しくは、『AIXProfile.jar ファイルのコピーとファイルの抽出』を参照してください。

2. 適切なファイルを変更します。

3. Tivoli Identity Manager サーバーに新規属性をインストールします。このファイルの更新について詳しくは、 46ページの『新しい JAR ファイルの作成と新しい属性の Tivoli Identity Manager サーバーへのインストール』を参照してください。

AIXProfile.jar ファイルのコピーとファイルの抽出プロファイル JAR ファイルである AIXProfile.jar は、IBM Web サイトからダウンロードした AIX アダプター圧縮ファイルに含まれています。AIXProfile.jar ファイルには以下のファイルが含まれています。

v CustomLabels.properties

v erAIXAccount.xml

v erAIXDAMLService.xml

v resource.def

v schema.dsml

v xforms.xml

これらのファイルを変更して、環境をカスタマイズできます。

プロファイル JAR ファイルの更新が終了したら、Tivoli Identity Manager サーバーにインストールします。プロファイルのインストールについて詳しくは、 5ページの『アダプター・プロファイルの Tivoli Identity Manager サーバーへのインポート』を参照してください。

AIXProfile.jar ファイルを変更するには、以下のステップを完了します。

1. AIX アダプターがインストールされているシステムにログインします。

2. AIXProfile.jar ファイルを一時ディレクトリーにコピーします。

3. 以下のコマンドを実行して、AIXProfile.jar ファイルのコンテンツを一時ディレクトリーに抽出します。


#cd /tmpjar -xvf AIXProfile.jar

jar コマンドは、/tmp/AIXProfile ディレクトリーを作成します。

4. 適切なファイルを編集します。

新しい JAR ファイルの作成と新しい属性の Tivoli Identity Manager サーバーへのインストール

schema.dsml および CustomLabels.properties ファイルを変更したら、これらのファイル、およびアダプター用に変更したその他のファイルを Tivoli Identity Manager サーバーにインポートして、変更内容を有効にする必要があります。

新規属性をインストールするには、以下のステップを完了します。

1. 以下のコマンドを実行し、 /temp ディレクトリーのファイルを使用して新規JAR ファイルを作成します。

#cd /tmpjar -cvf AIXProfile.jar AIXProfile

2. AIXProfile.jar ファイルを Tivoli Identity Manager Application Server にインポートします。ファイルのインポートについて詳しくは、 5ページの『アダプター・プロファイルのインポート』を参照してください。

3. ディレクトリー・サーバーを停止し始動します。

4. 変更内容を有効にするため、AIX アダプター・サービスを停止し始動します。

アカウントの復元時のパスワード管理個人のアカウントを以前にサスペンドされた状態から復元する際、復元アカウント用の新規パスワードの入力を求めるプロンプトが表示されます。しかし、この動作を回避したい事情がある場合もあります。

AIX サーバーのアカウントの復元に必要なパスワード要件には、許可と必須という2 つのカテゴリーがあります。各復元アクションがどのように対応する管理対象リソースと相互作用するかは、管理対象リソースまたはインプリメントしているビジネス・プロセスによって異なります。リソースの中には、アカウントの復元要求が行われた際にパスワードを拒否するものもあります。このケースでは、新規のパスワード要件がなくても続行できるように Tivoli Identity Manager を構成できます。アカウントの復元プロセスにはパスワードのリセットが必要と、会社のビジネス・プロセスで決まっている場合は、アカウント復元時に新規パスワードを要求するように AIX アダプターを設定できます。

resource.def ファイルに、新規のプロトコル・オプションとして、パスワードを必要とするかしないかを定義できます。アダプター・プロファイルをインポートする際、オプションが指定されていないと、アダプター・プロファイル・インポーターは、schema.dsml および xforms.xml ファイルから正しい復元パスワードの振る舞いを判断します。また、アダプター・プロファイル・コンポーネントによって、異なるリソース上の複数のアカウントを復元した状況でユーザーが入力したパスワードを廃棄するかどうかをリモート・サービスが判断できます。このシナリオでは、復


元対象のアカウントでパスワードが必要なのはごく一部です。リモート・サービスは、リモート・サービスを必要としない管理対象リソースの復元アクションからパスワードを廃棄します。

アカウント復元時に、AIX アダプターに新規パスワードを求めるプロンプトを表示しないように構成するには以下のようにします。

1. Tivoli Identity Manager サーバーを停止します。

2. AIXProfile.jar ファイルからファイルを抽出します。アダプター・プロファイル・ファイルのカスタマイズについて詳しくは、 45ページの『AIXProfile.jar ファイルのコピーとファイルの抽出』を参照してください。

3. resource.def ファイルが作成されている ¥AIXProfile ディレクトリーに移動します。

4. resource.def ファイルを編集して、新規プロトコル・オプションを追加します。例:

<Property Name = "com.ibm.itim.remoteservices.ResourceProperties.PASSWORD_NOT_REQUIRED_ON_RESTORE" Value = "TRUE"/><Property Name = "com.ibm.itim.remoteservices.ResourceProperties.PASSWORD_NOT_ALLOWED_ON_RESTORE" Value = "FALSE"/>

前述の例の 2 つのオプションを追加することで、アカウント復元時にパスワードの入力を求めるプロンプトが表示されなくなります。

5. resource.def ファイルを使用して、新規の AIXProfile.jar ファイルを作成し、アダプター・プロファイル・ファイルを Tivoli Identity Manager サーバーにインポートします。詳しくは、 46ページの『新しい JAR ファイルの作成と新しい属性のTivoli Identity Manager サーバーへのインストール』を参照してください。

6. Tivoli Identity Manager サーバーを再始動します。

注: 既存のアダプター・プロファイルをアップグレードする場合、新規のアダプター・プロファイル・スキーマは即時には反映されません。Tivoli Identity

Manager サーバーを停止および始動して、キャッシュおよびアダプター・スキーマをリフレッシュする必要があります。既存のアダプターのアップグレードについて詳しくは、 49ページの『AIX アダプターのアップグレード』を参照してください。

第 5 章 AIX アダプターのカスタマイズ 47

第 6 章 AIX アダプターまたは ADK のアップグレード

AIX アダプターまたは Adapter Development Kit (ADK) のいずれかをアップグレードできます。ADK はアダプターの基本コンポーネントです。ADK はすべてのアダプターで共通ですが、それ以外のアダプター機能は管理対象リソースごとに異なります。

アダプター・アップグレードを実行すると、現在インストールされているアダプターを新しいバージョンに (例えば、バージョン 4.4 をバージョン 4.6 に) マイグレーションできます。アダプターをアップグレードする場合は、再インストールの場合とは異なり、既存の構成設定値を保持できます。また、現在のアダプターをアンインストールしてから新しいバージョンをインストールする必要もありません。

しかし、ADK のコードが修正された場合は、アダプター全体をアップグレードする代わりに、ADK のみを新しいバージョンにアップグレードできます。

AIX アダプターのアップグレードアップグレードするときには、現在のすべての構成設定値、証明書、および秘密鍵を保持する必要があるため、アダプターの新規バージョンをインストールする前に古いバージョンをアンインストールしないでください。インストールするときには、以前のアダプターのインストール先と同じインストール・ディレクトリーを指定してください。アダプターのインストール方法について詳しくは、 3ページの『第 2 章 AIX アダプターのインストールと構成』を参照してください。

現在インストールされている AIX アダプターのバージョン 4.4 または 4.5 をバージョン 4.6 にする場合は、アダプターのアップグレードが必要です。アダプターをアップグレードするには、いくつかのステップを適切な順序で実行する必要があります。

既存のアダプターをアップグレードするには、次のステップを完了します。

1. AIX アダプター・サービスを停止します。

2. アダプターの新規バージョンをインストールします。

アップグレード後に初めてアダプターを始動すると、新規のログ・ファイルが作成され、古いファイルと置き換えられます。

ADK のアップグレードADK は、ランタイム・ライブラリー、フィルタリングとイベント通知の機能、プロトコル設定値、およびロギング情報から構成されています。アダプターのそれ以外の部分は、追加、変更、削除、および検索機能から構成されています。 ADK はすべてのアダプターで共通ですが、それ以外の機能は管理対象リソースごとに異なります。

ADK アップグレード・プログラムを使用すると、マシン上に現在インストールされているアダプターの ADK 部分を更新できます。こうすると、アダプター全体では


なく ADK のみをインストールできます。ADK アップグレードの一部として、ADK ライブラリーと DAML プロトコル・ライブラリーが更新されます。また、agentCfg バイナリーと CertTool バイナリーが更新されます。

ADK ファイルをアップグレードする前に、アップグレード・プログラムが ADK

の現在のバージョンをチェックします。インストールするバージョン・レベルよりも現在のレベルのほうが高い場合は、警告メッセージが表示されます。

AIX アダプター ADK をアップグレードするには、次のステップを完了します。

1. ADK アップグレード・プログラムのファイルを IBM Web サイトからダウンロードします。

2. 圧縮ファイルの内容を一時ディレクトリーに抽出します。

3. アダプター・インストール・ファイルの抽出先の一時ディレクトリーが作業ディレクトリーになるように変更します。例えば、以下のとおりです。

# cd /tmp

4. 使用しているオペレーティング・システムに応じた ADK アップグレード・プログラムを実行します。

# ./adkinst_<operating system>.bin

<operating system> は、使用しているオペレーティング・システムの名前(aix、solaris、linux、hpux など) です。


6. 「ソフトウェアご使用条件 (Software License Agreement)」ウィンドウでご使用条件を確認し、この条件に同意するかどうかを判断します。同意する場合は、「同意する (Accept)」をクリックします。

7. 「エージェント・インストール・パス (Agent Install Path)」ウィンドウでアダプターの現在のインストール場所を入力し、「次へ」をクリックします。

アダプターが見つからない場合は、以下のエラー・メッセージが表示されます。

Invalid Install Location - Cannot Install ADK.

別のアダプター・インストール・パスを入力するかまたは「キャンセル」をクリックしてプログラムを終了することを求めるプロンプトが出されます。

8. 「インストール情報 (Installation Information)」ウィンドウで「次へ」をクリックして、インストールを開始します。

9. アダプターが現在実行中である場合は、「エージェントの停止 (Stop Agent)」ウィンドウが表示され、アダプターを停止することを求めるプロンプトが出されます。

10. 「インストール完了」ウィンドウで「次へ」をクリックします。

11. 別のアダプターの ADK をアップグレードする場合は、「別の ADK のアップグレード (Upgrade Another ADK)」ウィンドウで「はい」をクリックします。プログラムを終了する場合は、「いいえ」をクリックします。


ログ・ファイルロギング・エントリーは、<ADKVersion>Installer.log ファイルおよび<ADKVersion>Installeropt.log ファイル (<ADKVersion> は ADK のバージョン) 内に格納されます。例えば、ADK46Installer.log と ADK46Installeropt.log です。これらのファイルは、インストール・プログラムを実行したフォルダー内に作成されます。

第 6 章 AIX アダプターまたは ADK のアップグレード 51

第 7 章 AIX アダプターのアンインストール

アダプターを除去する前に、AIX アダプターが使用不可になりシステムから除去されることをユーザーに通知します。サーバーをオフライン状態にした場合、完了していない AIX アダプター要求は、サーバーがオンライン状態に戻ったときに回復できません。

AIX アダプターを除去するには、次のステップを完了します。

1. /bin ディレクトリーから ./StopAgent.sh と入力して、AIX アダプター・サービスを停止します。

2. <adapter_directory>/_uninst ディレクトリー (adapter_directory はアダプターのインストール先のディレクトリー) から ./uninstaller.bin と入力し、Enter キーを押して、アンインストール・スクリプトを実行します。


4. AIX アダプター・アンインストール要約ウィンドウで「次へ」をクリックします。

5. アダプター・ログ・ファイルを除去する場合は、「既存ファイルの除去 (Remove

Existing File)」ウィンドウで「すべてはい」をクリックします。ファイルを除去しない場合は、「すべていいえ」をクリックします。

6. 「終了」をクリックします。

ディレクトリー・ツリーを調べて、AIX アダプター・ディレクトリー、サブディレクトリー、およびファイルが削除されていることを確認します。


付録 A. アダプター属性

AIX アダプターは、その AIX アダプター・アカウントが所有するファイルとディレクトリーおよび root が所有するファイルとディレクトリーから構成されます。AIX アダプターが所有するファイルにより、Tivoli Identity Manager サーバーとの通信が確立されます。root ユーザー ID が所有するファイルにより、root アクセスを要求するアクションが実行されます。

属性説明Tivoli Identity Manager サーバーは、ネットワーク経由で送信される伝送パケット内に含まれる属性を使用して、AIX アダプターと通信します。パケット内に含まれる属性の組み合わせは、Tivoli Identity Manager サーバーが AIX アダプターに要求するアクションのタイプによって異なります。

表 12 は、AIX アダプターが使用する属性のアルファベット順のリストです。この表は、属性の値の簡単な説明とデータ・タイプを示します。

表 12. 属性、説明、および対応するデータ・タイプ

属性ディレクトリー・サーバー属性説明データ・タイプ

GroupId erAIXGroupId ユーザーが属するグループ ID

を指定しますストリング

GroupMember erAIXGroupMember ユーザーが属する 2 次グループ ID を指定します

ストリング

GroupName erAIXGroupName 調整中に戻されるグループ名を指定します

ストリング

lu_at erAIXAT ジョブを許可または不許可に設定するフラグを指定します

ブール

lu_cron erAIXCRON cron ジョブを許可または不許可に設定するフラグを指定します

ブール

lu_dupuid erUnixDuplicateUID 追加要求中に重複するユーザー ID を許可するかどうかを示すフラグを指定します

ブール

lu_expire erExpirationDate ユーザー・アカウントの有効期限を MM/DD/YY の形式で指定します

整数

lu_force erPasswordForceChange ユーザーが次にログインするときにパスワードを変更する必要があるかどうかを指定します

ストリング

lu_gid gidNumber ユーザーが属するグループ ID

番号を指定しますストリング


表 12. 属性、説明、および対応するデータ・タイプ (続き)


lu_gecos gecos メイン GECOS フィールドを指定します。これは、ユーザーの概要です。

ASCII ストリング

lu_home_mode erHomeDirPermissions ユーザー・ホーム・ディレクトリーの 3 桁のファイル・モード変更値を指定します

整数

lu_home_path erHomeDir ユーザー・アカウントの完全修飾 UNIX パスを指定します

ストリング

lu_last_access erLastAccessDate ユーザー・アカウントの最終アクセス日を指定します

ストリング

lu_passwd erPassword ユーザーのログイン・パスワードを指定します。

ストリング

lu_primary_group erUnixPrimaryGroup 1 次グループ名またはグループ ID を指定します。

ストリング

lu_pwd_last_change erPasswordLastChange パスワードの最終変更日を指定します。

ストリング

lu_pwd_max_age erPasswordMaxAge パスワードを有効とする最大日数を指定します

整数

lu_pwd_max_expired erAIXPasswordMaxExpire パスワードの有効期限が切れてからアカウントをロックアウトするまでの週数を指定します

整数

lu_pwd_max_repeats erAIXPasswordMaxRepeats パスワードで繰り返せる文字の最大数を指定します

整数

lu_pwd_min_age erPasswordMinAge 現行パスワードを有効とする最小日数を指定します

ストリング

lu_pwd_warn_age erPasswordWarnAge パスワードの有効期限を警告するまでの残り日数を指定します

整数

lu_secondary_groups erUnixSecondaryGroup 2 次グループのグループ名またはグループ ID を指定します

ストリング

lu_shell erUnixShell 要求されたユーザー・アカウントに有効なログイン・シェルを指定します

ストリング

lu_uid uidNumber ユーザーのログイン ID を指定します。

整数

lu_umask erUnixUMask ファイル作成マスクの 3 桁の数値を指定します

整数

lu_admin_user erAIXAdminUser 管理ユーザーのログイン ID

を指定します。ストリング

USERNAME erUid ユーザーのログイン名を指定します。

ストリング


表 12. 属性、説明、および対応するデータ・タイプ (続き)


UserStatus erAccountStatus ユーザー・アカウントをサスペンドするかどうかを示すフラグを指定します

ブール

アクション別の AIX アダプター属性以下のリストは、一般的な AIX アダプター・アクションを機能トランザクション・グループ別に示しています。これらのリストには、そのアクションを完了するために AIX アダプターに送信される必須属性およびオプション属性についての追加情報が含まれます。

System Login AddSystem Login Add は、指定された属性を持つ新規のユーザー・アカウントをドメイン内に作成するための要求です。

表 13. 追加要求属性

必須属性オプション属性

erUid

erPassword

サポートされる他のすべての属性

System Login ChangeSystem Login Change は、指定されたユーザーの 1 つ以上の属性を変更するための要求です。

表 14. 変更要求属性


erUid サポートされる他のすべての属性

System Login DeleteSystem Login Delete は、指定されたユーザーを Active Directory から除去するための要求です。

表 15. 削除要求属性


erUid なし

システム・ログインの復元System Login Restore は、以前にサスペンドされたユーザー・アカウントをアクティブ化するための要求です。アカウントが復元されると、ユーザーは、Suspend 機能が呼び出される前と同じ属性を使用してシステムにアクセスできます。

付録 A. アダプター属性 57

表 16. 復元要求属性


erUid

erAccountStatus

erPassword

システム・ログインのサスペンドSystem Login Suspend は、ユーザー・アカウントを使用不可にするための要求です。ユーザーが除去されたり、その属性が変更されたりすることはありません。

表 17. サスペンド要求属性


erUid

erAccountStatus

なし

ReconciliationReconciliation 要求は、Tivoli Identity Manager とアダプターの間でユーザー・アカウント情報を同期化します。

表 18. Reconciliation 属性


なしなし

グループ・アクセス以下のセクションに、グループ・アクセス要求の場合に必要な属性とオプションの属性を示します。

2 次グループへのユーザーの追加以下の表に、2 次グループをユーザー・アカウントに追加するために必要な属性を示します。

表 19. 2 次グループへのユーザーの追加要求の属性


erUid

erUnixSecondaryGroup

なし

2 次グループからのユーザーの除去以下の表に、ユーザー・アカウントから 2 次グループを除去するために必要な属性を示します。


表 20. 2 次グループからのユーザーの除去要求の属性


erUid

erUnixSecondaryGroup

なし

1 次グループへのユーザーの追加以下の表に、1 次グループをユーザー・アカウントに追加するために必要な属性を示します。

表 21. 1 次グループへのユーザーの追加要求の属性


erUid

erUnixPrimaryGroup

なし

1 次グループからのユーザーの除去以下の表に、ユーザー・アカウントから 1 次グループを除去するために必要な属性を示します。

表 22. 1 次グループからのユーザーの除去要求の属性


erUid

erUnixPrimaryGroup

なし

付録 A. アダプター属性 59

付録 B. サポート情報

このセクションでは、IBM 製品のサポートを利用するための以下の方法について説明します。

v 『知識ベースの検索』

v 62ページの『フィックスの取得』

v 62ページの『お客様サポートとの連絡』

知識ベースの検索以下は英語のみの対応となります。 IBM ソフトウェアで問題が発生した場合は、速やかに解決する必要があります。最初に、使用可能な知識ベースを検索して、その問題の解決方法が既に文書化されているかどうかを判断します。

ローカル・システムまたはネットワーク上のインフォメーション・センターの検索

IBM では、ローカル・コンピューター上またはイントラネット・サーバー上にインストールできる大規模な文書を提供しています。このインフォメーション・センターの検索機能を使用して、概念情報、タスクを完了するための指示、参照情報、およびサポート文書を照会できます。

インターネットの検索以下は英語のみの対応となります。インフォメーション・センター内で質問への回答が見つからない場合は、インターネット上で最新の最も詳細な情報を検索して、問題の解決に役立てることができます。インターネット上で該当する製品のリソースを見つけるには、以下の Web サイトのいずれかを開きます。

v IBM Tivoli Identity Manager Performance Tuning Guide

実稼働環境用に Tivoli Identity Manager サーバーをチューニングするために必要な情報を提供します。以下の Web サイトで入手できます。


A-Z 製品リストの I の文字をクリックし、次に Tivoli Identity Manager リンクをクリックします。インフォメーション・センターで「Technical Supplements」セクションを参照します。

v Redbooks とホワイト・ペーパーは、以下の Web サイトで入手できます。


IBMTivoliIdentityManager.html

「Self Help」セクションの「Learn」カテゴリーを参照し、Redbooks リンクをクリックします。

v 技術情報は、以下の Web サイトで入手できます。






v フィールド・ガイドは、以下の Web サイトで入手できます。


v その他の Tivoli Identity Manager リソースを含む詳細なリストについては、以下の IBM developerWorks Web アドレスを検索してください。


フィックスの取得以下は英語のみの対応となります。製品のフィックスを入手して問題を解決できる場合があります。該当する IBM ソフトウェア製品でどのフィックスを使用できるかを判断するには、製品サポート Web サイトを確認します。

1. IBM ソフトウェア・サポート Web サイト (http://www.ibm.com/software/support)

にアクセスします。

2. 「Products support pages A to Z」で、該当する製品名の文字を選択します。

3. 個別製品のリストで、「IBM Tivoli Identity Manager」をクリックします。

4. 「Self help」には、該当する製品のフィックス、フィックスパック、およびその他のサービス更新のリストがあります。

5. フィックスの名前をクリックして説明を読み、必要に応じてそのフィックスをダウンロードします。

IBM 製品のフィックスなどのニュースを電子メール通知として毎週受け取るには、次のステップに従います。

1. 任意の IBM 製品のサポート・ページから、ページの左上コーナーにある「Mysupport」をクリックします。

2. 既に登録済みの場合は、次のステップにスキップします。まだ登録していない場合は、サポート・ページの右上コーナーにある「Register」をクリックして、ユーザー ID とパスワードを設定します。

3. 「My support」にサインインします。

4. 「My support」ページで、左ナビゲーション・ペインの「Edit profiles」をクリックし、「Select Mail Preferences」までスクロールします。製品ファミリーを選択し、必要な情報のタイプに対応するボックスにチェックマークを付けます。

5. 「Submit」をクリックします。

6. 他の製品の電子メール通知を受け取るには、ステップ 4 と 5 を繰り返します。

フィックスのタイプについて詳しくは、「Software Support Handbook」(http://techsupport.services.ibm.com/guides/handbook.html) を参照してください。

お客様サポートとの連絡資料およびお客様サポートについては営業担当員にお問い合わせください。





http://www.ibm.com/software/support

http://techsupport.services.ibm.com/guides/handbook.html

付録 C. 特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM

の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒106-0032東京都港区六本木 3-2-31IBM World Trade Asia CorporationLicensing

以下の保証は、国または地域の法律に沿わない場合は、適用されません。IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム（本プログラムを含む）との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。


IBM Corporation2ZA4/10111400 Burnet RoadAustin, TX 78758U.S.A.

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、IBM より提供されます。

この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

商標以下は、IBM Corporation の商標です。

IBM

IBM ロゴAIX

DB2

Lotus

Lotus Domino

Novell

SecureWay

Tivoli

Tivoli ロゴUniversal Database

WebSphere

Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation

の米国およびその他の国における商標です。

Intel、Intel Inside (ロゴ)、MMX および Pentium は、Intel Corporation の米国およびその他の国における商標です。

UNIX は、The Open Group の米国およびその他の国における登録商標です。


Linux は、Linus Torvalds の米国およびその他の国における商標です。

Java およびすべての Java 関連の商標およびロゴは、Sun

Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。

付録 C. 特記事項 65

索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］アカウントの復元パスワード要件 46

アクセシビリティテキスト、文書イメージの代替 ix

文書に関する注意 ix

pdf 形式、スクリーン・リーダー・ソフトウェア用 ix

アクティビティー・ロギング 21

アダプターアップグレード 49

インストール概要 1

カスタマイズのステップ 45

構成ステップ 7

除去 53

属性アダプター・アクション別 57

説明 55

ADK アップグレード 49

アダプター概要 1

アダプター構成ツール参照： agentCfg

アップグレードアダプター 49

アダプター・プロファイル 5

ADK 49

アンインストール 53

暗号化DAML プロトコルタイプ 11

デフォルト値 11

SSL 31, 32

暗号化されたレジストリー設定値 23

暗号化されないレジストリー設定値 23

イベント通知キャッシュ・サイズ 16

コンテキスト検索属性 19

削除 17

ターゲット DN 20

ベースライン・データベース 20

変更 18

リスト 17

手動で開始 16

使用可能/使用不可 16

イベント通知 (続き)

調整間隔 16

コンテキスト 16

属性 16

プロセスの優先順位 16

変更 17

agentCfg による変更 14

インストールアンインストール 53

証明書 41

ディレクトリーDB2 UDB xi

IBM Directory Server xii

IBM HTTP Server xiii

Sun ONE ディレクトリー・サーバー xii

WebSphere Application Server Network Deployment 製品xiii

WebSphere Application Server ベース製品 xiii

WebSphere MQ xiii

プロファイル 5

インストールの前提条件オペレーティング・システム 3

管理者権限 3

システム 3

ネットワークの接続性 3

Tivoli Identity Manager サーバー 3

インターネット、検索してソフトウェア問題の解決を検出 61,

62

インフォメーション・センター、検索してソフトウェア問題の解決を検出 61

インポートアダプター・プロファイル 5, 46

PKCS12 ファイル 33

お客様サポートお客様サポートを参照 62

連絡 62

オペレーティング・システムの前提条件 3

［カ行］環境変数

UNIX 表記 x

管理者権限 3

規則書体 x

本書の x

HOME ディレクトリーDB_INSTANCE_HOME xi

HTTP_HOME xiii

ITIM_HOME xiii


規則 (続き)

HOME ディレクトリー (続き)

LDAP_HOME xii

WAS_HOME xiii

WAS_MQ_HOME xiii

WAS_NDM_HOME xiii

Tivoli_Common_Directory xiv

UNIX 変数、ディレクトリー表記 x

クライアント認証 35

クライアントの妥当性検査、SSL 36

公開鍵 32

更新アダプター・プロファイル 45

構成キーデフォルト値 9, 20

目的 9


設定デフォルト値 10

agentCfg による表示 10


SSL 34

コンテキスト検索属性 19

削除 17

ターゲット DN 20

ベースライン・データベース 20

変更 18

リスト 17

［サ行］自己署名証明書 33

システムの前提条件 3

詳細ログデフォルト値 21

目的 22

agentCfg での使用可能/使用不可 21

証明書インストール 41

サンプル 41

ファイルからの 41

インストール済みの表示 42

概要 31

鍵フォーマット 33

自己署名 33

証明書管理ツール参照： CertTool

定義 31

登録 39

除去 44

登録 43

表示 43

登録の表示 43

秘密鍵およびデジタル証明書 32

証明書 (続き)

表示インストール済み 42

登録 43

プロトコル構成ツール参照： CertTool

要求 40

例証明書署名要求 (CSR) 41

CA

インストール 42


削除 43

使用可能な機能 39

証明書署名要求 (CSR) 41

書体の規則 x

資料関連 ix

Tivoli Identity Manager ライブラリー v

身体障害、文書の使用 ix

スレッド・カウント設定システム・ログインの削除要求 25

システム・ログインの追加要求 25

システム・ログインの変更要求 25

調整要求 25


同時要求の最大数 25


属性説明 55

AIX アダプター・アクション別削除 57

サスペンド 58

調整 58

追加 57

復元 57

変更 57

［タ行］知識ベース、検索してソフトウェア問題の解決を検出 61

調整間隔 16

コンテキスト 16

属性 16, 58

プロセスの優先順位 16

変更 17

ディレクトリーインストール

DB2 UDB xi

IBM Directory Server xii

IBM HTTP Server xiii

WebSphere Application Server Network Deployment 製品xiii

WebSphere Application Server ベース製品 xiii

WebSphere MQ xiii


ディレクトリー (続き)

名前、UNIX 表記 x

DB_INSTANCE_HOME xi

HTTP_HOME xiii

ITIM_HOME xiii

LDAP_HOME xii

Sun ONE ディレクトリー・サーバーのインストール xii

WAS_HOME xiii

WAS_MQ_HOME xiii

WAS_NDM_HOME xiii

テキスト、文書イメージの代替 ix

デバッグ・ログデフォルト値 21

目的 22


［ナ行］西ヨーロッパ文字セット、サポート 25

認証局定義 31

ネットワークの接続性 3

［ハ行］パス名、表記 x

パスワード構成キー、デフォルト値 9, 20

構成キーの変更 20

パスワード、agentCfg で変更DAML プロトコル 12

パスワード保護ファイル参照： PKCS12 ファイル

秘密鍵定義 31

秘密鍵、生成 40

フィックス、取得 62

プロトコルDAML

暗号化タイプ 11

暗号化デフォルト値 11

プロパティー、agentCfg で変更 11

agentCfg で構成 11

SSL

概要 31

サーバー・ツー・アダプター構成 34

両方向構成 35, 36

プロパティー、agentCfg で変更 11

文書関連 ix

Tivoli Identity Manager ライブラリー v

ポート番号agentCfg による変更 11

ポート番号、agentCfg で変更 12

ホーム・ディレクトリーDB_INSTANCE_HOME xi

HTTP_HOME xiii

ITIM_HOME xiii

LDAP_HOME xii

WAS_HOME xiii

WAS_MQ_HOME xiii

WAS_NDM_HOME xiii

［マ行］文字セット、サポート対象 25

［ヤ行］ユーザー名、agentCfg で変更 12

［ラ行］両方向構成

SSL

クライアント 35

クライアントおよびサーバー 36

レジストリー設定暗号化された 23

暗号化されない 23

レジストリー設定値暗号化されない 23

ログアクティビティー設定、変更 10

イベントの表示 10

使用可能/使用不可、agentCfg での変更 21

詳細 21

設定、デフォルト値 21

設定、adapterCfg での変更 21

設定、agentCfg で変更最大ファイル・サイズ 22

ログ・ファイル名 22

ディレクトリー、agentCfg での変更 22

デバッグ 21

統計 26

統計の表示 26

ファイル名、agentCfg で変更 21

ADK46Installeropt.log ファイル 51

ADK46Installer.log ファイル 51

agentCfg を使用して表示 28

trace.log ファイル 6

AADK46Installeropt.log ファイル 51

ADK46Installer.log ファイル 51

agentCfg

アダプター・パラメーターの変更構成キー 20

索引 69

agentCfg (続き)

アダプター・パラメーターの変更 (続き)

プロトコルの設定 11

要求処理 25

レジストリー設定 23

構成設定の表示 10

引数 27

メニューアクティビティー・ロギング 21

イベント通知 14

拡張設定 25

プロトコル構成 10

ヘルプ 27

メイン構成 9

レジストリー 23


agentCfg のヘルプ・メニュー 27

-help コマンドによるアクセス 27

CCertTool

アダプター・パラメーターの変更アクセス 34, 38

オプション 38

クライアント認証 39

証明書インストール 41


登録 39

登録の表示 43

要求 40

証明書のインストール 41

登録証明書除去 44

登録 43

表示 43

秘密鍵、生成 40

CA 証明書インストール 42

削除 43

表示 43

CSR

定義 40

ファイル、生成 40

DDAML プロトコル暗号化タイプ 11


オプション 11

プロパティー、agentCfg で変更オプション 11

DAML プロトコル (続き)

プロパティー、agentCfg で変更 (続き)

パスワード 12

ポート番号 12

ユーザー名 12

require_cert_reg 14

srv_nodename 13

srv_portnumber 13

validate_client_ce 13

agentCfg で構成 11

SSL 認証 34

DB_INSTANCE_HOME

定義 xi

DB2 UDBインストール・ディレクトリー xi

HHTTP_HOME

定義 xiii

IBM HTTP Server インストール・ディレクトリー xiii

IITIM_HOME

定義 xiii

ディレクトリー xiii

LLDAP_HOME

定義 xii

IBM Directory Server インストール・ディレクトリー xii

Sun ONE ディレクトリー・サーバー・インストール・ディレクトリー xii

Ppdf 形式、スクリーン・リーダー・ソフトウェア用 ix

PKCS12 ファイル証明書および鍵のインストール 41

証明書および鍵のエクスポート 44

Rrequire_cert_reg、agentCfg で変更 14

Ssrv_nodename、agentCfg で変更 13

srv_portnumber、agentCfg で変更 13

SSL

暗号化 31

概要 31

鍵フォーマット 33


SSL (続き)

サーバー・ツー・アダプター構成 34

自己署名証明書 33

証明書署名要求 40

証明書のインストール 31

秘密鍵およびデジタル証明書 32

両方向構成 35, 36

SSL インプリメンテーション、DAML プロトコル 34

TTivoli Identity Manager アダプターサーバーとの通信 35, 36

SSL 通信 35, 36

Tivoli Identity Manager サーバーアダプターとの通信 34

アダプター・プロファイルのインポート 5

イベント通知の構成 14

SSL 通信 34

Tivoli Identity Manager サーバーの前提条件 3

Tivoli_Common_Directory

定義 xiv

trace.log ファイル 6

UUTF-8 サポート 25

Vvalidate_client_ce、agentCfg で変更 13

WWAS_HOME

定義 xiii

WebSphere Application Server ベースインストール・ディレクトリー xiii

WAS_MQ_HOME

定義 xiii

WebSphere MQ インストール・ディレクトリー xiii

WAS_NDM_HOME

定義 xiii

WebSphere Application Server Network Deployment インストール・ディレクトリー xiii

索引 71

��

Printed in Japan

SC88-9749-01

aix アダプターインストールと構成のガイド -...

Documents