Web Security インストール・ガイド - IBMWebSphere security を使用可能にする...

IBM Tivoli Access Manager for e-business

Web Security インストール・ガイド

バージョン 5.1

SC88-9853-00

(英文原典：SC32-1361-00)

��

お願い本書および本書で紹介する製品をご使用になる前に、 539ページの『特記事項』に記載されている情報をお読みください。

本書は、IBM Tivoli Access Manager のバージョン 5、リリース 1、モディフィケーション 0 (プロダクト番号5724-C08) に適用されます。また、新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。

本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。

http://www.ibm.com/jp/manuals/main/mail.html

なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは

http://www.ibm.com/jp/manuals/ の「ご注文について」をご覧ください。

(URL は、変更になる場合があります)

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　原　典： SC32-1361-00

IBM Tivoli Access Manager for e-business

Web Security Installation Guide

Version 5.1

　発　行：日本アイ・ビー・エム株式会社

　担　当：ナショナル・ランゲージ・サポート

第1刷 2004.1

この文書では、平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、および平成角ゴシック体™W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。フォントとして無断複製することは禁止されています。

　　注* 平成明朝体™W3、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、平成角ゴシック体™W7

© Copyright International Business Machines Corporation 2001, 2003. All rights reserved.

© Copyright IBM Japan 2004

目次

まえがき . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi本書の対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi本書の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiiiリリース情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiv基本情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xivWeb セキュリティー情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xivデベロッパーの参照資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv技術上の補足情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi関連資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi

アクセシビリティー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xixソフトウェア・サポートへの連絡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix本書の規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xx書体規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxオペレーティング・システムの相違点 . . . . . . . . . . . . . . . . . . . . . . . . . xx

第 1 部インストールの計画 . . . . . . . . . . . . . . . . . . . . . . . . . . 1

第 1 章インストールの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . 3配置の計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4セキュア・ドメインの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Tivoli Access Manager インストール・コンポーネント . . . . . . . . . . . . . . . . . . . . . 6

Tivoli Access Manager Base コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . 6Tivoli Access Manager Web Security コンポーネント . . . . . . . . . . . . . . . . . . . . . 8前提条件製品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Tivoli Access Manager システムのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . 13Tivoli Access Manager Base システム . . . . . . . . . . . . . . . . . . . . . . . . . . 13Tivoli Access Manager Web Security システム . . . . . . . . . . . . . . . . . . . . . . . 18

インストールの方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23インストール・ウィザード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23ネイティブ・インストール・ユーティリティー . . . . . . . . . . . . . . . . . . . . . . 24

インストール・プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

第 2 章システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27サポートされるレジストリー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

IBM Tivoli Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27IBM Security Server for OS/390 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30IBM z/OS Security Server LDAP Server . . . . . . . . . . . . . . . . . . . . . . . . . 30Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Microsoft Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Netscape iPlanet および Sun ONE Directory Server . . . . . . . . . . . . . . . . . . . . . 31Novell eDirectory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

ディスク・スペースおよびメモリー所要量 . . . . . . . . . . . . . . . . . . . . . . . . . 32Tivoli Access Manager Base コンポーネント . . . . . . . . . . . . . . . . . . . . . . . 33Tivoli Access Manager Web Security コンポーネント. . . . . . . . . . . . . . . . . . . . . 35

必須パッチを含む、サポートされるプラットフォーム . . . . . . . . . . . . . . . . . . . . . 36後方互換性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43ハードウェア・アクセラレーション・カード・サポート . . . . . . . . . . . . . . . . . . . . 44

第 3 章国際化対応 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

© Copyright IBM Corp. 2001, 2003 iii

言語サポートの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48言語サポート・パッケージをインストールする . . . . . . . . . . . . . . . . . . . . . . . 49IBM Tivoli Directory Server の言語パッケージをインストールする . . . . . . . . . . . . . . . . . 51言語サポート・パッケージをアンインストールする . . . . . . . . . . . . . . . . . . . . . . 53ロケール環境変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

UNIX システムでの LANG 変数 . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Windows システムでの LANG 変数 . . . . . . . . . . . . . . . . . . . . . . . . . . 55ロケールの変形を使用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

メッセージ・カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56テキスト・エンコード (コード・セット) サポート . . . . . . . . . . . . . . . . . . . . . . 57コード・セット・ファイルのロケーション . . . . . . . . . . . . . . . . . . . . . . . . 57

第 2 部 Base システムのインストール . . . . . . . . . . . . . . . . . . . . . 59

第 4 章レジストリー・サーバーをセットアップする . . . . . . . . . . . . . . . . . 61IBM Tivoli Directory Server をセットアップする . . . . . . . . . . . . . . . . . . . . . . . 62プリインストールの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . 64ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . 66

IBM z/OS および OS/390 セキュリティー・サーバーをセットアップする . . . . . . . . . . . . . . 87スキーマ・ファイルを更新する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87サフィックスを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87LDAP 用に Tivoli Access Manager を構成する . . . . . . . . . . . . . . . . . . . . . . 89ネイティブ認証ユーザー管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Lotus Domino をセットアップする. . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Domino の Tivoli Access Manager 管理ユーザーを作成する . . . . . . . . . . . . . . . . . . 92Lotus Notes クライアントを Domino Server にインストールする . . . . . . . . . . . . . . . . 94

Microsoft Active Directory をセットアップする . . . . . . . . . . . . . . . . . . . . . . . 96Active Directory の考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Active Directory ドメインを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . 97Active Directory ドメインを結合する . . . . . . . . . . . . . . . . . . . . . . . . . . 97Active Directory 管理ユーザーを作成する . . . . . . . . . . . . . . . . . . . . . . . . 100Active Directory の複製 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Novell eDirectory をセットアップする . . . . . . . . . . . . . . . . . . . . . . . . . . 103Novell eDirectory の使用時 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Sun ONE Directory Server をセットアップする . . . . . . . . . . . . . . . . . . . . . . . 106

第 5 章ポリシー・サーバーをセットアップする . . . . . . . . . . . . . . . . . . 111インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 111ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 112

AIX: ポリシー・サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . 112HP-UX: ポリシー・サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . 114Linux: ポリシー・サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . 116Solaris: ポリシー・サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . 117Windows: ポリシー・サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . 119

第 6 章許可サーバーをセットアップする . . . . . . . . . . . . . . . . . . . . . 121インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 121ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 122

AIX: 許可サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . . . . 122HP-UX: 許可サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . . . 123Linux: 許可サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . . . 124Solaris: 許可サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . . . 126Windows: 許可サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . . 127

第 7 章開発 (ADK) システムをセットアップする . . . . . . . . . . . . . . . . . 129

iv IBM Tivoli Access Manager for e-business: Web Security インストール・ガイド

インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 129ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 130

AIX: 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . . . . . . . 130HP-UX: 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . . . . . . 131Linux: 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . . . . . . 132Solaris: 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . . . . . . 133Windows: 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . . . . . 135

第 8 章 Java Runtime Environment システムをセットアップする . . . . . . . . . . 137インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 137ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 138

AIX: Java Runtime Environment システムをインストールする . . . . . . . . . . . . . . . . . 138HP-UX: Java Runtime Environment システムをインストールする . . . . . . . . . . . . . . . . 139Linux: Java Runtime Environment システムをインストールする . . . . . . . . . . . . . . . . . 140Solaris: Java Runtime Environment システムをインストールする . . . . . . . . . . . . . . . . 141Windows: Java Runtime Environment システムをインストールする . . . . . . . . . . . . . . . . 142

第 9 章ポリシー・プロキシー・サーバーをセットアップする . . . . . . . . . . . . 145インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 145ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 146

AIX: ポリシー・プロキシー・サーバーをインストールする . . . . . . . . . . . . . . . . . . 146HP-UX: ポリシー・プロキシー・サーバーをインストールする . . . . . . . . . . . . . . . . . 147Linux: ポリシー・プロキシー・サーバーをインストールする . . . . . . . . . . . . . . . . . 148Solaris: ポリシー・プロキシー・サーバーをインストールする . . . . . . . . . . . . . . . . . 150Windows: ポリシー・プロキシー・サーバーをインストールする . . . . . . . . . . . . . . . . 151

第 10 章ランタイム・システムをセットアップする. . . . . . . . . . . . . . . . . 153インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 153ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 155

AIX: ランタイム・システムをインストールする . . . . . . . . . . . . . . . . . . . . . . 155HP-UX: ランタイム・システムをインストールする . . . . . . . . . . . . . . . . . . . . . 156Linux: ランタイム・システムをインストールする . . . . . . . . . . . . . . . . . . . . . 157Solaris: ランタイム・システムをインストールする . . . . . . . . . . . . . . . . . . . . . 158Windows: ランタイム・システムをインストールする . . . . . . . . . . . . . . . . . . . . 159

第 11 章 Web Portal Manager システムをセットアップする . . . . . . . . . . . . 161インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 161ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 164

AIX: Web Portal Manager システムをインストールする . . . . . . . . . . . . . . . . . . . 164HP-UX: Web Portal Manager システムをインストールする . . . . . . . . . . . . . . . . . . 166Linux: Web Portal Manager システムをインストールする . . . . . . . . . . . . . . . . . . . 168Solaris: Web Portal Manager システムをインストールする . . . . . . . . . . . . . . . . . . 171Windows: Web Portal Manager システムをインストールする . . . . . . . . . . . . . . . . . . 173

第 3 部 Web Security システムのインストール . . . . . . . . . . . . . . . . 177

第 12 章 Attribute Retrieval Service をセットアップする . . . . . . . . . . . . . 179インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 179ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 181

AIX: Attribute Retrieval Service をインストールする . . . . . . . . . . . . . . . . . . . . 181HP-UX: Attribute Retrieval Service をインストールする . . . . . . . . . . . . . . . . . . . 182Linux: Attribute Retrieval Service をインストールする . . . . . . . . . . . . . . . . . . . . 183Solaris: Attribute Retrieval Service をインストールする . . . . . . . . . . . . . . . . . . . . 184Windows: Attribute Retrieval Service をインストールする . . . . . . . . . . . . . . . . . . . 185

第 13 章 Plug-in for Edge Server をセットアップする . . . . . . . . . . . . . . 187

目次 v

プリインストールの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187AIX: Tivoli Access Manager Plug-in for Edge Server をインストールする . . . . . . . . . . . . . . 188Red Hat Enterprise Linux 2.1: Tivoli Access Manager Plug-in for Edge Server をインストールする . . . . . . 189Solaris: Tivoli Access Manager Plug-in for Edge Server をインストールする . . . . . . . . . . . . . . 191Windows: Tivoli Access Manager Plug-in for Edge Server をインストールする . . . . . . . . . . . . . 193Plug-in for Edge Server 構成について . . . . . . . . . . . . . . . . . . . . . . . . . . 194サーバーの構成モデル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195適用されるサーバー構成の概念 . . . . . . . . . . . . . . . . . . . . . . . . . . . 196オブジェクト・スペースの構成モデル . . . . . . . . . . . . . . . . . . . . . . . . . 199シングル・サインオンの構成モデル . . . . . . . . . . . . . . . . . . . . . . . . . . 200構成手順の要約 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

第 14 章 Plug-in for Web Servers をセットアップする . . . . . . . . . . . . . . 203プリインストールの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 204ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 205

Plug-in for Apache Web Server をインストールする . . . . . . . . . . . . . . . . . . . . 206Plug-in for IBM HTTP Server をインストールする . . . . . . . . . . . . . . . . . . . . . 209Plug-in for Internet Information Services をインストールする . . . . . . . . . . . . . . . . . . 213Plug-in for Sun ONE Web Server をインストールする . . . . . . . . . . . . . . . . . . . . 215

第 15 章 Tivoli Access Manager for WebLogic をセットアップする . . . . . . . . 219プリインストールの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 221ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 224

AIX: Tivoli Access Manager for WebLogic をインストールする . . . . . . . . . . . . . . . . . 224HP-UX: Tivoli Access Manager for WebLogic をインストールする . . . . . . . . . . . . . . . . 226Solaris: Tivoli Access Manager for WebLogic をインストールする . . . . . . . . . . . . . . . . 229Windows: Tivoli Access Manager for WebLogic をインストールする . . . . . . . . . . . . . . . 231

CLASSPATH を startWebLogic コマンド用に設定する . . . . . . . . . . . . . . . . . . . . . 234Tivoli Access Manager for WebLogic を構成する. . . . . . . . . . . . . . . . . . . . . . . 235

Console Extension Web アプリケーションを使用する . . . . . . . . . . . . . . . . . . . . 235コマンド行を使用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

Tivoli Access Manager レルムを作成する . . . . . . . . . . . . . . . . . . . . . . . . . 237Console Extension Web アプリケーションを使用する . . . . . . . . . . . . . . . . . . . . 238コマンド行を使用する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

BEA WebLogic Server シングル・サインオンを構成する . . . . . . . . . . . . . . . . . . . . 240構成をテストする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

第 16 章 Tivoli Access Manager for WebSphere をセットアップする . . . . . . . . 245プリインストールの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 246ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 248

AIX: Tivoli Access Manager for WebSphere をインストールする . . . . . . . . . . . . . . . . 248HP-UX: Tivoli Access Manager for WebSphere をインストールする . . . . . . . . . . . . . . . 249Linux: Tivoli Access Manager for WebSphere をインストールする . . . . . . . . . . . . . . . . 251Solaris: Tivoli Access Manager for WebSphere をインストールする. . . . . . . . . . . . . . . . 252Windows: Tivoli Access Manager for WebSphere をインストールする . . . . . . . . . . . . . . . 254

既存のユーザーおよびグループをインポートする . . . . . . . . . . . . . . . . . . . . . . 255Tivoli Access Manager アドミニストレーターを WebSphere 用に作成する . . . . . . . . . . . . . . 256WebSphere security を使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . . . 256

WebSphere、バージョン 4.0.6 Security を使用可能にする . . . . . . . . . . . . . . . . . . . 257WebSphere、バージョン 5.0.2 または 5.1 Security を使用可能にする . . . . . . . . . . . . . . . 258

Tivoli Access Manager for WebSphere を構成する . . . . . . . . . . . . . . . . . . . . . . 260WebSphere Security 設定値をマイグレーションする . . . . . . . . . . . . . . . . . . . . . . 261

WebSphere、バージョン 4.0.6 セキュリティー設定値をマイグレーションする . . . . . . . . . . . . 262

vi IBM Tivoli Access Manager for e-business: Web Security インストール・ガイド

WebSphere、バージョン 5.0.2 または 5.1 セキュリティー設定値をマイグレーションする . . . . . . . . 263

第 17 章 WebSEAL 開発 (ADK) システムをセットアップする . . . . . . . . . . . . 267インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 267ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 268

AIX: WebSEAL 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . . . 268HP-UX: WebSEAL 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . . 270Linux: WebSEAL 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . . . 271Solaris: WebSEAL 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . . 272Windows: WebSEAL 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . . 274

第 18 章 WebSEAL サーバーをセットアップする . . . . . . . . . . . . . . . . . 277インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . . . . . 277ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . . . . . 278

AIX: WebSEAL サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . 279HP-UX: WebSEAL サーバーをインストールする. . . . . . . . . . . . . . . . . . . . . . 280Linux: WebSEAL サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . 281Solaris: WebSEAL サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . . 283Windows: WebSEAL サーバーをインストールする . . . . . . . . . . . . . . . . . . . . . 284

第 4 部参照情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287

第 19 章前提条件製品をインストールする . . . . . . . . . . . . . . . . . . . . 291Global Security Kit をインストールする . . . . . . . . . . . . . . . . . . . . . . . . . 291

AIX: Global Security Kit をインストールする. . . . . . . . . . . . . . . . . . . . . . . 291HP-UX: Global Security Kit をインストールする . . . . . . . . . . . . . . . . . . . . . . 292Linux: Global Security Kit をインストールする . . . . . . . . . . . . . . . . . . . . . . 292Solaris: Global Security Kit をインストールする . . . . . . . . . . . . . . . . . . . . . . 293Windows: Global Security Kit をインストールする . . . . . . . . . . . . . . . . . . . . . 293GSKit iKeyman ユーティリティーをセットアップする . . . . . . . . . . . . . . . . . . . . 294

IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . . . . . . . . . . . 297AIX: IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . . . . . . . . 297HP-UX: IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . . . . . . . 297Linux: IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . . . . . . . 298Solaris: IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . . . . . . . 299Windows: IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . . . . . . 299

IBM JRE をインストールする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301AIX: IBM JRE、バージョン 1.3.1.5 をインストールする . . . . . . . . . . . . . . . . . . . 301HP-UX: IBM JRE、バージョン 1.3.1 をインストールする . . . . . . . . . . . . . . . . . . 302Linux: IBM JRE、バージョン 1.3.1 をインストールする . . . . . . . . . . . . . . . . . . . 302Solaris: IBM JRE、バージョン 1.3.1 をインストールする . . . . . . . . . . . . . . . . . . . 303Windows: IBM JRE、バージョン 1.3.1 をインストールする . . . . . . . . . . . . . . . . . . 304

WebSphere Application Server をインストールする . . . . . . . . . . . . . . . . . . . . . . 305AIX: WebSphere Application Server をインストールする . . . . . . . . . . . . . . . . . . . 305HP-UX: WebSphere Application Server をインストールする . . . . . . . . . . . . . . . . . . 307Linux: WebSphere Application Server をインストールする . . . . . . . . . . . . . . . . . . . 310Solaris: WebSphere Application Server をインストールする . . . . . . . . . . . . . . . . . . 312Windows: WebSphere Application Server をインストールする . . . . . . . . . . . . . . . . . 314

Web Administration Tool をインストールする . . . . . . . . . . . . . . . . . . . . . . . . 318AIX: Web Administration Tool をインストールする . . . . . . . . . . . . . . . . . . . . . 318HP-UX: Web Administration Tool をインストールする . . . . . . . . . . . . . . . . . . . . 319Linux: Web Administration Tool をインストールする . . . . . . . . . . . . . . . . . . . . 320Solaris: Web Administration Tool をインストールする . . . . . . . . . . . . . . . . . . . . 321Windows: Web Administration Tool をインストールする . . . . . . . . . . . . . . . . . . . 322Web Administration Tool を WebSphere にインストールする . . . . . . . . . . . . . . . . . . 323

目次 vii

第 20 章コンポーネントをアンインストールする . . . . . . . . . . . . . . . . . 327Tivoli Access Manager コンポーネントを構成解除する . . . . . . . . . . . . . . . . . . . . . 327IBM Tivoli Directory Server を構成解除する . . . . . . . . . . . . . . . . . . . . . . . . 328Tivoli Access Manager for WebSphere を構成解除する . . . . . . . . . . . . . . . . . . . . . 329AIX: パッケージを除去する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329HP-UX: パッケージを除去する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Linux: パッケージを除去する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331Solaris: パッケージを除去する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332Windows: パッケージを除去する . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

第 21 章インストール・ウィザードのシナリオ . . . . . . . . . . . . . . . . . . 335install_ldap_server ウィザードを使用する . . . . . . . . . . . . . . . . . . . . . . . . . 336プリインストールの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336install_ldap_server シナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338

install_ammgr ウィザードを使用する . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

第 22 章インストール・ウィザードのオプション . . . . . . . . . . . . . . . . . 357Access Manager Runtime (LDAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358Access Manager Runtime (Active Directory). . . . . . . . . . . . . . . . . . . . . . . . . 361Access Manager Runtime (Domino) . . . . . . . . . . . . . . . . . . . . . . . . . . . 365install_amacld . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367install_amadk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369install_amjrte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370install_ammgr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371install_amproxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373install_amrte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374install_amwas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375install_amweb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377install_amwebadk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380install_amwebars. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383install_amwls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384install_amwpi_apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386install_amwpi_ihs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387install_amwpi_iis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388install_amwpi_iplanet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389install_amwpm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390install_ldap_server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

第 23 章 pdconfig オプション . . . . . . . . . . . . . . . . . . . . . . . . . 395Access Manager Runtime — LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 396Access Manager Runtime — Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 397Access Manager Runtime — Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . 399Access Manager Attribute Retrieval Service . . . . . . . . . . . . . . . . . . . . . . . . . 400Access Manager Authorization Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 401Access Manager Java Runtime Environment . . . . . . . . . . . . . . . . . . . . . . . . . 402Access Manager Plug-in for Edge Server. . . . . . . . . . . . . . . . . . . . . . . . . . 403UNIX 上の Access Manager Plug-in for Web Servers . . . . . . . . . . . . . . . . . . . . . 404Windows 上の Access Manager Plug-in for Web Servers . . . . . . . . . . . . . . . . . . . . 406Access Manager Policy Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407Access Manager Policy Proxy Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 408Access Manager Web Portal Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 409Access Manager WebSEAL Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410

第 24 章 Secure Sockets Layer を使用可能にする . . . . . . . . . . . . . . . . 411IBM Tivoli Directory Server を SSL アクセス用に構成する . . . . . . . . . . . . . . . . . . . 412鍵データベース・ファイルおよび証明書を作成する . . . . . . . . . . . . . . . . . . . . . 412

viii IBM Tivoli Access Manager for e-business: Web Security インストール・ガイド

個人証明書を認証局から取得する . . . . . . . . . . . . . . . . . . . . . . . . . . . 413自己署名証明書を作成して抽出する . . . . . . . . . . . . . . . . . . . . . . . . . . 414SSL アクセスを使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

IBM z/OS および OS/390 セキュリティー・サーバーを SSL アクセス用に構成する . . . . . . . . . . . 417セキュリティー・オプションをセットアップする . . . . . . . . . . . . . . . . . . . . . 418鍵データベース・ファイルを作成する . . . . . . . . . . . . . . . . . . . . . . . . . 419

Microsoft Active Directory を SSL アクセス用に構成する . . . . . . . . . . . . . . . . . . . . 420証明書を Active Directory サーバーにエクスポートする . . . . . . . . . . . . . . . . . . . 420証明書を LDAP クライアント・システムにインポートする . . . . . . . . . . . . . . . . . . 421SSL アクセスを使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . . . . 422

Novell eDirectory Server を SSL アクセス用に構成する . . . . . . . . . . . . . . . . . . . . 422組織の認証局オブジェクトを作成する . . . . . . . . . . . . . . . . . . . . . . . . . 423自己署名証明書を作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424LDAP サーバー用のサーバー証明書を作成する . . . . . . . . . . . . . . . . . . . . . . 424SSL を使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425自己署名 CA 証明書を IBM 鍵格納ファイルに追加する . . . . . . . . . . . . . . . . . . . 425

Sun ONE Directory Server を SSL アクセス用に構成する . . . . . . . . . . . . . . . . . . . 426サーバー証明書を取得する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426サーバー証明書をインストールする . . . . . . . . . . . . . . . . . . . . . . . . . . 428SSL アクセスを使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . . . . 429

IBM Tivoli Directory Client を SSL アクセス用に構成する . . . . . . . . . . . . . . . . . . . 429鍵データベース・ファイルを作成する . . . . . . . . . . . . . . . . . . . . . . . . . 430署名者証明書を追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431SSL アクセスを使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . . . . 432

LDAP サーバーとクライアント認証を構成する . . . . . . . . . . . . . . . . . . . . . . . 433鍵データベース・ファイルを作成する . . . . . . . . . . . . . . . . . . . . . . . . . 433個人証明書を認証局から取得する . . . . . . . . . . . . . . . . . . . . . . . . . . . 434自己署名証明書を作成して抽出する . . . . . . . . . . . . . . . . . . . . . . . . . . 435署名者証明書を追加する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436SSL アクセスを使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . . . . 437

第 25 章 AIX: スタンバイ・ポリシー・サーバーをセットアップする . . . . . . . . . . 439プリインストールの要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441HACMP 環境のシナリオ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442

HACMP 構成の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444スタンバイ・ポリシー・サーバー環境を作成する . . . . . . . . . . . . . . . . . . . . . . 452スクリプト: 1 次およびスタンバイの両方のシステム用の UID をセットアップする . . . . . . . . . . 457スクリプト: 1 次システム上のファイルおよびディレクトリーをリンクする . . . . . . . . . . . . 459例: 1 次サーバーのディレクトリー、ソフト・リンク、およびアクセス許可を検証する . . . . . . . . . 460スクリプト: AIX システム・ファイルからスタンバイ・システム上の共用ディレクトリーにリンクする . . . 462例: スタンバイ・サーバーのディレクトリー、ソフト・リンク、およびアクセス許可を検証する . . . . . . 463

第 26 章 Tivoli Access Manager ユーティリティー . . . . . . . . . . . . . . . . 465amwebcfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467AMWLSConfigure -action config . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473AMWLSConfigure -action unconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . 475AMWLSConfigure -action create_realm . . . . . . . . . . . . . . . . . . . . . . . . . . 476AMWLSConfigure -action delete_realm . . . . . . . . . . . . . . . . . . . . . . . . . . 478amwpmcfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479ivrgy_tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482migrateEAR4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484migrateEAR5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488pdbackup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492pdconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501pdjrtecfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502pd_start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506

目次 ix

pdwascfg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508pdweb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512pdwebpi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515pdwebpi_start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516pdwpi-version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518pdwpicfg -action config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519pdwpicfg -action unconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522wesosm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524wslstartwte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527wslstopwte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528

第 27 章応答ファイルを使用する . . . . . . . . . . . . . . . . . . . . . . . . 529応答ファイル・テンプレート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530

特記事項. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539OpenSSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541XML Parser Toolkit License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543Pluggable Authentication Module License. . . . . . . . . . . . . . . . . . . . . . . . . . 544Apache Axis Servlet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544JArgs command line option parsing suite for Java . . . . . . . . . . . . . . . . . . . . . . . 545Java DOM implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546Alfalfa Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547InfoZip. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548gSOAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549Apache Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550商標 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550

用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561

x IBM Tivoli Access Manager for e-business: Web Security インストール・ガイド

まえがき

IBM® Tivoli® Access Manager (Tivoli Access Manager) は、Access Manager 製品スイートでのアプリケーションの実行に必要な基本ソフトウェアです。このソフトウェアにより、広範囲の許可および管理ソリューションを提供する Access Manager

アプリケーションの統合が可能になります。統合ソリューションとして販売されているこれらの製品は、e-business アプリケーションのためのネットワークおよびアプリケーション・セキュリティー・ポリシーを集中化させる、アクセス・コントロール管理ソリューションを提供します。

注: IBM Tivoli Access Manager とは、以前に Tivoli SecureWay® Policy Director という名前でリリースされていたソフトウェアの新しい名前です。また、Tivoli

SecureWay Policy Director のソフトウェアと資料に精通しているユーザーならご存じの、管理サーバーという用語は、新しくポリシー・サーバーと呼ばれます。

「IBM Tivoli Access Manager for e-business Web Security インストール・ガイド」では、Base システムおよび Web Security システムを含む、Tivoli Access Manager

for e-business のインストールと構成の方法を説明します。

本書の対象読者このガイドは、IBM Tivoli Access Manager のインストールとデプロイメントを担当するシステム管理者を対象にしています。

読者には以下の知識が必要です。

v PC および UNIX® のオペレーティング・システム

v データベース・アーキテクチャーおよび概念

v セキュリティー管理

v HTTP、TCP/IP、ファイル転送プロトコル (FTP)、および Telnet を含む、インターネット・プロトコル

v Lightweight Directory Access Protocol (LDAP) およびディレクトリー・サービス

v 認証と許可

Secure Sockets Layer (SSL) 通信を使用可能にする場合は、 SSL プロトコル、鍵交換 (公開鍵と秘密鍵)、ディジタル・シグニチャー、暗号アルゴリズム、および認証局についての知識も必要です。

本書の内容『第 1 部インストールの計画』には、以下の章があります。

v 3ページの『第 1 章インストールの概要』

インストール・ウィザードまたはネイティブのインストール・ユーティリティーを使用して Tivoli Access Manager ソフトウェアをインストールする場合の概要を説明します。

© Copyright IBM Corp. 2001, 2003 xi

v 27ページの『第 2 章システム要件』

Tivoli Access Manager ソフトウェアを正常にインストールするために必要なソフトウェアとハードウェアの要件をリストします。

v 47ページの『第 3 章国際化対応』

英語以外の環境で Tivoli Access Manager を使用可能にするために言語パッケージをインストールする方法を解説します。

『第 2 部 Base システムのインストール』には、以下の章があります。

v 61ページの『第 4 章レジストリー・サーバーをセットアップする』

Tivoli Access Manager と一緒に使用するためにサポートされるレジストリーのセットアップおよび構成の方法を説明します。

第 5 章から第 11 章には、Tivoli Access Manager Base システムをセットアップするために Tivoli Access Manager コンポーネントおよび必要前提プロダクトのインストールおよび構成の方法について説明があります。説明は、インストール・ウィザードおよびネイティブ・コマンド行ユーティリティーの両方について行われます。

v 111ページの『第 5 章ポリシー・サーバーをセットアップする』

v 121ページの『第 6 章許可サーバーをセットアップする』

v 129ページの『第 7 章開発 (ADK) システムをセットアップする』

v 137ページの『第 8 章 Java Runtime Environment システムをセットアップする』

v 145ページの『第 9 章ポリシー・プロキシー・サーバーをセットアップする』

v 153ページの『第 10 章ランタイム・システムをセットアップする』

v 161ページの『第 11 章 Web Portal Manager システムをセットアップする』

『第 3 部 Web Security システムのインストール』に含まれている各章では、Tivoli Access Manager Web Security システムをセットアップするために Tivoli

Access Manager コンポーネントおよび必要前提プロダクトのインストールおよび構成の方法について説明します。説明は、インストール・ウィザードおよびネイティブ・コマンド行ユーティリティーの両方について行われます。

v 179ページの『第 12 章 Attribute Retrieval Service をセットアップする』

v 187ページの『第 13 章 Plug-in for Edge Server をセットアップする』

v 203ページの『第 14 章 Plug-in for Web Servers をセットアップする』

v 219ページの『第 15 章 Tivoli Access Manager for WebLogic をセットアップする』

v 245ページの『第 16 章 Tivoli Access Manager for WebSphere をセットアップする』

v 267ページの『第 17 章 WebSEAL 開発 (ADK) システムをセットアップする』

v 277ページの『第 18 章 WebSEAL サーバーをセットアップする』

『第 4 部参照情報』には、以下の章があります。

v 291ページの『第 19 章前提条件製品をインストールする』

特定の Tivoli Access Manager システムで必要になる前提プロダクトのインストール方法を説明します。これらのプロダクトには、Global Security Kit

xii IBM Tivoli Access Manager for e-business: Web Security インストール・ガイド

(GSKit)、IBM Tivoli Directory Client、IBM JRE、IBM WebSphere Application

Server、および IBM Tivoli Directory Server Web Administration Tool が含まれます。

v 327ページの『第 20 章コンポーネントをアンインストールする』

前提プロダクトおよび Tivoli Access Manager パッケージを構成解除および除去する場合の説明があります。

v 335ページの『第 21 章インストール・ウィザードのシナリオ』

インストール・ウィザードを使用するようにプロンプトが出されるオプションの構成についてシナリオおよび説明があります。

v 357ページの『第 22 章インストール・ウィザードのオプション』

インストール・ウィザードを使用する Tivoli Access Manager の構成時にプロンプトが出される構成オプションについて説明があります。

v 395ページの『第 23 章 pdconfig オプション』

pdconfig ユーティリティーを使用する Tivoli Access Manager の構成時にプロンプトが出される構成オプションについて説明があります。

v 411ページの『第 24 章 Secure Sockets Layer を使用可能にする』

レジストリー・サーバーと IBM Tivoli Directory Clients との間でセキュアな通信を可能にするために SSL データ暗号化を使用可能にする方法を説明します。

v 439ページの『第 25 章 AIX: スタンバイ・ポリシー・サーバーをセットアップする』

システム障害の発生に備えてスタンバイ・ポリシー・サーバーのセットアップの方法を説明します (AIX® 上でのみ)。この機能には、HACMP (High Availability

Cluster Multiprocessing) を含む、追加のソフトウェアとハードウェアが必要になります。

v 465ページの『第 26 章 Tivoli Access Manager ユーティリティー』

Tivoli Access Manager システムのセットアップ時に使用される構成ユーティリティーに関する関連情報を記載します。

v 529ページの『第 27 章応答ファイルを使用する』

複数のマシンに同時に複数のプロダクトをインストールするための応答ファイルの使用方法について説明します。

資料Tivoli Access Manager ライブラリーの説明、前提資料、および関連資料を検討してどの資料が役立つかを判断してください。必要な資料を決めた後で、資料をオンラインでアクセスするための指示を参照してください。

IBM Tivoli Access Manager for e-business 製品自体の情報は、以下の資料に記載されています。

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

Tivoli Access Manager のライブラリーは、以下のカテゴリーに編成されています。

v xivページの『リリース情報』

v xivページの『基本情報』

まえがき xiii

http://www.ibm.com/software/tivoli/products/access-mgr-e-bus/

v 『Web セキュリティー情報』

v xvページの『デベロッパーの参照資料』

v xviページの『技術上の補足情報』

リリース情報v IBM Tivoli Access Manager for e-business はじめにお読みください (GI88-8647-00)

Tivoli Access Manager のインストールに関する情報と入門編の情報が記載されています。

v IBM Tivoli Access Manager for e-business リリース情報 (GI88-8648-00)

ソフトウェアの制限、問題の回避、および資料の更新などの最新情報が記載されています。

基本情報v IBM Tivoli Access Manager Base インストール・ガイド (SC88-9854-00)

Web Portal Manager インターフェースを含む、Tivoli Access Manager ベース・ソフトウェアのインストールおよび構成の方法について説明しています。本書は、「IBM Tivoli Access Manager for e-business Web Security インストール・ガイド」のサブセットで、IBM Tivoli Access Manager for Business Integration や IBM

Tivoli Access Manager for Operating Systems などの、他の Tivoli Access Manager

製品との併用を意図しております。

v IBM Tivoli Access Manager Base 管理者ガイド (SC88-9852-00)

Tivoli Access Manager サービスの使用に関する概念と手順について説明しています。 Web Portal Manager インターフェースからタスクを実行したり、 pdadminコマンドを使用してタスクを実行したりする場合の指示が記載されています。

Web セキュリティー情報v IBM Tivoli Access Manager for e-business Web Security インストール・ガイド

(SC88-9853-00)

Tivoli Access Manager ベース・ソフトウェアならびに Web Security コンポーネントのインストール、構成、および除去に関する指示が記載されています。本書は、「IBM Tivoli Access Manager Base インストール・ガイド」のスーパーセットです。

v IBM Tivoli Access Manager for e-business WebSEAL 管理者ガイド (SC88-9851-00)

WebSEAL を使用してセキュア Web ドメインを管理することに関する背景情報、管理手順、および技術上の参照情報が記載されています。

v IBM Tivoli Access Manager for e-business IBM WebSphere Application Server 統合ガイド (SC88-9860-00)

Tivoli Access Manager を IBM WebSphere® Application Server に統合するためのインストール、除去、および管理に関する指示が記載されています。

v IBM Tivoli Access Manager for e-business Plug-in for IBM WebSphere Edge Server

統合ガイド (SC88-9859-00)

Tivoli Access Manager を IBM WebSphere Edge Server アプリケーションに統合するためのインストール、除去、および管理に関する指示が記載されています。

xiv IBM Tivoli Access Manager for e-business: Web Security インストール・ガイド

v IBM Tivoli Access Manager for e-business Plug-in for Web Servers 統合ガイド(SC88-9857-00)

Web サーバーのプラグインを使用して Web ドメインを保護する上で必要なインストール指示、アドミニストレーション手順、および技術上の参照情報が記載されています。

v IBM Tivoli Access Manager for e-business BEA WebLogic Server 統合ガイド(SC88-9858-00)

Tivoli Access Manager を BEA WebLogic Server に統合するためのインストール、除去、および管理に関する指示が記載されています。

v IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager プロビジョニング・ファースト・スタート・ガイド (SC88-9856-00)

Tivoli Access Manager および Tivoli Identity Manager の統合に関連するタスクの概要を説明し、Provisioning Fast Start コレクションの使用とインストールの方法を説明しています。

デベロッパーの参照資料v IBM Tivoli Access Manager for e-business Authorization C API デベロッパーズ・リファレンス (SC88-9847-00)

Tivoli Access Manager 許可 C API と Access Manager サービス・プラグイン・インターフェースを使用して、Tivoli Access Manager セキュリティーをアプリケーションに追加する方法を説明している、参照情報が記載されています。

v IBM Tivoli Access Manager for e-business Authorization Java Classes デベロッパーズ・リファレンス (SC88-9842-00)

許可 API の Java™ 言語インプリメンテーションを使用して、アプリケーションが Tivoli Access Manager セキュリティーを使用できるようにするための参照情報が記載されています。

v IBM Tivoli Access Manager for e-business Administration C API デベロッパーズ・リファレンス (SC88-9849-00)

アドミニストレーション API を使用して、アプリケーションが Tivoli Access

Manager のアドミニストレーション・タスクを実行できるようにするための参照情報が記載されています。この資料では、管理 API の C インプリメンテーションについて説明しています。

v IBM Tivoli Access Manager for e-business Administration Java Classes デベロッパーズ・リファレンス (SC88-9848-00)

アドミニストレーション API の Java 言語インプリメンテーションを使用して、アプリケーションが Tivoli Access Manager のアドミニストレーション・タスクを実行できるようにするための参照情報が記載されています。

v IBM Tivoli Access Manager for e-business Web Security デベロッパーズ・リファレンス (SC88-9850-00)

クロスドメイン認証サービス (CDAS)、クロスドメイン・マッピング・フレームワーク (CDMF)、およびパスワード・ストレングス・モジュールの管理とプログラミングに関する情報が記載されています。

まえがき xv

技術上の補足情報v IBM Tivoli Access Manager for e-business コマンド・リファレンス

(SC88-9864-00)

Tivoli Access Manager で提供されるコマンド行ユーティリティーとスクリプトに関する情報が記載されています。

v IBM Tivoli Access Manager エラー・メッセージ・リファレンス (SC88-9845-00)

Tivoli Access Manager によって作成されるメッセージに関する説明と推奨処置が記載されています。

v IBM Tivoli Access Manager for e-business 問題判別ガイド (SC88-9844-00)

Tivoli Access Manager の問題判別情報が記載されています。

v IBM Tivoli Access Manager for e-business パフォーマンス・チューニング・ガイド (SC88-9843-00)

Tivoli Access Manager と、ユーザー・レジストリーとしての IBM Tivoli

Directory サーバーから構成される環境のための、パフォーマンス調整情報が記載されています。

関連資料Tivoli Access Manager ライブラリー関連の資料を以下にリストします。

Tivoli Software Library には、白書、デモンストレーション、レッドブック、および発表レターなどの Tivoli の各種資料があります。Tivoli Software Library は、次のWeb サイトで検索できます。http://www.ibm.com/software/tivoli/library/

Tivoli Software Glossary には、Tivoli ソフトウェアに関連した多数の技術用語の定義が記載されています。 Tivoli Software Glossary (英語のみ) は、Tivoli Software

Library の Web ページ http://www.ibm.com/software/tivoli/library/ の左側のGlossary リンクからアクセスできます。

IBM Global Security KitTivoli Access Manager は、IBM Global Security Kit (GSKit)、バージョン 7 を使用することによってデータ暗号化を行います。GSKit は、ご使用の特定のプラットフォーム用の IBM Tivoli Access Manager Base CD に収納されているのみならず、IBM Tivoli Access Manager Web Security CD、IBM Tivoli Access Manager Web

Administration Interfaces CD、および IBM Tivoli Access Manager Directory Server

CD にも含まれています。

GSKit パッケージには、iKeyman 鍵管理ユーティリティー、gsk7ikm があります。このユーティリティーを使用して、鍵データベース、公開鍵と秘密鍵のペア、および認証要求を作成します。以下の資料を、Tivoli Information Center Web サイト上の、IBM Tivoli Access Manager 製品資料と同じセクションから入手できます。

v IBM Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド (SC88-9855-00)

ネットワークまたはシステムのセキュリティー・アドミニストレーターが、Tivoli

Access Manager 環境で SSL 通信を使用可能にするように計画している場合に利用できる情報が記載されています。

xvi IBM Tivoli Access Manager for e-business: Web Security インストール・ガイド

http://www.ibm.com/software/tivoli/library/

http://www.ibm.com/software/tivoli/library/

IBM Tivoli Directory ServerIBM Tivoli Directory Server、バージョン 5.2 は、必要なオペレーティング・システム用の IBM Tivoli Access Manager Directory Server CD に含まれています。

注: IBM Tivoli Directory Server は、以下の名前で以前リリースされていたソフトウェアの新しい名前です。

v IBM Directory Server (バージョン 4.1 およびバージョン 5.1)

v IBM SecureWay Directory Server (バージョン 3.2.2)

IBM Directory Server バージョン 4.1、IBM Directory Server バージョン 5.1、および IBM Tivoli Directory Server バージョン 5.2 は、IBM Tivoli Access Manager バージョン 5.1 によってすべてサポートされています。

IBM Tivoli Directory Server に関するその他の情報は、以下の資料に記載されています。

http://www.ibm.com/software/network/directory/library/

IBM DB2 Universal DatabaseIBM DB2® Universal Database™ Enterprise Server Edition、バージョン 8.1 は、IBM

Tivoli Access Manager Directory Server CD で提供されており、IBM Tivoli Directory

Server ソフトウェアと一緒にインストールされます。DB2 は、Tivoli Access

Manager のユーザー・レジストリーとして IBM Tivoli Directory Server、z/OS™、または OS/390® LDAP の各サーバーを使用するときに必要になります。

DB2 に関するその他の情報は、以下の資料に記載されています。

http://www.ibm.com/software/data/db2/

IBM WebSphere Application ServerIBM WebSphere Application Server、バージョン 5.0.2 は、必要なオペレーティング・システム用の IBM Tivoli Access Manager Web Administration Interfaces CD に含まれています。WebSphere Application Server は、Web Portal Manager インターフェース、属性検索サービス、および IBM Tivoli Directory Server Web

Administration Tool のサポートを使用可能にします。

IBM WebSphere Application Server に関するその他の情報は、以下の資料に記載されています。

http://www.ibm.com/software/webservers/appserv/infocenter.html

IBM Tivoli Access Manager for Business Integration別途発注可能な製品として使用可能な、IBM Tivoli Access Manager for Business

Integration は、IBM MQSeries®、バージョン 5.2、およびバージョン 5.3 メッセージの場合 IBM WebSphere MQ のセキュリティー・ソリューションを提供します。IBM Tivoli Access Manager for Business Integration は、アプリケーションの送受信に関連した鍵を使用することによって、WebSphere MQSeries アプリケーションがプライバシーと保全性を維持しながらデータを送信できるようにします。WebSEAL

および IBM Tivoli Access Manager for Operating Systems と同様に、IBM Tivoli

まえがき xvii


http://www.ibm.com/software/data/db2/


Access Manager for Business Integration は、IBM Tivoli Access Manager のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Business Integration に関するその他の情報は、以下の資料に記載されています。

http://www.ibm.com/software/tivoli/products/access-mgr-bus-integration/

IBM Tivoli Access Manager for Business Integration バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトから入手できます。

v IBM Tivoli Access Manager for Business Integration Administration Guide

(SC23-4831-01)

v IBM Tivoli Access Manager for Business Integration Problem Determination Guide

(GC23-1328-00)

v IBM Tivoli Access Manager for Business Integration Release Notes (GI11-0957-01)

v IBM Tivoli Access Manager for Business Integration Read This First

(GI11-4202-00)

IBM Tivoli Access Manager for WebSphere BusinessIntegration BrokersIBM Tivoli Access Manager for Business Integration の一部として使用可能な、IBM

Tivoli Access Manager for WebSphere Business Integration Brokers は、WebSphere

Business Integration Message Broker、バージョン 5.0 および WebSphere Business

Integration Event Broker、バージョン 5.0 のセキュリティー・ソリューションを提供します。IBM Tivoli Access Manager for WebSphere Business Integration Brokers

は、Tivoli Access Manager と結合して稼動し、パスワードと信任状ベースの認証、集中定義された許可、および監査サービスを提供することによって、JMS パブリッシュ/サブスクライブ・アプリケーションの安全を保証します。

IBM Tivoli Access Manager for WebSphere Integration Brokers に関するその他の情報は、以下の資料に記載されています。


IBM Tivoli Access Manager for WebSphere Integration Brokers、バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトから入手できます。

v IBM Tivoli Access Manager for WebSphere Business Integration Brokers

Administration Guide (SC32-1347-00)

v IBM Tivoli Access Manager for WebSphere Business Integration Brokers Release

Notes (GI11-4154-00)

v IBM Tivoli Access Manager for Business Integration Read This First

(GI11-4202-00)

IBM Tivoli Access Manager for Operating Systems別途発注可能な製品として使用可能な、IBM Tivoli Access Manager for Operating

Systems は、ネイティブ・オペレーティング・システムによって提供されている許可ポリシーの施行に加えて、UNIX システムでの許可ポリシーの施行の 1 つの層を提供します。WebSEAL および IBM Tivoli Access Manager for Business Integration

xviii IBM Tivoli Access Manager for e-business: Web Security インストール・ガイド



と同様に、IBM Tivoli Access Manager for Operating Systems は、IBM Tivoli

Access Manager のサービスを使用するリソース・マネージャーの 1 つです。

IBM Tivoli Access Manager for Operating Systems に関するその他の情報は、以下の資料に記載されています。

http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/

IBM Tivoli Access Manager for Operating Systems バージョン 5.1 に関連する以下の資料は、Tivoli Information Center Web サイトから入手できます。

v IBM Tivoli Access Manager for Operating Systems Installation Guide

(SC23-4829-00)

v IBM Tivoli Access Manager for Operating Systems Administration Guide

(SC23-4827-00)

v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide

(SC23-4828-00)

v IBM Tivoli Access Manager for Operating Systems Release Notes (GI11-0951-00)

v IBM Tivoli Access Manager for Operating Systems Read Me First (GI11-0949-00)

IBM Tivoli Identity Manager別途発注可能な製品として使用可能な、IBM Tivoli Identity Manager バージョン 4.5

を使用すると、プロビジョニング (アプリケーション、リソース、またはオペレーティング・システムへのアクセスを可能にしたり、無効にしたりする) によって、ユーザー (ユーザー ID およびパスワードなど) を集中管理できます。Tivoli Identity

Manager は、Tivoli Access Manager Agent を使用することによって Tivoli Access

Manager に統合できます。Agent の購入については、お客様の IBM アカウント担当者にお尋ねください。

IBM Tivoli Identity Manager に関するその他の情報は、以下の資料に記載されています。

http://www.ibm.com/software/tivoli/products/identity-mgr/

アクセシビリティーアクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つユーザーがソフトウェア・プロダクトを快適に使用できるようにサポートします。これらの製品を使用することにより、インターフェースを耳で聴いて確認したり、ナビゲートしたりするための支援テクノロジーをご利用いただけます。また、グラフィカル・ユーザー・インターフェースのすべてのフィーチャーは、マウスを使用しなくてもキーボードから操作できるようになっています。

ソフトウェア・サポートへの連絡IBM 営業担当員にお問い合わせください。

まえがき xix

http://www.ibm.com/software/tivoli/products/access-mgr-operating-sys/

http://www.ibm.com/software/tivoli/products/identity-mgr/

本書の規則本書では、特殊な用語や処置、オペレーティング・システムに従属するコマンドやパスにいくつかの規則が使用されています。

書体規則本書では、以下のような書体の規則が適用されています。

太字まわりのテキスト、キーワード、パラメーター、オプション、Java クラスの名前、およびオブジェクトと見分けが難しい小文字のコマンドまたは大文字小文字混合のコマンドは太字を使用しています。

イタリック変数、資料のタイトルや、特殊な語句を強調する際にも、イタリック体を使用しています。

モノスペースまわりのテキスト、システム・メッセージ、ユーザーが入力しなければならないテキスト、および引き数の値またはコマンド・オプションの値と見分けが難しいコード例、コマンド行、画面出力、ファイル名およびディレクトリー名はモノスペースを使用しています。

オペレーティング・システムの相違点本書では、環境変数を指定する場合およびディレクトリー表記に UNIX 規則を使用しています。Windows のコマンド行の使用時には、環境変数の場合 $variable を%variable% に置き換え、ディレクトリー・パスではスラッシュ (/) を円記号 (¥) に置き換えてください。Windows システムで bash シェルを使用している場合、UNIX

規則を使用できます。

xx IBM Tivoli Access Manager for e-business: Web Security インストール・ガイド

第 1 部インストールの計画第 1 章インストールの概要 . . . . . . . . . 3配置の計画 . . . . . . . . . . . . . . . 4セキュア・ドメインの概要 . . . . . . . . . . 5Tivoli Access Manager インストール・コンポーネント 6

Tivoli Access Manager Base コンポーネント . . . 6Access Manager Application Development Kit . . 6Access Manager Authorization Server. . . . . 6Access Manager Java Runtime Environment . . 6Access Manager Policy Proxy Server . . . . . 7Access Manager Policy Server . . . . . . . 7Access Manager Runtime . . . . . . . . 7Access Manager Web Portal Manager . . . . 8Provisioning Fast Start . . . . . . . . . 8

Tivoli Access Manager Web Security コンポーネント . . . . . . . . . . . . . . . . . 8

Access Manager Attribute Retrieval Service. . . 9Access Manager for WebLogic Server . . . . 9Access Manager for WebSphere ApplicationServer . . . . . . . . . . . . . . . 9Access Manager Plug-in for Edge Server . . . 9Access Manager Plug-in for Web Servers . . . 10Access Manager Web Security Runtime . . . 10Access Manager WebSEAL ApplicationDevelopment Kit . . . . . . . . . . . 10Access Manager WebSEAL Server . . . . . 10

前提条件製品 . . . . . . . . . . . . . 10IBM Global Security Kit . . . . . . . . 10IBM Java Runtime Environment (JRE) . . . . 11IBM Tivoli Directory Client . . . . . . . 11IBM Tivoli Directory Server . . . . . . . 11IBM Tivoli Directory Server WebAdministration Tool . . . . . . . . . . 11IBM WebSphere Application Server . . . . . 12

Tivoli Access Manager システムのタイプ . . . . 13Tivoli Access Manager Base システム . . . . . 13Tivoli Access Manager Web Security システム . . 18

インストールの方法 . . . . . . . . . . . 23インストール・ウィザード . . . . . . . . 23ネイティブ・インストール・ユーティリティー . 24

インストール・プロセス . . . . . . . . . . 25

第 2 章システム要件. . . . . . . . . . . 27サポートされるレジストリー . . . . . . . . 27

IBM Tivoli Directory Server . . . . . . . . 27IBM Tivoli Directory Server WebAdministration Tool . . . . . . . . . . 28

IBM Security Server for OS/390 . . . . . . . 30IBM z/OS Security Server LDAP Server . . . . 30Lotus Domino . . . . . . . . . . . . . 30Microsoft Active Directory . . . . . . . . . 30Netscape iPlanet および Sun ONE Directory Server 31

Novell eDirectory. . . . . . . . . . . . 31ディスク・スペースおよびメモリー所要量 . . . . 32

Tivoli Access Manager Base コンポーネント . . 33Tivoli Access Manager Web Security コンポーネント . . . . . . . . . . . . . . . . 35

必須パッチを含む、サポートされるプラットフォーム . . . . . . . . . . . . . . . . . 36後方互換性 . . . . . . . . . . . . . . 43ハードウェア・アクセラレーション・カード・サポート . . . . . . . . . . . . . . . . . 44

第 3 章国際化対応 . . . . . . . . . . . 47言語サポートの概要 . . . . . . . . . . . 48言語サポート・パッケージをインストールする . . 49IBM Tivoli Directory Server の言語パッケージをインストールする . . . . . . . . . . . . . . 51言語サポート・パッケージをアンインストールする 53ロケール環境変数 . . . . . . . . . . . . 54

UNIX システムでの LANG 変数 . . . . . . 55Windows システムでの LANG 変数 . . . . . 55ロケールの変形を使用する . . . . . . . . 55

メッセージ・カタログ . . . . . . . . . . . 56テキスト・エンコード (コード・セット) サポート 57コード・セット・ファイルのロケーション . . . 57

© Copyright IBM Corp. 2001, 2003 1

2 IBM Tivoli Access Manager for e-business: Web Security インストール・ガイド

第 1 章インストールの概要

配置計画を作成すると、分散環境のシステムに Tivoli Access Manager ソフトウェアをインストールできる状態になります。

注: 既知の問題および制限を含む、最新のリリース情報については、「IBM Tivoli

Access Manager for e-business リリース情報」を参照してください。

本章には、以下のセクションが含まれています。

v 4ページの『配置の計画』

v 5ページの『セキュア・ドメインの概要』

v 6ページの『Tivoli Access Manager インストール・コンポーネント』

v 13ページの『Tivoli Access Manager システムのタイプ』

v 23ページの『インストールの方法』

v 25ページの『インストール・プロセス』


配置の計画特定の Tivoli Access Manager ソリューションをインプリメントする前に、ご使用のネットワークについて必要となる特定のセキュリティーおよび管理機能を決定する必要があります。

Tivoli Access Manager セキュリティー環境の配置を計画する際の最初のステップは、ご使用のコンピューター環境のセキュリティーの要件を定義することです。セキュリティー要件を定義することは、ユーザー、プログラム、およびデータに適用する必要のあるビジネス・ポリシーを決定することを意味します。これには、以下を定義することが含まれます。

v 保護されるオブジェクト

v 各オブジェクトで許可されるアクション

v アクションの実行を許可されるユーザー

セキュリティー・ポリシーを施行するには、ユーザーのネットワーク・トポロジーにおけるアクセス要求のフローを理解する必要があります。これには、ファイアウォール、ルーター、およびサブネットについての正しい役割およびロケーションの識別が含まれます。Tivoli Access Manager セキュリティー環境を配置することは、ユーザーのアクセス要求を評価したり、要求したアクセスを認可または否認したりするソフトウェアをインストールするためのネットワーク内の最適点を識別することも必要になります。

セキュリティー・ポリシーのインプリメンテーションには、ご使用のネットワークが収容できるユーザー数、データ量、およびスループットを理解する必要があります。ユーザーは、パフォーマンス特性、スケーラビリティー、およびフェイルオーバー機能の必要性を評価する必要があります。レガシー・ソフトウェア、データベース、およびアプリケーションを Tivoli Access Manager ソフトウェアに統合することも考慮する必要があります。

配置したい機能を理解した後では、ユーザーのセキュリティー・ポリシーを最もよくインプリメントするためにどの Tivoli Access Manager システムとブレードを結合できるかを決めることができます。

実際のビジネス・シナリオを含む、役立つ計画の資料については、以下の Web サイトの補足製品情報を参照してください。

http://www.ibm.com/redbooks/

http://www.ibm.com/software/sysmgmt/products/support/Field_Guides.html

インストールの概要


http://www.ibm.com/redbooks

http://www.ibm.com/software/sysmgmt/products/support/Field_Guides.html

セキュア・ドメインの概要Tivoli Access Manager が認証、許可、およびアクセス・コントロールのためにセキュリティー・ポリシーを施行するコンピューター環境は、セキュア・ドメインと呼ばれます。管理ドメインと呼ばれる、最初のセキュア・ドメインは、以下のシステムをインストールして構成すると作成されます。

ポリシー・サーバー管理ドメインのためのマスター許可データベースを保持します。さらに、許可データベース・レプリカを更新し、他の Tivoli Access Manager サーバーのロケーション情報を保持します。

レジストリーTivoli Access Manager が認識するユーザー ID をデータベースに提供します。また、ユーザーに関連した Tivoli Access Manager 役割にグループを表示します。

これらのコア・システムは、Tivoli Access Manager が、保護オブジェクト (リソース) へのユーザー・アクセスを許可したり拒否したりするなどの、基本操作を実行するために存在しなければなりません。 Tivoli Access Manager の他のすべてのサービスおよびコンポーネントは、このベースに基づいて構築されています。

Tivoli Access Manager を複数システムに配置することも、または 1 台のスタンドアロン・システム上で管理ドメインを構成し使用するのに必要なすべてのソフトウェアをインストールすることもできます。単一システムのセットアップは、配置をプロトタイピングしたり、アプリケーションの開発やテストをするときにのみ役立ちます。

ポリシー・サーバーおよびレジストリー・サーバーを構成すると、許可サーバーやアプリケーション開発システムなどの、追加のシステムを管理ドメインにセットアップできます。追加のセキュア・ドメイン (LDAP レジストリーを使用している場合) を作成することもできます。したがって、別個の、論理グループにデータを安全に区分化できます。複数ドメインの作成については、「IBM Tivoli Access

Manager Base 管理者ガイド」を参照してください。


第 1 章インストールの概要 5

Tivoli Access Manager インストール・コンポーネントこのセクションでは、Tivoli Access Manager のすべてのインストールに通常共通な、Tivoli Access Manager コンポーネントを紹介します。これらのインストール・コンポーネントを使用して 13ページの『Tivoli Access Manager システムのタイプ』にリストされている Tivoli Access Manager システムをセットアップします。

セクションには、以下が含まれています。

v 『Tivoli Access Manager Base コンポーネント』

v 8ページの『Tivoli Access Manager Web Security コンポーネント』

v 10ページの『前提条件製品』

Tivoli Access Manager Base コンポーネントTivoli Access Manager Base には、以下のインストール・コンポーネントが含まれています。これらのコンポーネントは、Web Portal Manager コンポーネントを除いて、サポートされているプラットフォーム用の IBM Tivoli Access Manager Base

CD に収納されて出荷されます。Web Portal Manager コンポーネントは、IBM

Tivoli Access Manager Web Administration Interfaces CD に収納されて出荷されます。これらのインストール・コンポーネントを使用して 13ページの『Tivoli Access

Manager Base システム』にリストされている Base システムをセットアップします。

Access Manager Application Development KitAccess Manager Application Development Kit は、許可の決定について許可サーバーを照会するためのサード・パーティー・アプリケーションをユーザーがコーディングできる開発環境を提供します。このキットには、許可および管理機能に C API とJava™ クラスの両方を使用するサポートが含まれています。Java プログラムを実行したり、ユーザー自身の Java プログラムをコンパイルして実行するには、Java ランタイム環境システムをインストールして構成する必要があります。

Access Manager Authorization ServerAccess Manager Authorization Server は、Tivoli Access Manager 許可 API をリモート・キャッシュ・モードで使用するサード・パーティー・アプリケーションについて許可サービスへのアクセスを可能にします。許可サーバーは、ロギングおよび監査コレクション・サーバーとしても機能して、サーバーのアクティビティーに関するレコードを保管します。

Access Manager Java Runtime EnvironmentAccess Manager Java Runtime Environment は、Tivoli Access Manager セキュア・ドメインで Java アプリケーションの開発および配置に対して信頼性の高い環境を提供します。このコンポーネントを使用して、Tivoli Access Manager の許可およびセキュリティー・サービスを新規または既存のアプリケーションに追加します。

pdjrtecfg コマンドを使用してこのコンポーネントを構成して、ご使用のシステムで正しい JRE を使用できます。また、必要な場合、同一のシステムにいくつかの異なる JRE に合わせてこのコンポーネントを構成することもできます。

Web Portal Manager インターフェースをインストールする場合には、このコンポーネントが必要であることに注意してください。また、ユーザーが Tivoli Access



Manager Java ランタイム環境を使用する開発者である場合、Access Manager

Application Development Kit コンポーネントが必要となります。詳しくは、「IBM

Tivoli Access Manager for e-business Administration Java Classes デベロッパーズ・リファレンス」および「IBM Tivoli Access Manager for e-business Authorization Java

Classes デベロッパーズ・リファレンス」を参照してください。

Access Manager Policy Proxy ServerAccess Manager Policy Proxy Server を使用して、プロキシー・サーバーをセットアップします。プロキシー・サーバーは、低トラステッド・ネットワークと高トラステッド・ネットワークとの中継として機能します。このサーバーは、セキュリティーを保証し、管理コントロールおよびキャッシング・サービスを提供します。エンタープライズ・ネットワークを外部のネットワークから分離するゲートウェイ・サーバーに関連しているかまたはゲートウェイ・サーバーの一部であり、エンタープライズ・ネットワークを外部からの侵入から保護するファイアウォール・サーバーです。Tivoli Access Manager 環境で、プロキシー・サーバーは、pdadmin コマンドなどの、所定の数の許可アプリケーションおよび管理機能のポリシー・サーバーに代わって実行します。

Access Manager Policy ServerAccess Manager Policy Server は、管理ドメインのマスター許可データベースのみならずユーザーが作成を決定した可能性のある他のセキュア・ドメインに関連するポリシー・データベースをも保持します。このサーバーは、アクセス・コントロール、認証、および許可要求の処理に不可欠です。また、これは許可データベース・レプリカを更新し、他の Tivoli Access Manager サーバーのロケーション情報も保持します。

オプションとして、スタンバイ・サーバーを構成して、システム障害や計画外の停止が発生した場合にポリシー・サーバー機能を引き継ぐことができます。ポリシー・サーバーがダウンした場合、1 次ポリシー・サーバーがその元の役割を果たすまではスタンバイ・ポリシー・サーバーが 1 次ポリシー・サーバーとして機能します。次に、スタンバイ・ポリシー・サーバーはスタンバイの役割に戻ります。どの時点でも、1 つのみのアクティブ・ポリシー・サーバーがあり、ポリシー・データベースの 1 つのみの共用コピーがあります。

Tivoli Access Manager は、サポートされる AIX プラットフォーム上で 1 つのスタンバイ・ポリシー・サーバーの使用をサポートします。さらに、スタンバイ・ポリシー・サーバーを配置するには、HACMP (High Availability Cluster Multiprocessing)

ソフトウェアのインストールと構成が必要になります。HACMP は、コンポーネントの二重化およびアプリケーションのフェイルオーバーによってビジネス上重要なデータおよびアプリケーションへの高可用性アクセスを可能にするように設計されています。

Access Manager RuntimeAccess Manager Runtime には、Tivoli Access Manager サーバーにアクセスするためにアプリケーションが使用できるランタイム・ライブラリーとサポート・ファイルが含まれています。



Web Portal Manager および Java ランタイム環境システムの場合を除いて、Tivoli

Access Manager を実行するシステムごとに Access Manager Runtime コンポーネントをインストールして構成する必要があります。

Access Manager Web Portal ManagerAccess Manager Web Portal Manager は、Tivoli Access Manager の管理に使用される Web ベースのグラフィカル・ユーザー・インターフェース (GUI) です。pdadmin コマンド行インターフェースと同様に、この GUI は、ユーザー、グループ、役割、アクセス許可、ポリシー、および他の Tivoli Access Manager タスクの管理ができます。主な利点は、なんら特別のネットワーク構成を必要とせずに、これらのタスクをリモートで実行できることです。

Web Portal Manager インターフェースには、ユーザー管理、グループと役割管理、セキュリティー管理、およびアプリケーション・アクセス・プロビジョニングをビジネス・システムの承認者 (サブドメイン) にビジネスが委任できる一連の代行管理サービスも含まれています。これらのサブドメインは、その管理下にあるトラステッド・サブドメインに管理をさらに委任することができます。

このコンポーネントは、別途 IBM Tivoli Access Manager Web Administration

Interfaces CD に収納して出荷されます。Web Portal Manager インターフェースでサポートされているブラウザーは、以下のとおりです。

v Netscape Navigator 4.7x および 7.0

v Microsoft Internet Explorer 5.5 および 6.0

Provisioning Fast StartProvisioning Fast Start Installer は、AIX および Windows プラットフォーム用のTivoli Access Manager Base CD に収納されて提供されます。このインストーラーを使用して、Provisioning Fast Start コレクションをインストールします。これは、Tivoli Access Manager を Tivoli Identity Manager (別途発注可能 IBM 製品) に統合するのに役立つユーティリティーです。これらのユーティリティーによってサポートされるタスクには、以下のものが含まれます。

v Tivoli Access Manager サービスおよびプロビジョニング・ポリシーを Tivoli

Identity Manager サーバーに作成する

v WebSEAL シングル・サインオンと一緒に使用される Tivoli Identity Manager を構成する

v Tivoli Identity Manager でユーザー・データをインポートおよび同期化する

v Tivoli Identity Manager を使用してユーザー管理のための Web インターフェースを作成する

詳しくは、「IBM Tivoli Access Manager for e-business IBM Tivoli Identity Manager

プロビジョニング・ファースト・スタート・ガイド」を参照してください。

Tivoli Access Manager Web Security コンポーネントTivoli Access Manager Web Security には、以下のインストール・コンポーネントが含まれています。これらのコンポーネントは、属性検索サービスを除いて、サポートされているプラットフォーム用の IBM Tivoli Access Manager Web Security CD

に収納されて出荷されます。属性検索サービスは、IBM Tivoli Access Manager

Attribute Retrieval Service CD に収納されて出荷されます。これらのインストール・



コンポーネントを使用して 18ページの『Tivoli Access Manager Web Security システム』にリストされている Web Security システムをセットアップします。

Access Manager Attribute Retrieval ServiceAccess Manager Attribute Retrieval Service は、WebSEAL の許可決定情報 (ADI) 機能と結合して使用されます。このサービスは、WebSEAL 資格付与サービス・ライブラリーと許可決定情報の外部プロバイダーとの間の通信および形式変換を行います。

属性検索サービスは、ご使用の特定のプラットフォーム用の IBM Tivoli Access

Manager Attribute Retrieval Service CD に別個にパッケージングされています。詳しくは、「IBM Tivoli Access Manager for e-business WebSEAL 管理者ガイド」を参照してください。

Access Manager for WebLogic ServerAccess Manager for WebLogic Server は、IBM Tivoli Access Manager を拡張してBEA WebLogic Server 用に作成されたアプリケーションをサポートします。

BEA WebLogic Server Security Service Provider Interface を使用して、Access

Manager for WebLogic Server は、Tivoli Access Manager が管理するユーザー・レジストリーを使用するユーザーを認証します。ユーザー・レジストリー内のグループ・メンバーシップを使用して、WebLogic Server が行う許可の決定に影響を与えることができます。

また、WebSEAL または Access Manager Plug-in for Web Servers をインストールして Access Manager for WebLogic Server のセキュリティー機能を拡張してエンド・ユーザー・シングル・サインオンのサポートを提供します。このコンポーネントを使用することによって WebLogic Server アプリケーションは、コーディングを必要とせずにまたは配置の変更をせずに、Tivoli Access Manager セキュリティーを使用できます。詳しくは、「IBM Tivoli Access Manager for e-business BEA WebLogic

Server 統合ガイド」を参照してください。

Access Manager for WebSphere Application ServerAccess Manager for WebSphere Application Server は、IBM WebSphere Application

Server アプリケーションにコンテナー・ベースの許可と集中ポリシー管理を提供することによって、Tivoli Access Manager を拡張します。このコンポーネントをWebSphere Application Server に統合して、プリンシパルまたはグループへの役割のすべてのマッピングを行わせることができます。

また、Tivoli Access Manager for WebSphere には、Java 2 Enterprise Edition (J2EE)

配置記述子から Tivoli Access Manager セキュリティー・スキーマに役割-から-プリンシパルへまたは役割-から-グループへのマッピングをインポートするために使用できるマイグレーション・ユーティリティーがあります。このユーティリティーは、データを圧縮または解凍のいずれかの WebSphere Enterprise Archive (EAR) ファイルをマイグレーションできます。詳しくは、「IBM Tivoli Access Manager for

e-business IBM WebSphere Application Server 統合ガイド」を参照してください。

Access Manager Plug-in for Edge ServerAccess Manager Plug-in for Edge Server は、認証と許可の機能を IBM WebSphere

Edge Server 製品に追加します。ご使用のセキュア・ドメインで許可サービスとして



インプリメントすると、このプラグインはそのドメイン内のリソースにシングル・サインオン・ソリューションを提供します。詳しくは、「IBM Tivoli Access

Manager for e-business Plug-in for IBM WebSphere Edge Server 統合ガイド」を参照してください。

Access Manager Plug-in for Web ServersAccess Manager Plug-in for Web Servers は、ユーザーのクライアントとセキュアWeb スペースとの間のゲートウェイとして機能することによって、ご使用の Web

ベースのリソースのセキュリティーを管理します。このプラグインは、ユーザーのWeb オブジェクト・スペースを保護するセキュリティー・ポリシーをインプリメントします。このプラグインは、シングル・サインオン・ソリューションを提供し、仮想ホストとして実行する Web サーバーをサポートし、Web アプリケーション・サーバー・リソースをセキュリティー・ポリシーに組み込みます。詳しくは、「IBM

Tivoli Access Manager for e-business Plug-in for Web Servers 統合ガイド」を参照してください。

Access Manager Web Security RuntimeAccess Manager Web Security Runtime には、Access Manager WebSEAL や Plug-in

for Web Servers などの、Web Security システムに使用される共用認証ライブラリー・ファイルがあります。

Access Manager WebSEAL Application Development KitAccess Manager WebSEAL ADK には、Tivoli Access Manager Cross-domain

Authentication Service (CDAS)、Tivoli Access Manager Cross-domain Mapping

Framework (CDMF)、および Tivoli Access Manager Password Strength Module 用の開発 API があります。

Access Manager WebSEAL ServerAccess Manager WebSEAL は、Web ベース・リソース用のセキュリティー・マネージャーです。WebSEAL は、保護されている Web オブジェクト・スペースに対し、きめ細かなセキュリティー・ポリシーを適用する、ハイパフォーマンス、マルチスレッドの Web サーバーです。 WebSEAL は、シングル・サインオン・ソリューションを提供し、バックエンドの Web アプリケーション・サーバー・リソースをそのセキュリティー・ポリシーに組み込むことができます。

前提条件製品

Tivoli Access Manager には、以下の前提条件製品が含まれています。これらの製品は、Tivoli Access Manager と一緒に出荷され、特定の Tivoli Access Manager システムをセットアップするときに必要になります。Tivoli Access Manager システムをセットアップするのに必要な必須インストール・コンポーネントのリストについては、 14ページの表 1 を参照してください。

IBM Global Security KitIBM Global Security Kit (GSKit) は、Tivoli Access Manager システムとサポートされているレジストリー・サーバーとの間の Secure Sockets Layer (SSL) データ暗号化を行います。また、GSKit パッケージは iKeyman 鍵管理ユーティリティー(gsk7ikm) もインストールします。このユーティリティーを使用して、鍵データベース、公開鍵と秘密鍵のペア、および認証要求を作成できます。



GSKit は、他の大部分の Tivoli Access Manager コンポーネントをインストールする前にインストールする必要があります。GSKit は、Java ランタイム環境、Web

Portal Manager、および Attribute Retrieval Service システムを除く、すべての Tivoli

Access Manager システムで必要になる、Access Manager Runtime コンポーネントの前提条件です。このユーティリティーを使用して、サポートされているレジストリー・サーバーで SSL を使用可能にする方法については、 411ページの『第 24 章Secure Sockets Layer を使用可能にする』または「IBM Global Security Kit Secure

Sockets Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。

注: OpenSSL は、GSKit に含まれていますが、暗号操作に使用できます (OpenSSL

使用許諾契約書に示されるとおり)。

IBM Java Runtime Environment (JRE)IBM JRE は、Access Manager Java Runtime Environment コンポーネント、言語サポート・パッケージ、をインストールするとき、または Tivoli Access Manager インストール・ウィザードを使用するときに必要になります。

IBM Tivoli Directory ClientIBM Tivoli Directory Client は、IBM Tivoli Directory Server と一緒に、サポートされる AIX、HP-UX、Linux、Solaris、および Windows の各プラットフォーム用のIBM Tivoli Access Manager Directory Server CD に収納されて出荷されます。

以下の場合を除いて、Tivoli Access Manager を実行する各システムに IBM Tivoli

Directory Client をインストールする必要があります。

v Tivoli Access Manager システムが、Active Directory ドメインに結合されている、サポートされた Windows システムである場合。

v Java ランタイム環境、Web Portal Manager、または属性検索サービス・システムをセットアップしている場合。

v ユーザーのレジストリー・サーバーとして Lotus Domino を使用する場合。

IBM Tivoli Directory ServerIBM Tivoli Directory Server、バージョン 5.2 は、サポートされるAIX、HP-UX、Linux、Sun Solaris オペレーティング環境、および Windows の各プラットフォーム用の IBM Tivoli Access Manager Directory Server CD に収納されて出荷されます。このサーバーは、ユーザーの Tivoli Access Manager レジストリー・サーバーとして、または 27ページの『サポートされるレジストリー』にリストされているレジストリー・サーバーの 1 つとして使用できます。このLightweight Directory Access Protocol (LDAP) ディレクトリーは、独立型デーモンとして実行します。これは、LDAP サーバーへのクライアント・アクセスを可能にするクライアント/サーバー・モデルに基づいています。IBM Tivoli Directory Server

は、ディレクトリー情報を保管、更新、検索、および交換のためにセントラル・ロケーションに保持する簡単な方法になります。

IBM Tivoli Directory Server Web Administration ToolIBM Tivoli Directory Server、バージョン 5.2 には、Web Administration Tool があります。これは、IBM WebSphere Application Server などのアプリケーション・サーバー上で実行する、別個にインストール可能な GUI です。この Web

Administration Tool を使用して IBM Tivoli Directory サーバーをローカルでまたはリモート側で管理します。単一の Web Administration コンソールをインストールし



て、バージョン 4.1、5.1、および 5.2 のサーバーを含む、複数の IBM Tivoli

Directory サーバーを管理することができます。

Web Administration Tool は、IBM Tivoli Access Manager Web Administration

Interfaces CD に収納されて別個に出荷されます。サポートされるブラウザーを含む、システム要件については、 28ページの『IBM Tivoli Directory Server Web

Administration Tool』を参照してください。

IBM WebSphere Application ServerIBM WebSphere Application Server 5.0.2 は、Web Portal Manager インターフェース、属性検索サービス、および Web Administration Tool のインストールに使用されます。IBM WebSphere Application Server は、サポートされる各プラットフォーム用の IBM Access Manager Web Administration Interfaces CD に収納されて出荷されます。

IBM Tivoli Directory Server、バージョン 5.2 は、その Web Administration Tool と一緒に使用される Express バージョンである WebSphere Application Server を通常含んでいます。Tivoli Access Manager、バージョン 5.1 では、この単純化されたWeb サーバー・アプリケーションは、IBM WebSphere Application Server、V5.0.2

に置き換えられます。これは、主要な Java 2 Enterprise Edition (J2EE) で Web サービス・テクノロジー・ベースのアプリケーション・プラットフォームであり、ダイナミック e-ビジネス・オンデマンドに対してエンタープライズ Web サービス・ソリューションを配置する場合実動にそのまま使用できるアプリケーション・サーバーの 1 つとなります。



Tivoli Access Manager システムのタイプ

このセクションでは、セキュア・ドメインにセットアップできるシステムのタイプをリストします。それぞれのシステム・タイプごとに必須のインストール・コンポーネントとサポートされるプラットフォームが記載されます。

ポリシー・サーバーとレジストリー・サーバーを別個のシステムにセットアップすることをお勧めします。しかし、他のシステム・タイプは独立型システムにする必要はありません。たとえば、Web Portal Manager インターフェースをポリシー・サーバーと同じシステムにインストールできます。

このセクションには、以下が含まれています。

v 『Tivoli Access Manager Base システム』

v 18ページの『Tivoli Access Manager Web Security システム』

Tivoli Access Manager Base システム14ページの表 1 には、Tivoli Access Manager Base システムのタイプをリストします。

注:

1. 以下の場合を除いて、Tivoli Access Manager を実行する各システムに IBM

Tivoli Directory Client、バージョン 5.2 をインストールする必要があります。


v Java ランタイム環境または Web Portal Manager システムをセットアップしている場合。

v Domino がレジストリー・サーバーである場合。

2. インストール・ウィザードを使用して Tivoli Access Manager システムをインストールして構成する場合、IBM JRE 1.3.1 も必要になります。

3. SuSE Linux は、UnitedLinux 1.0 に基づく製品をもつ 4 つのパートナー会社の1 つです。その他の会社は、SCO Group、Turbolinux、および Conectiva です。SuSe Linux Enterprise Server (SLES) がサポートされるとしてリストされている場合には、UnitedLinux 1.0 サポートに基づく他のパートナー会社の製品も同様にサポートされます。詳しくは、UnitedLinux の Web サイトを参照してください。

http://www.unitedlinux.com




表 1. Tivoli Access Manager Base システム—必須コンポーネントとサポートされるプラットフォーム

システム・タイプインストール・コンポーネントサポートされるプラットフォーム

許可サーバー v Global Security Kit、バージョン 7

v IBM Tivoli Directory Client、バージョン 5.21

v Access Manager Runtime、バージョン5.1

v Access Manager Authorization Server、バージョン 5.1

v AIX 5.1.0 および 5.2.0

v HP-UX 11.0 および 11i

v Red Hat Enterprise Linux 3.0

v SuSE SLES8 for IA32

v SuSE SLES8 for S/390 および zSeries

(31 ビット・システム)(Service Pack 2

適用)

v SuSE SLES8 for zSeries (64 ビット・システム、31 ビット互換モード)(Service Pack 2 適用)

v SuSE SLES8 for pSeries および iSeries

v Solaris 8 および 9

v Windows 2000 Server およびAdvanced Server (Service Pack 3 適用)

v Windows 2003 Standard Server およびEnterprise Server

開発 (ADK) v Global Security Kit、バージョン 7



v Access Manager Application

Development Kit、バージョン 5.1

v AIX 4.3.3、5.1.0 および 5.2.0






適用)


v Solaris 7、8 および 9

v Windows NT 4.0 (Service Pack 6a 適用)



v Windows XP Pro



表 1. Tivoli Access Manager Base システム—必須コンポーネントとサポートされるプラットフォーム (続き)


IBM Tivoli Directory Server IBM Tivoli Directory Server をユーザーのTivoli Access Manager レジストリーとしてインストールする場合、以下のコンポーネントが必要になります。

v Global Security Kit、バージョン 7


v IBM DB2、バージョン 8.1

v IBM Tivoli Directory Server、バージョン 5.2

v AIX 5.1.0 および 5.2.0





適用)







Java ランタイム環境 v Access Manager Java Runtime

Environment、バージョン 5.1

v IBM JRE、バージョン 1.3.1 以上

v AIX 4.3.3、5.1.0 および 5.2.0






適用)




v Windows NT (Service Pack 6a 適用)







ポリシー・プロキシー・サーバー




v Access Manager Policy Proxy Server、バージョン 5.1

v AIX 5.1.0 および 5.2.0






適用)






ポリシー・サーバー v Global Security Kit、バージョン 7



v Access Manager Policy Server、バージョン 5.1

v AIX 5.1.0 および 5.2.0






適用)









ランタイム v Global Security Kit、バージョン 7



v AIX 4.3.3、5.1.0 および 5.2.0






適用)






Web Portal Manager v IBM WebSphere Application Server、バージョン 5.0.2

v Access Manager Web Portal Manager、バージョン 5.1

v Access Manager Java Runtime


v AIX 5.1.0 および 5.2.0





適用)








Tivoli Access Manager Web Security システム表 2 では、セキュア・ドメインにセットアップできる Web Security システムのタイプをリストします。これらのシステムのインストール・コンポーネントは、属性検索サービスを除いて、ご使用の特定のプラットフォーム用の IBM Tivoli Access

Manager Web Security CD に収納されています。属性検索サービスは、別の IBM

Tivoli Access Manager Attribute Retrieval Service CD に収納されています。

注:

1. 以下の場合を除いて、Tivoli Access Manager を実行する各システムに IBM

Tivoli Directory Client、バージョン 5.2 をインストールする必要があります。


v 属性検索サービス・システムをセットアップしている場合。

v Domino がレジストリー・サーバーである場合。

2. BEA は、BEA WebLogic Server 用に多くの Service Pack を提供します。Service

Pack のレベルは、BEA がサポートする異なるオペレーティング・システムのリリースの間で異なる場合があります。それぞれのオペレーティング・システムごとに正しい Service Pack を判断するには、BEA WebLogic の Web サイトのBEA プラットフォーム認証テーブルを参照してください。

3. インストール・ウィザードを使用して Tivoli Access Manager システムをインストールして構成する場合、IBM JRE 1.3.1 も必要になります。

表 2. Tivoli Access Manager Web Security システム—必須コンポーネントとサポートされるプラットフォーム


Attribute Retrieval Service IBM WebSphere Application Server、バージョン 5.0.2

v AIX 5.1.0 および 5.2.0



v SuSE SLES8 for S/390 およびzSeries (31 ビット・システム)(Service

Pack 2 適用)




v Windows 2003 Standard Server および Enterprise Server



表 2. Tivoli Access Manager Web Security システム—必須コンポーネントとサポートされるプラットフォーム (続き)


WebSEAL サーバー v Global Security Kit、バージョン 7

v IBM Tivoli Directory Client、バージョン 5.2 1

v Access Manager Runtime、バージョン 5.1

v Access Manager Web Security

Runtime、バージョン 5.1

v Access Manager WebSEAL

Server、バージョン 5.1

v AIX 5.1.0 および 5.2.0




v SuSE SLES8 for S/390 およびzSeries (31 ビット・システム)

(Service Pack 2 適用)



v Windows 2000 Server およびAdvanced Server



WebSEAL 開発 (ADK) v Global Security Kit、バージョン 7

v IBM Tivoli Directory Client、バージョン 5.2 1






v Access Manager Application

Development Kit、バージョン 5.1


Application Development Kit、バージョン 5.1

v AIX 5.1.0 および 5.2.0




v SuSE SLES8 for S/390 およびzSeries (31 ビット・システム)(Service

Pack 2 適用)






Tivoli Access Manager for WebLogic v BEA WebLogic Server、バージョン 7 (Service Pack 2 適用) またはバージョン 8.1

(Service Pack 1 適用)2



v Access Manager for WebLogic

Server

v AIX 5.1.0


v HP-UX 11.0 および 11i (BEA

WebLogic Server、バージョン 7.0 のみ)







Tivoli Access Manager for WebSphere v IBM WebSphere Application

Server、バージョン 4.0.6、5.0.2、または 5.1 または IBM

WebSphere Application

Server、Advanced Single Server、バージョン 4.0.6



v Access Manager for WebSphere

Application Server、バージョン5.1

v AIX 5.1.0 および 5.2.0










Plug-in for Apache Web Server v Apache Web Server (mod SSL 付き)(zSeries 上の Linux でバージョン 1.3.26-36 / Solaris でバージョン 1.3.27)






v Access Manager Plug-in for Web

Servers、バージョン 5.1

v Access Manager Plug-in for

Apache Web Server



v Solaris 8 または 9





Plug-in for Edge Server v IBM WebSphere Edge Server、バージョン 5.1






(Linux の場合を除く)

v Access Manager Plug-in for Edge


v AIX 5.1.0 および 5.2.0



v Microsoft Windows 2000 Server および Advanced Server


Plug-in for IBM HTTP Server v IBM HTTP Server、バージョン1.3.26








v Access Manager Plug-in for IBM

HTTP Server

v AIX 5.1.0 または 5.2.0






Plug-in for Internet Information

Servicesv Internet Information Services、バージョン 5.0 または 6.0








v Windows 2000 Server およびAdvanced Server (Service Pack 3 適用) 上での Internet Information

Services、バージョン 5.0

v Windows 2003 Standard Server および Enterprise Server 上での Internet

Information Services、バージョン 6.0





Plug-in for SUN One Web Server v Sun ONE Web Server、バージョン 6.0








v Access Manager Plug-in for Sun

ONE Web Server

v AIX 5.1.0 および 5.2.0




インストールの方法Tivoli Access Manager ソフトウェアを以下の方法でインストールおよび構成できます。

v 『インストール・ウィザード』

v 24ページの『ネイティブ・インストール・ユーティリティー』

インストール・ウィザードインストール・ウィザードを使用して Tivoli Access Manager システムのインストールと構成を単純化します。1 つのプログラムを実行して多様な Tivoli Access

Manager システムの 1 つをセットアップできます。ソフトウェア前提条件および製品パッチは、適切な順序で自動的にインストールされます。

表 3 および 24ページの表 4 には、示されたシステム・タイプで使用可能な、Base

および Web Security のインストール・ウィザードをリストしています。

Tivoli Access Manager Base システムのインストール・ウィザードは、以下を除いて、IBM Tivoli Access Manager Base CD の Root ディレクトリーに収納されています。

v install_ldap_server は、IBM Tivoli Access Manager Directory Server CD に収納されています。

v install_amwpm は、IBM Tivoli Access Manager Web Administration Interfaces

CD に収納されています。

Tivoli Access Manager Web Security システムのインストール・ウィザードは、以下を除いて、IBM Tivoli Access Manager Web Security CD の Root ディレクトリーに収納されています。

v install_amwebars は、IBM Tivoli Access Manager Attribute Retrieval Service CD

に収納されています。

注: これらのシステム・タイプのそれぞれのごとのインストール済みコンポーネントおよびサポートされるプラットフォームのリストについては、 13ページの『Tivoli Access Manager システムのタイプ』を参照してください。

表 3. Base システムのインストール・ウィザード

インストール・ウィザード Base システムのタイプ

install_ldap_server IBM Tivoli Directory Server

install_ammgr Policy server

install_amacld 許可サーバー

install_amadk 開発 (ADK) システム

install_amjrte Java ランタイム環境システム

install_amproxy ポリシー・プロキシー・サーバー

install_amrte ランタイム・システム

install_amwpm Web Portal Manager システム

install_ampfs 1 Provisioning Fast Start



表 3. Base システムのインストール・ウィザード (続き)1 install_ampfs ウィザードを使用して、Tivoli Access Manager を Tivoli Identity Manager

に統合するのに役立てることができるユーティリティーである、Provisioning Fast Start コレクションをインストールします。詳しくは、「IBM Tivoli Access Manager for e-business

IBM Tivoli Identity Manager プロビジョニング・ファースト・スタート・ガイド」を参照してください。

表 4. Web security システムのインストール・ウィザード

インストール・ウィザード Web Security システムのタイプ

install_amwas Tivoli Access Manager for WebSphere

install_amweb WebSEAL サーバー

install_amwebadk WebSEAL 開発 (ADK) システム

install_amwebars Attribute Retrieval Service

install_amwls Tivoli Access Manager for WebLogic

install_amwpi_apache Plug-in for Apache Web Server

install_amwpi_ihs Plug-in for IBM HTTP Server

install_amwpi_iis Plug-in for Internet Information Services

install_amwpi_iplanet Plug-in for Sun ONE Web Server

ネイティブ・インストール・ユーティリティーTivoli Access Manager コンポーネントをインストールするために、Solaris オペレーティング環境での pkgadd などの、プラットフォーム固有のユーティリティーを使用できます。自動ウィザードと異なり、それぞれのコンポーネントおよび前提条件ソフトウェアがある場合にはその前提条件ソフトウェアを適切な順序で手動でインストールする必要があります。

Access Manager Runtime コンポーネントをご使用のシステムにインストールする場合、pdconfig ユーティリティーを使用して Tivoli Access Manager コンポーネントを構成できます。Access Manager Runtime コンポーネントをインストールしない場合、Access Manager Java Runtime Environment コンポーネントを構成する場合には、pdjrtecfg、また Access Manager Web Portal Manager コンポーネントを構成する場合には、pdwpmcfg などの、コンポーネント固有のユーティリティーを使用する必要があります。

注: これらのユーティリティーについては、 465ページの『第 26 章 Tivoli Access

Manager ユーティリティー』を参照してください。



インストール・プロセスTivoli Access Manager 管理ドメインを作成するには、以下の基本的なステップに従ってください。

1. Tivoli Access Manager の配置を計画する。Tivoli Access Manager を配置する場合のビジネス上のセキュリティー要件を理解してください。

2. インストールしたい Tivoli Access Manager システムの組み合わせを決める。最初の管理ドメインをセットアップする場合、サポートされるレジストリーとポリシー・サーバー・システムが必要になります。

3. ユーザーの Tivoli Access Manager システムが、 27ページの『第 2 章システム要件』にリストされているすべてのソフトウェアおよびハードウェアの要件を満たしていることを確認する。

4. Tivoli Access Manager と一緒に使用するレジストリーをセットアップする。説明については、 61ページの『第 4 章レジストリー・サーバーをセットアップする』を参照してください。

5. Tivoli Access Manager ポリシー・サーバー・システムをインストールして構成する。説明については、 111ページの『第 5 章ポリシー・サーバーをセットアップする』を参照してください。HACMP ソフトウェアを使用してスタンバイ・ポリシー・サーバーをセットアップする場合、説明については、 439ページの『第 25 章 AIX: スタンバイ・ポリシー・サーバーをセットアップする』を参照してください。

6. 他のタイプの Tivoli Access Manager Base システムをインストールする (必要に応じて)。たとえば、以下のシステムの 1 つ以上をインストールできます。

許可サーバー 121 ページ

開発 (ADK) システム 129 ページ

Java ランタイム環境システム 137 ページ

ポリシー・プロキシー・サーバー 145 ページ

ランタイム・システム 153 ページ

Web Portal Manager システム 161 ページ

7. Tivoli Access Manager Web Security システムをインストールする (必要に応じて)。たとえば、以下のシステムの 1 つ以上をインストールできます。

Attribute Retrieval Service 179 ページ

Plug-in for Edge Server 187 ページ

Plug-in for Web Servers 203 ページ

Tivoli Access Manager for WebLogic 219 ページ

Tivoli Access Manager for WebSphere 245 ページ

WebSEAL 開発 (ADK) システム 267 ページ

WebSEAL サーバー 277 ページ

注: Tivoli Access Manager コンポーネントがすでにインストールされて構成されており、再インストールする必要がある場合は、最初にそれを構成解除し、除去しなければなりません。



8. 認証局 (CA) からの証明書を使用してサポートされるレジストリー・サーバーとIBM Tivoli Directory Clients との間の SSL 通信を使用可能にすることをお勧めします。そうするには、GSKit iKeyman ユーティリティーによって認証要求を生成するか、または専用証明書をインポートする必要があります。iKeyman ユーティリティーの使用方法については、「IBM Global Security Kit Secure Sockets

Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。iKeyman ユーティリティーをセットアップするには、 294ページの『GSKit

iKeyman ユーティリティーをセットアップする』に記載の説明を参照してください。



第 2 章システム要件

このセクションでは、インストールが必要になる最小製品レベルを説明します。既知の問題、制限、最新情報については、「IBM Tivoli Access Manager for e-business

リリース情報」を参照してください。

以下のセクションが含まれています。

v 『サポートされるレジストリー』

v 32ページの『ディスク・スペースおよびメモリー所要量』

v 36ページの『必須パッチを含む、サポートされるプラットフォーム』

v 43ページの『後方互換性』

v 44ページの『ハードウェア・アクセラレーション・カード・サポート』

サポートされるレジストリーTivoli Access Manager は、以下のユーザー・レジストリー、それらがサポートされるオペレーティング・システム、および必要な前提条件ソフトウェアがあればその前提条件ソフトウェアをサポートします。

IBM Tivoli Directory ServerTivoli Access Manager は、IBM Tivoli Directory Server、バージョン 4.1、5.1、および 5.2 の使用をサポートします。

注: IBM Tivoli Directory Server、バージョン 5.2 は、Tivoli Access Manager、バージョン 5.1 と一緒に出荷されます。IBM Directory Server の 1 つのバージョンのみが同時に 1 つのシステム上に存在できます。IBM Tivoli Access Manager、バージョン 5.1 は、LDAP レジストリーにバージョン 5.2 IBM Directory クライアントを使用するため、バージョン 4.1 または 5.1 のいずれかを使用する場合、別のシステムに IBM Tivoli Directory Server をインストールする必要があります。

サポートされるプラットフォームは、以下のとおりです。

v AIX プラットフォーム:

– AIX 5.1

– AIX 5.2

注: AIX 5.1 では、AIX 保守レベル 4 以上をインストールする必要があります。AIX 5.2 では、AIX 保守レベル 1 以上をインストールする必要があります。

v HP-UX プラットフォーム:

– HP-UX 11

– HP-UX 11i (以下のパッチを適用):

- December 2001 GOLDBASE11i bundle

- December 2001 GOLDAPPS11i bundle


- patch PHSS_26560

v xSeries プラットフォーム上の Linux:

– UnitedLinux 1.0 (Service Pack 2 適用)

– SuSE Linux Enterprise Server 8

– Red Hat Enterprise Linux 3.0

v zSeries プラットフォーム上の Linux:


– Red Hat Enterprise Server 3.0

v pSeries および iSeries プラットフォーム上の Linux:

– Red Hat Enterprise Server 3.0


v Solaris プラットフォーム:

– Solaris オペレーティング環境ソフトウェア、バージョン 8 および 9

– Trusted Solaris、バージョン 8

v Windows プラットフォーム:

– Windows 2000

– Windows Server 2003、Standard または Enterprise

– Windows NT 4.0 (Service Pack 6 以上適用); セキュリティー・サポートにはWindows NT ファイル・システム (NTFS) が必要になります。

重要:

v Tivoli Access Manager のために使用したい既存の IBM Directory Server がある場合、サーバーをサポートされるレベルに必ずアップグレードしてください。

v IBM 以外のベンダーからの LDAP の以前のバージョンがある場合には、それを除去してから IBM Tivoli Directory Server をインストールしてください。他のベンダーのバージョンを除去せずに、IBM Tivoli Directory Server をインストールしようとすると、その結果できるファイル名に矛盾が発生して、どちらかのバージョンが作動できなくなる可能性があります。

IBM Tivoli Directory Server Web Administration ToolIBM Tivoli Directory Server は、IBM Tivoli Directory Server Web Administration

Tool、バージョン 5.2 の使用をサポートします。Web Administration Tool は、コンピューターに IBM Tivoli Directory Server クライアントまたはサーバーの有無に関係なくインストールできます。Web Administration Tool を使用して、以下のタイプの LDAP サーバーを管理できます。


v IBM Directory Server、バージョン 5.1

v IBM Directory Server、バージョン 4.1

v OS/400 V5R3

v z/OS™ R4

注: z/OS R4 の場合、以下のセットアップのみが Web Administration Tool によってサポートされます。

システム要件


– 単一の TDBM バックエンド

– 単一の SDBM バックエンド

– 1 つの TDBM および SDBM バックエンド

Web Administration Tool は、以下のプラットフォームでサポートされます。

v AIX プラットフォーム:

– AIX 4.3.3

– AIX 5.1

– AIX 5.2

v HP-UX プラットフォーム:

– HP-UX 11

– HP-UX 11i

v xSeries プラットフォーム上の Linux:

– UnitedLinux 1.0

– SuSE Linux Enterprise Server 7 および 8

– Red Hat Advanced Server 2.1

v zSeries プラットフォーム上の Linux:

– SuSE Linux Enterprise Server 8.0

v pSeries および iSeries プラットフォーム上の Linux:

– UnitedLinux 1.0

– SuSE Linux Enterprise Server 8.0

v Solaris プラットフォーム:

– Solaris オペレーティング環境ソフトウェア、バージョン 7、8、および 9

– Trusted Solaris、バージョン 8

v Windows プラットフォーム:

– Windows 2000

– Windows XP

– Windows Server 2003、Standard または Enterprise

– Windows NT 4.0 (Service Pack 6 以上適用)

Web Administration Tool を使用するには、以下も必要になります。

v 以下のアプリケーション・サーバーのいずれか:

– WebSphere Application Server の組み込みバージョン — Express V5.0 以上。

– IBM WebSphere Application Server、バージョン 5.0 以上。IBM WebSphere

Application Server、バージョン 5.0.2 は、Tivoli Access Manager、バージョン5.1 と一緒に提供されます。

v Web Administration Tool を使用するコンピューターに以下の Web ブラウザーのいずれか。(これは、Web Administration Tool がインストールされているコンピューターであっても、そうでなくてもかまいません):

– AIX プラットフォーム: Mozilla 1.3 または 1.4

– HP-UX プラットフォーム: Mozilla 1.3 または 1.4

– xSeries プラットフォーム上の Linux: Mozilla 1.3 または 1.4

システム要件


– iSeries、pSeries、および zSeries プラットフォーム上の Linux: ブラウザーのサポートはありません。これらの Linux プラットフォームで Web

Administration Tool にアクセスするためには別のシステムを使用する必要があります。

– Solaris プラットフォーム: Mozilla 1.3 または 1.4

– Windows プラットフォーム: Internet Explorer、バージョン 6.0

IBM Security Server for OS/390Tivoli Access Manager は、IBM Security Server for OS/390®、バージョン 2、リリース 10 の使用をサポートします。製品情報については、OS/390 Internet Library の次の Web サイトを参照してください。

http://www.s390.ibm.com/os390/bkserv/

IBM z/OS Security Server LDAP ServerTivoli Access Manager は、IBM z/OS Security Server LDAP Server、バージョン1、リリース 2 以上の使用をサポートします。製品情報については、z/OS Internet

Library の次の Web サイトを参照してください。

http://www.ibm.com/servers/eserver/zseries/zos/bkserv/

お客様は、CD-ROM、z/OS: Collection、SK3T-4269 に収納されたソフトコピー資料を入手することもできます。

Lotus DominoWindows プラットフォームでの Tivoli Access Manager は、ユーザー・レジストリーとして Lotus® Domino、バージョン 5.0.10 および 6.0 の使用をサポートします。Domino Server は、Tivoli Access Manager、バージョン 5.1 によってサポートされるどのプラットフォーム上でも実行できます。

重要: Lotus Domino がレジストリーとして使用される場合:

v IBM Tivoli Directory Client は必要ありません。

v Access Manager Runtime コンポーネントをインストールする前に Lotus Notes®

クライアントをインストールする必要があります。Tivoli Access Manager は、Lotus Notes クライアント、バージョン 5.0.10 およびバージョン 6.0 以上をサポートします。

Microsoft Active DirectoryTivoli Access Manager は、ユーザー・レジストリーとして Active Directory for

Windows 2000 および Windows 2003 をサポートします。

Tivoli Access Manager の以前のリリースでは、Active Directory のサポートがあったのは、Windows 2000 Advanced Server プラットフォームのみでした。バージョン5.1 になって初めて、Active Directory ユーザーは、Tivoli Access Manager 製品で現在サポートされているすべての Windows および UNIX プラットフォーム(Windows NT を除く) で Tivoli Access Manager を実行できます。

システム要件


http://www.s390.ibm.com/os390/bkserv/


UNIX プラットフォームは、IBM Tivoli Directory Client を使用して Active

Directory と情報を受け渡します。ポリシー・サーバー・ドメインがローカル・ホスト名のドメインと異なる場合には、この LDAP クライアントも使用されます。

Tivoli Access Manager ポリシー・サーバーがサポートされるのは、Windows 2000

および 2003 システム上のみであることに注意してください。

Netscape iPlanet および Sun ONE Directory ServerTivoli Access Manager は、ユーザー・レジストリーとして Netscape iPlanet

Directory Server、バージョン 5.1 および Sun ONE Directory Server、バージョン5.2 の使用をサポートします。

インストールについては、iPlanet または Sun ONE Directory Server に付属の製品資料を参照してください。

重要:

v Tivoli Access Manager のために使用したい既存の iPlanet または Sun ONE

Directory Server がある場合、サーバーをサポートされるレベルに必ずアップグレードしてください。アップグレードの説明については、次の Web アドレスにある Sun の資料を参照してください。

http://docs.sun.com/db/prod/s1dirsrv

v iPlanet および Sun ONE Directory Server には、SSL 機能が組み込まれています。Access Manager Runtime コンポーネントが同じシステムにインストールされている場合のみ GSKit をディレクトリー・サーバー・システムにインストールする必要があります。

Novell eDirectoryTivoli Access Manager は、ユーザー・レジストリーとして Novell eDirectory 8.6.2

および 8.7 の使用をサポートします。

インストールについては、ご使用の Novell eDirectory サーバーに付属の製品資料を参照してください。Novell eDirectory の製品資料は、次の Web アドレスから入手できます。

http://www.novell.com/documentation/a-z.html

これらの製品の最新のパッチは、次の Web アドレスから入手できます。

http://support.novell.com/filefinder/5069/index.html

重要:

v Tivoli Access Manager のために使用したい既存の Novell eDirectory サーバーがある場合、サーバーをサポートされるレベルに必ずアップグレードしてください。

v Novell eDirectory サーバーには、SSL 機能が組み込まれています。Access

Manager Runtime コンポーネントが同じシステムにインストールされている場合のみ GSKit をディレクトリー・サーバー・システムにインストールする必要があります。

システム要件



http://www.novell.com/documentation/a-z.html

http://support.novell.com/filefinder/5069/index.html

ディスク・スペースおよびメモリー所要量Tivoli Access Manager バイナリーおよびライブラリーには多量のディスク・スペースが必要になることがあります。これらのファイルをインストールしようとしているファイル・システムに十分なディスク・スペースがあることを確認する必要があります。各 Tivoli Access Manager コンポーネントまたはシステムがセキュア・ドメインに追加されるため、追加のディスク・スペースが必要になります。Tivoli

Access Manager ソフトウェアを将来インストールできる十分な使用可能ディスク・スペースがあることを確認してください。

このセクションには、以下が含まれています。

v 33ページの『Tivoli Access Manager Base コンポーネント』

v 35ページの『Tivoli Access Manager Web Security コンポーネント』

注: 以下の表には、Tivoli Access Manager コンポーネントだけのディスク・スペースおよびメモリー所要量をリストします。オペレーティング・システムまたはWeb サーバーの見積もり (プラグインをインストールする場合) などの追加の所要量も考慮する必要があることを忘れないでください。

システム要件


Tivoli Access Manager Base コンポーネント表 5. Base コンポーネント— ディスク・スペースおよびメモリー所要量

コンポーネント最小ディスク・スペース(MB)

お勧めするディスク・スペース

(MB)

ACL データベース用ディスク・スペース

(MB)

ログ・ファイル用追加ディスク・スペース

(MB)

最小メモリー

(MB)

お勧めするメモリー

(MB)

追加ドメイン当たりメモリー

Access Manager

Application

Development Kit

3 5 — — — — —

Access Manager

Authorization Server2 4 15 2 5 30 40 —

Access Manager Java

Runtime Environment8 10 — — — — —

Access Manager

Policy Proxy Server1 2 — 40 —

Access Manager

Policy Server2 4 5 1, 2 10 1 30 40 5 2

Access Manager

Runtime36 40 — — — — —

Access Manager

Web Portal Manager1 2 — — 35 3 70 4 —

Global Security Kit 18 20 — — — — —

IBM Tivoli Directory

Client46 50 — — 6 6


Server (including

prerequisite software)

145 7 245 7 — 10 256 5 512—1GB 5 —

IBM WebSphere

Application Server、バージョン 5.0.2

552 552 — — 256 512 —

システム要件


表 5. Base コンポーネント— ディスク・スペースおよびメモリー所要量 (続き)

コンポーネント最小ディスク・スペース(MB)


(MB)


(MB)


(MB)

最小メモリー

(MB)


(MB)


注:1 サイズはデフォルト・ドメインのみのものです。それぞれの追加ドメインごとに、お勧めするディスク・スペースをこの大きさだけ増やしてください。2 これは、10 個のオブジェクト・スペースに均等に分散した、10,000 個のオブジェクトをもつ ACL データベースおよびそのオブジェクトの 10% に接続された約 30 個の ACL に対しての大よその所要量に基づいています。ポリシー・サーバーを除いて、バックアップ・コピーおよび複製時に作成される追加のコピーのためにサイズは 3

倍になります。3 WPM の最小値は、それぞれの接続されたブラウザーごとのメモリー所要量を表します。4 WPM のこの推奨値は、2 つブラウザーが接続された場合のものです。5 256MB (最小) および 512MB-1GB (推奨値) メモリーは、Tivoli Access Manager ユーザー数が百万未満の場合です。ユーザー数が百万を超える場合には、この大きさを 512 (最小) および 1GB-2GB (推奨値) メモリーに増やしてください。6 IBM Tivoli Directory Client のメモリー所要量は、それを使用するサーバーのメモリー所要量に含まれています。7 IBM Tivoli Directory Server の見積もりには、空のデータベースが含まれています。Tivoli Access Manager ユーザー当たりさらに 10KB 追加します。

システム要件


Tivoli Access Manager Web Security コンポーネント表 6. Web Security コンポーネント— ディスク・スペースおよびメモリー所要量コンポーネント最小

ディスク・スペース

(MB)


(MB)


(MB)


(MB)

最小メモリー(MB)


(MB)


Access Manager

WebSEAL20 25 15 1 200 2 80 250 3 —

Access Manager

WebSEAL

Application

Development Kit

3 5 — — — — —

Access Manager for

WebLogic Server2 4 — 5 64 128 —

Access Manager for

WebSphere2 4 — 5 64 128 —

Access Manager

Plug-in for IBM

HTTP Server

15 25 15 1 10 60 120 —

Access Manager

Plug-in for Apache

Web Server

15 25 15 1 10 60 120 —

Access Manager

Plug-in for Sun ONE

Web Server

15 25 15 1 10 70 140 —

Access Manager

Plug-in for Internet

Information Services

15 25 15 1 10 165 225 —

Access Manager

Attribute Retrieval

Service

6 10 — — 10 14 —

Access Manager

Plug-in for Edge

Server

15 25 15 1 10 15 30 —

注:1 これは、10 個のオブジェクト・スペースに均等に分散した、10,000 個のオブジェクトをもつ ACL データベースおよびそのオブジェクトの 10% に接続された約 30 個の ACL に対しての大よその所要量に基づいています。ポリシー・サーバーを除いて、バックアップ・コピーおよび複製時に作成される追加のコピーのためにサイズは 3 倍になります。

2 これには、www (Web サーバーがアクセスする) ログのスペースも含まれています。3 デフォルトのキャッシュの増大が最大の場合のメモリーが含まれています。キャッシュ・パラメーターを大きくした場合この大きさを増やしてください。

システム要件


必須パッチを含む、サポートされるプラットフォーム表 7 には、サポートされるオペレーティング・システムの必須パッチまたはサービス・レベルをリストします。

注: SuSE Linux は、UnitedLinux 1.0 に基づく製品をもつ 4 つのパートナー会社の1 つです。その他の会社は、SCO Group、Turbolinux、および Conectiva です。SuSe Linux Enterprise Server (SLES) がサポートされるとしてリストされている場合には、UnitedLinux 1.0 サポートに基づく他のパートナー会社の製品も同様にサポートされます。詳しくは、UnitedLinux の Web サイトを参照してください。


表 7. テーブル 1. サポートされるオペレーティング・システム・プラットフォームが必要とするパッチ

オペレーティング・システム・プラットフォーム

Tivoli Access Manager 5.1 がサポートされるシステム

必須パッチまたはサービス・レベル

AIX 4.3.3

v 開発 (ADK)

v Java ランタイム環境

v ランタイム

最新のパッチおよび以下のもの:

v bos.rte.libpthreads (レベル4.3.3.51 以上の)

v xlC.rte (6.0.0.0 C Set ++ Runtime)

v xlC.aix43.rte (6.0.0.3 C Set ++

Runtime)

AIX 5.1

v Attribute Retrieval Service

v 許可サーバー

v 開発 (ADK)


v Plug-in for Edge Server、バージョン 5.1

v Plug-in for IBM HTTP Server、バージョン 1.3.26

v Plug-in for Sun ONE Web Server、バージョン 6.0

v ポリシー・サーバー

v ポリシー・プロキシー・サーバー

v ランタイム

v Tivoli Access Manager for

WebLogic


WebSphere

v Web Portal Manager

v WebSEAL サーバー

v WebSEAL 開発 (ADK)

保守レベル 4 以上および以下のもの:


v xlC.aix50.rte (6.0.0.3 以上 C Set

++ Runtime)

システム要件



表 7. テーブル 1. サポートされるオペレーティング・システム・プラットフォームが必要とするパッチ (続き)




AIX 5.2



v 開発 (ADK)







v ランタイム


WebSphere




保守レベル 1 以上

AIX 5200-01 保守パッケージおよび以下のもの:


v xlC.aix50.rte (6.0.0.3 C Set ++

Runtime)

v bos.rte.libc (5.2.0.12)

HP-UX 11.0



v 開発 (ADK)




v ランタイム


WebLogic (BEA WebLogic Server、バージョン 7.0 のみ)




v XSWGR-1100

v PHKL_25475

v PHSS_26945 以上

v PHSS_25091

v 特定言語の場合のみ:

– 日本語: PHSS_26972

– 韓国語:PHSS_26974

– 中国語 (簡体字): PHSS_26976

– 中国語 (繁体字):PHSS_24937

システム要件






HP-UX 11i



v 開発 (ADK)




v ランタイム


WebLogic (BEA WebLogic Server、バージョン 7.0 のみ)


WebSphere




v PHCO_24400

v PHCO_24402

v PHSS_25092

v PHSS_26946

v 特定言語の場合のみ:

– 日本語: PHSS_26971

– 韓国語:PHSS_26973

– 中国語 (簡体字):PHSS_24975

– 中国語 (繁体字):PHSS_26977

Red Hat Enterprise Linux 2.1


GSKit iKeyman ユーティリティー(gsk7ikm) をインストールする場合のみ以下のパッチが必要になります。

pdksh-5.2.14-13.i386.rpm

Red Hat Enterprise Linux 3.0


v 開発 (ADK)




v ランタイム



なし

システム要件






SuSE SLES8 for IA32



v 開発 (ADK)





v ランタイム


WebSphere




libstdc++-3.2.2-5


v SuSE SLES8 for zSeries (64 ビット・システム)



v 開発 (ADK)


v Plug-in for Apache Web Server、バージョン 1.3.26-36 (mod SSL 付き)(31 ビットのみ)




v ランタイム


WebSphere




サポートされるカーネル・レベル:

v 31 ビット: k_deflt-2.4.19-32

v 64 ビット・カーネル:

k_deflt-2.4.19-34

Service Pack 2 アップデート:


– k_deflt-2.4.19-79


– k_deflt-2.4.19-80

SuSE SLES8 for pSeries およびiSeries

v 開発 (ADK)


v ランタイム


サポートされるカーネル・レベル:

v kernel-iseries64-2.4.19-104

v kernel-ppc64-2.4.19-108

Service Pack 1 アップデート:

v kernel-iseries64-2.4.19-194

v kernel-ppc64-2.4.19-186

システム要件






Solaris オペレーティング環境 7

v 開発 (ADK)


v ランタイム

32 ビット・パッケージ:

v 106327-18

v 106541-24

v 106950-22

v 106980-22

v 107544-03


v 106300-19

v 106327-18

v 106541-24

v 107544-03

v 106950-22

v 106980-22




v 開発


v Plug-in for Apache Web Server、バージョン 1.3.27 (mod SSL 付き)






v ランタイム


WebLogic


WebSphere





v 109147-15

v 108434-05

v 108528-24

v 108827-40

v 111327-02

v SUNWuiu8

v SUNWjiu8


v 109147-15

v 108434-05

v 108435-06

v 108528-24

v 108827-40

v 111327-02

v SUNWuiu8

v SUNWjiu8

システム要件









v 開発 (ADK)


v Plug-in for Apache Web Server、バージョン 1.3.27 (mod SSL 付き)






v ランタイム


WebLogic


WebSphere (バージョン 5.0.2 のみ)




11711-06

Windows NT 4.0

v 開発 (ADK)


v ランタイム

Service Pack 6a

Windows XP および 2000 Pro

v 開発 (ADK)


v ランタイム

なし

システム要件






Windows 2000 Server およびAdvanced Server



v 開発 (ADK)



v Plug-in for Internet Information




v ランタイム


WebLogic


WebSphere




Service Pack 3

Windows 2003 Standard Server およびEnterprise Server



v 開発 (ADK)


v Plug-in for Internet Information




v ランタイム

v Windows 2003 Enterprise Server での Tivoli Access Manager for

WebSphere (バージョン 5.0.2 のみ)




この時点では、特定のパッチはありません。

システム要件


後方互換性以下の Tivoli Access Manager コンポーネントは、バージョン 5.1 ポリシー・サーバーまたは許可サーバーと情報の受け渡しができます。

v Access Manager Runtime、バージョン 3.8、3.9、4.1、および 5.1

v Access Manager Java Runtime Environment、バージョン 3.9、4.1、および 5.1

注:

1. サーバーは通信にランタイムを使用するため、サーバーは後方互換です。

2. 単一システム上のすべてのコンポーネントは、同じバージョンでなければなりません。

3. ユーザー・レジストリーとして Active Directory または Lotus Domino を使用する場合、すべての Tivoli Access Manager コンポーネントはバージョン 5.1 レベルでなければなりません。

Tivoli Access Manager、バージョン 3.9 および 4.1 アプリケーションについてTivoli Access Manager、バージョン 5.1 がサポートするバイナリー後方互換性は、以下のとおりです。

v Access Manager Runtime、バージョン 5.1 は、すべてのプラットフォーム (Solaris

を除く) の Tivoli Access Manager、バージョン 4.1 および 3.9 ADK に対してコンパイルされたアプリケーションをサポートします。

v Access Manager Runtime、バージョン 5.1 for Solaris は、Tivoli Access

Manager、バージョン 4.1 ADK のみに対してコンパイルされたアプリケーションをサポートします。

システム要件


ハードウェア・アクセラレーション・カード・サポート表 8 には、Tivoli Access Manager WebSEAL、バージョン 5.1 を使用して正常に実行することが検証されたプラットフォーム固有のハードウェア・アクセラレーター・カードをリストします。

表 8. ハードウェア・アクセラレーション・カード・サポート

オペレーティング・システムサポートされるハードウェア・アクセラレーション・カード

AIX 5.1 v nCipher nForce 300 RSA BSAFE、バージョン 5.32

v nCipher nForce 300 PKCS#11、バージョン 5.32

v IBM 4758-023 PKCS#11、バージョン 2.41

v Eracom Orange PKCS#11、バージョン 2.11

v IBM 4960 PKCS#11、バージョン 5.1.0.25

AIX 5.2 v IBM 4758-023 PKCS#11、バージョン 2.41


v IBM 4960 PKCS#11、バージョン 5.1.0.25

HP-UX 11 Rainbow Crypto Swift RSA BSAFE、バージョン 3.2.0

HP-UX 11i サポートされません

Red Hat Enterprise Linux 3.0 v Eracom Orange PKCS#1、バージョン 2.11

SuSE SLES8 for IA32 v Eracom Orange PKCS#11、バージョン 2.11

SuSE SLES8 for zSeries (31 ビット・ネイティブおよび 64 ビット・ネイティブでの 31 ビット互換モード) および S/390 (31 ビット・ネイティブ)

v PCICA - zSeries フィーチャー・コード 0862

v PCICC - zSeries フィーチャー・コード 0861、S/390

フィーチャー・コード 0860

Solaris 8 v Rainbow Crypto Swift RSA BSAFE、バージョン 3.2.0

v nCipher nForce 300 RSA BSAFE、バージョン 8.0



Solaris 9 v nCipher nForce 300 RSA BSAFE


Windows 2000 Server およびAdvanced Server

v Rainbow Crypto Swift RSA BSAFE、バージョン 3.2.0

v nCipher nForce 300 RSA BSAFE、バージョン 8.0


v IBM 4758-023 PKCS#11、バージョン 2.41


Windows 2003 Standard Server および Enterprise Server

サポートされません

カードに付属している説明を使用して、WebSEAL が実行するマシンに該当ベンダーのデバイス・ドライバーをインストールしてください。BSAFE カードの場合には、WebSEAL に追加の構成は必要ありません。GSKit は、カードを自動的に検出

システム要件


します。したがって、GSKit (WebSEAL などの) を使用する Tivoli Access Manager

コンポーネントはいずれもアクセラレーションを自動的に使用します。PKCS#11 カードの場合には、WebSEAL 構成ファイル内の PKCS#11 ディレクティブを使用して、WebSEAL を使用可能にして PKCS#11 を使用する必要があります。

システム要件


第 3 章国際化対応

本章では、Tivoli Access Manager セキュア・ドメインの国際化対応フィーチャーを説明します。このセクションには、以下のトピックが含まれています。

v 48ページの『言語サポートの概要』

v 49ページの『言語サポート・パッケージをインストールする』

v 51ページの『IBM Tivoli Directory Server の言語パッケージをインストールする』

v 53ページの『言語サポート・パッケージをアンインストールする』

v 54ページの『ロケール環境変数』

v 56ページの『メッセージ・カタログ』

v 57ページの『テキスト・エンコード (コード・セット) サポート』

重要言語固有の制限や制約事項については、「IBM Tivoli Access Manager for

e-business リリース情報」の国際化対応セクションを必ず検討してください。


言語サポートの概要Tivoli Access Manager ソフトウェアは、以下の言語に翻訳されています。

v ブラジル・ポルトガル語

v チェコ語

v 中国語 (簡体字)

v 中国語 (繁体字)

v フランス語

v ドイツ語

v ハンガリー語

v イタリア語

v 日本語

v 韓国語

v ポーランド語

v スペイン語

v ロシア語

これらの言語の翻訳は、言語サポート・パッケージとして各製品の IBM Tivoli

Access Manager Language Support CD に収納されています。Tivoli Access Manager

の言語サポートを入手するには、該当製品の言語サポート・パッケージをインストールする必要があります。

インストール・ウィザードを使用して Tivoli Access Manager をインストールする場合、ユーザーのネイティブ言語で構成メッセージを見ることができるように、Tivoli Access Manager をインストールする前に言語パッケージをインストールする必要があることを忘れないでください。ネイティブ・インストール・ユーティリティーの場合、Tivoli Access Manager コンポーネントをインストールした後それらのコンポーネントを構成する前に言語パッケージをインストールしてください。言語サポート・パッケージをインストールしない場合、関連製品のすべてのテキストは英語で表示されます。

注: 各言語は、別個にインストール可能な製品インストール・イメージです。

製品の言語サポートをインストールしてその製品をアップグレードする場合、対応する言語サポート製品が存在する場合には、その製品もインストールする必要があります。特定の製品のアップグレード資料を参照して、言語サポートが必要かどうかを判断してください。アップグレードした後言語サポートをインストールしない場合、関連製品のフィールドやメッセージの一部が英語で表示される場合があります。

国際化対応


言語サポート・パッケージをインストールするTivoli Access Manager の言語サポート・パッケージをインストールするには、以下のステップに従ってください。

1. root としてかまたは管理ユーザーとしてログオンします。

2. ユーザーの特定のオペレーティング・システム用の IBM JRE 1.3.1 をインストールします。説明については、以下のいずれかを参照してください。

v AIX システムの場合、301 ページを参照してください。

v HP-UX システムの場合、302 ページを参照してください。

v Linux システムの場合、302 ページを参照してください。

v Solaris システムの場合、303 ページを参照してください。

v Windows システムの場合、304 ページを参照してください。

3. IBM Tivoli Access Manager Language Support CD を挿入するかまたはマウントして、この CD があるロケーションの root ディレクトリーに移動する。

注: HP-UX では、pfs_mountd コマンドを使用して CD をマウントしてください。

4. インストールしたい Tivoli Access Manager 製品に応じて、以下のセットアップ・スクリプトの 1 つ以上を実行する。

重要

v UNIX システムの場合、スクリプトが使用されます。Windows システムの場合、バッチ・ファイル (.bat 拡張子) が使用されます。

v jre_path を指定せずに、スクリプトを発行する場合、Java 実行可能ファイルが PATH ステートメントに含まれていることを確認する必要があります。そのようになっていない場合、次のように jre_path を指定したスクリプトを発行してください。

package jre_path

たとえば、Tivoli Access Manager Base の言語パッケージをインストールするには、次のコマンドを入力します。

install_pdrte_lp /usr/bin

ここで、/usr/bin は JRE へのパスです。

言語パッケージは、以下のとおりです。

install_pdrte_lp Tivoli Access Manager Base の言語パッケージのインストールを指定します。

install_pdjrte_lp Tivoli Access Manager Java ランタイム環境の言語パッケージのインストールを指定します。

install_pdwas_lp WebSphere Application Server の言語パッケージのインストールを指定します。

国際化対応

第 3 章国際化対応 49

install_pdwbpi_lp Tivoli Access Manager Plug-in for Web Servers

の言語パッケージのインストールを指定します。

install_pdwpm_lp Tivoli Access Manager Web Portal Manager の言語パッケージのインストールを指定します。

install_pdwls_lp Tivoli Access Manager for WebLogic Server の言語パッケージのインストールを指定します。

install_pdwsl_lp Tivoli Access Manager Plug-in for Edge Server

の言語パッケージのインストールを指定します。

install_pdweb_lp Tivoli Access Manager WebSEAL の言語パッケージのインストールを指定します。

install_wbrte_lp Tivoli Access Manager Web Security Runtime の言語パッケージのインストールを指定します。

5. 「次へ」をクリックしてインストールを開始します。「ソフトウェア使用許諾契約書 (Software License Agreement)」ダイアログが表示されます。

6. ご使用条件を受諾する場合、「使用条件の条項に同意します。(I accept theterms in the license agreement)」を選択してから「次へ」をクリックします。言語パッケージのリストを示すダイアログが表示されます。

7. インストールしたい言語パッケージを選択して、「次へ」をクリックします。選択した言語パッケージのロケーションとフィーチャーを示すダイアログが表示されます。

8. 選択した言語パッケージを受諾するには、「次へ」をクリックします。選択した言語パッケージがインストールされます。

9. Tivoli Access Manager 言語パックのインストールが正常に完了した後で、「完了」をクリックしてウィザードをクローズしてシステムを再始動します。

国際化対応


IBM Tivoli Directory Server の言語パッケージをインストールするTivoli Access Manager ソフトウェアの言語パッケージのインストールに加え、IBM

Tivoli Directory の言語パッケージをインストールする必要があります。これらの言語パッケージは、サポートされるプラットフォームの IBM Tivoli Access Manager

Language Support CD に収納されています。

1. 前提条件の言語パッケージをインストールするには、以下のいずれかをします。

v AIX システムで、以下をします。

a. IBM Tivoli Access Manager Language Support for AIX CD を挿入して、それをマウントします。

b. 以下のパッケージをインストールします。

installp -c -a -g -X -d cd_mount_point/usr/sys/inst.images packages

ここで、cd_mount_point/usr/sys/inst.images は、CD がマウントされたディレクトリーで、パッケージは以下のとおりです。

ldap.html.lang

IBM Tivoli Directory の資料を指定します。

ldap.msg.lang

IBM Tivoli Directory メッセージを指定します。

また、lang は言語ファイルの省略語です。

たとえば、イタリア語の IBM Tivoli Directory の資料をインストールするには、以下を入力します。

installp -cagXd cd_mount_point/usr/sys/inst.images ldap.html.it_IT

ここで、cd_mount_point/usr/sys/inst.images は、CD がマウントされたディレクトリーです。

v xSeries システム上の Linux および zSeries システム上の Linux で、以下をします。

a. IBM Tivoli Access Manager Language Supportfor Linux on xSeries or Linux

on zSeries CD を挿入して、それをマウントする。

注: zSeries 上の Linux ユーザー: CD の Linux rpm ファイルへのアクセス権を最初に取得する必要があります。

b. /mnt/cdrom/series ディレクトリーに移動する。ここで、/mnt/cdrom は、CD のマウント・ポイントで、series は、xSeries または zSeries を指定します。

c. 以下のパッケージをインストールします。

rpm -ihv packages

ここで、packages は以下のとおりです。

xSeries 上の Linux zSeries 上の Linux

ldap-html-lang-5.2-1.s390.rpm ldap-html-lang-5.2-1.i386.rpm

ldap-html-lang-5.2-1.s390.rpm ldap-html-lang-5.2-1.i386.rpm


国際化対応


v Solaris システムで、以下をします。

a. IBM Tivoli Access Manager Language Support for Solaris CD を挿入します。

b. 以下のパッケージをインストールします (一度に 1 つずつ)。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault packages

ここで、/solaris ディレクトリーに入っている、packages は以下を指定します。

IBMldilang IBM Tivoli Directory の資料を指定します。

IBMldmlang IBM Tivoli Directory メッセージを指定します。


たとえば、日本語の IBM Tivoli Directory メッセージをインストールするには、以下を入力します。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldmJa

ここで、-d /cdrom/cdrom0/solaris はパッケージのロケーションを指定し、-a /cdrom/cdrom0/solaris/pddefault はインストール管理スクリプトのロケーションを指定します。

国際化対応


言語サポート・パッケージをアンインストールする言語サポート・パッケージをアンインストールするには、以下のステップに従ってください。

1. 以下のディレクトリーのいずれかに移動する。

v UNIX システムでは:

/opt/location

v Windows システムでは:

C:¥Program Files¥location

ここで、location は以下のとおりです。

PDBLP/Lp_uninst Tivoli Access Manager Base の言語パッケージのロケーションを指定します。

PDJrtLP/lp_uninst Tivoli Access Manager Java ランタイム環境の言語パッケージのロケーションを指定します。

PDWasLP/lp_uninst WebSphere Application Server の言語パッケージのロケーションを指定します。

PDWpiLP/lp_uninst Tivoli Access Manager Plug-in for Web Servers

の言語パッケージのロケーションを指定します。

PDWpmLP/lp_uninst Tivoli Access Manager Web Portal Manager の言語パッケージのロケーションを指定します。

PDWlsLP/lp_uninst Tivoli Access Manager for WebLogic Server の言語パッケージのロケーションを指定します。

PDWslLP/lp_uninst Tivoli Access Manager for Plug-in for Edge

Server の言語パッケージのロケーションを指定します。

PDWebLP/lp_uninst Tivoli Access Manager WebSEAL の言語パッケージのロケーションを指定します。

PDWebLP/lp_uninst Tivoli Access Manager Web Security Runtime の言語パッケージのロケーションを指定します。

2. 言語サポート・パッケージをアンインストールするには、以下のいずれかを入力します。


jre_path/java -jar package


jre_path¥java -jar package

ここで、jre_path は Java 実行可能ファイルのロケーションへのパスで、package

は以下のいずれかです。

注: Java 実行可能ファイルがそのパスにある場合、jre_path を指定する必要はありません。

国際化対応


pdrte_lp_uninstall.jar Tivoli Access Manager Base の言語パッケージを指定します。

pdjrte_lp_uninstall.jar Tivoli Access Manager Java ランタイム環境の言語パッケージを指定します。

pdwas_lp_uninstall.jar WebSphere Application Server の言語パッケージを指定します。

pdwpi_lp_uninstall.jar Plug-in for Web Servers の言語パッケージを指定します。

pdwpm_lp_uninstall.jar Tivoli Access Manager Web Portal Manager の言語パッケージを指定します。

pdwls_lp_uninstall.jar Tivoli Access Manager for WebLogic Server の言語パッケージを指定します。

pdweb_lp_uninstall.jar Tivoli Access Manager WebSEAL Server の言語パッケージを指定します。

pdwpm_lp_uninstall.jar Tivoli Access Manager Web Security Runtime の言語パッケージを指定します。

ロケール環境変数大部分の現行オペレーティング・システムと同様に、望ましいロケールを指定することによってローカライズされた動作が得られます。Tivoli Access Manager ソフトウェアの場合、POSIX、X/Open、または他のオープン・システム標準によって指定される望ましいロケール名に LANG 環境変数を設定します。

注: Windows 環境の場合、「コントロールパネル」の「地域設定 (RegionalSettings)」の言語設定を選択して変更できます。

LANG 環境変数を指定して地域設定を変更した場合、LANG 環境変数は地域設定をオーバーライドします。

オープン・システム標準によって指定されるように、他の環境変数は一部またはすべてのロケール・カテゴリーの LANG をオーバーライドします。これらの変数には、以下のものが含まれます。

v LC_CTYPE

v LC_TIME

v LC_NUMERIC

v LC_MONETARY

v LC_COLLATE

v LC_MESSAGES

v LC_ALL

上記の変数のいずれかが設定された場合、すべて有効にするには LANG 変数の設定を除去する必要があります。

国際化対応


UNIX システムでの LANG 変数大部分の UNIX システムは、LANG 変数を使用して望ましいロケールを指定します。しかし、異なる UNIX オペレーティング・システムが同じ言語を指定する場合異なるロケール名が必要になります。使用している UNIX オペレーティング・システムがサポートする LANG の値を必ず使用してください。

ご使用の UNIX システムのロケール名を入手するには、以下を入力します。

locale -a

Windows システムでの LANG 変数大部分のオペレーティング・システムは、LANG 環境変数を使用しません。しかし、Tivoli Access Manager ソフトウェアは、LANG を使用して望ましい言語を決めます。そうするには、ISO 言語またはコード・セット・サフィックスのない地域コードに基づいた正規のロケール名に LANG を設定してください。以下に例を示します。

v fr は、標準フランス語のロケールです。

v ja は、日本語のロケールです。

v pt_BR は、ブラジル・ポルトガル語のロケールです。

v C は、C ロケールの英語のロケールです。

Windows システムで、LANG を設定しない場合、Access Manager Runtime をインストールすると、LANG に以下の変数が設定されます。

case ISLANG_CZECH : lang = "CSCZ1250";case ISLANG_FRENCH_STANDARD: lang = "FrFr1252";case ISLANG_GERMAN : lang = "DeDe1252";case ISLANG_SPANISH : lang = "ESES1252";case ISLANG_ITALIAN : lang = "ITIT1252";case ISLANG_PORTUGUESE_BRAZILIAN : lang = "PTBR1252";case ISLANG_POLISH : lang = "PLPL1250";case ISLANG_CHINESE_TAIWAN : lang = "ZHTW950";case ISLANG_CHINESE_PRC : lang = "ZHCN936";case ISLANG_JAPANESE : lang = "JaJp932";case ISLANG_KOREAN : lang = "KoKr949";case ISLANG_RUSSIAN : lang = "RuRu1251" ;case ISLANG_HUNGARIAN : lang = "HuHu1250";default : lang = "enus1252";

ロケールの変形を使用するTivoli Access Manager ソフトウェアがそれぞれの言語ごとに提供しているのは 1

つの翻訳バージョンのみですが、ユーザーは好きなロケールの変形を使用でき、Tivoli Access Manager が対応する言語翻訳を見付けます。たとえば、Tivoli Access

Manager にはフランス語の 1 つの翻訳がありますが、以下のロケール設定のそれぞれは該当する翻訳を見付け出します。

v fr は、標準フランス語のロケール名です

v fr_FR は、フランスのフランス語のロケール名です

v fr_CA は、カナダのフランス語のロケール名です

v fr_CH は、スイスのフランス語のロケール名です

国際化対応


メッセージ・カタログメッセージ・カタログは、msg サブディレクトリーに典型的にインストールされて、これらメッセージ・カタログのそれぞれは、以下のとおり、言語固有のサブディレクトリーの下にインストールされます。


/opt/PolicyDirector/nls/msg/locale


install_dir/nls/msg/locale

Tivoli Access Manager は、UNIX ロケール名での差異を認識して、指定した値を該当のメッセージ・カタログに通常マップすることができます。

NLSPATH 変数は、オープン・システム標準によって指定されるとおり、該当のメッセージ・カタログ・ディレクトリーを見付けるために使用されます。たとえば、メッセージ・カタログが /opt/PolicyDirector/nls/msg にある場合、NLSPATH 変数は以下のものに設定されます。

/opt/PolicyDirector/nls/msg/%L/%N.cat:/opt/PolicyDirector/nls/msg/%L/%N

注: Windows の場合、分離文字として、(:) の代わりにセミコロン (;) を使用します。

%L ディレクティブは、現行のユーザー言語選択に最もぴったり一致するメッセージ・カタログ・ディレクトリーに展開され、%N.cat は望ましいメッセージ・カタログに展開します。

望ましい言語のメッセージ・カタログが見付からない場合、英語 C メッセージ・カタログが使用されます。

たとえば、以下のように、スイスのドイツ語の AIX ロケールを指定するとします。

LANG=De_CH.IBM-850

%L ディレクティブは、以下の順序で展開され、指定したロケールのロケーションを見付けます。

1. de_CH

2. de

3. C

Tivoli Access Manager のスイス言語パッケージにドイツ語がないため、de_CH は見付かりません。Tivoli Access Manager のドイツ語言語パッケージがインストールされている場合、de が使用されます。インストールされていない場合、デフォルトのロケール C が使用され、テキストは英語で表示されます。

国際化対応


テキスト・エンコード (コード・セット) サポート異なるオペレーティング・システムは、しばしばテキストを異なる方法でエンコードします。たとえば、Windows システムは、日本語テキストに SJIS (コード・ページ 932) を使用しますが、UNIX システムは、しばしば eucJP を使用します。

さらに、同じマシン上で同じ言語に異なるコード・セットを使用できるように、同じ言語に複数のロケールを与えることができます。これによって、テキストをシステム間で移動したり、異なるロケール環境間で移動するときに問題を引き起こす場合があります。

Tivoli Access Manager は、テキストの内部正規表現として Unicode と UTF-8

(Unicode のマルチバイト形式) を使用することによって、これらの問題に対処します。

メッセージ・カタログは、UTF-8 を使用してエンコードされ、テキストは、ユーザーに表示される前にロケール・エンコードに変換されます。このようにして、同じフランス語メッセージ・カタログ・ファイルを使用して、ISO8859-1、Microsoft

1252、IBM PC 850、および IBM MVS™

1047 などの、種々の Latin 1 コード・セットをサポートできます。

また、UTF-8 を使用してテキストのインターオペラビリティーを実現します。たとえば、CORBA (Common Object Request Broker Architecture) ストリングは、UTF-8

として送信されます。これによって、ローカル・テキスト・エンコードが変わることができる異機種のネットワーク内でリモート管理が可能になります。たとえば、日本語ファイル名は、UNIX 日本語 EUC ロケールで実行するデスクトップから日本語 PC エンドポイントで操作できます。

セキュア・ドメインをまたがってのテキスト・インターオペラビリティーは、Tivoli

オブジェクト・データベース内で UTF-8 としてストリングを保管することによっても実現されます。ストリングは、異なるオペレーティング・システム・コード・セットで実行しているアプリケーションによって表示と操作のためにローカル・エンコードに変換されます。

コード・セット・ファイルのロケーションセキュア・ドメインにまたがってのインターオペラビリティーは、コード・セット・ファイルに依存します。コード・セット・ファイルを使用して UTF-8 変換および他のタイプのエンコード固有のテキスト処理を実行します。これらのファイルは、以下のディレクトリーにインストールされます。


/opt/PolicyDirector/nls/msg/locale


install_dir/nls/msg/locale

国際化対応


国際化対応


第 2 部 Base システムのインストール第 4 章レジストリー・サーバーをセットアップする . . . . . . . . . . . . . . . . . 61IBM Tivoli Directory Server をセットアップする . . 62プリインストールの要件 . . . . . . . . . 62インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . 64ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . 66

AIX: IBM Tivoli Directory Server をインストールする . . . . . . . . . . . . . 66HP-U: IBM Tivoli Directory Server をインストールする . . . . . . . . . . . . . 68Linux: IBM Tivoli Directory Server をインストールする . . . . . . . . . . . . . 70Solaris: IBM Tivoli Directory Server をインストールする . . . . . . . . . . . . 72Windows: IBM Tivoli Directory Server をインストールする . . . . . . . . . . . . 74IBM Tivoli Directory Server を構成する . . . 77Tivoli Access Manager 用に IBM TivoliDirectory Server を構成する . . . . . . . 80

IBM z/OS および OS/390 セキュリティー・サーバーをセットアップする . . . . . . . . . . . 87スキーマ・ファイルを更新する . . . . . . . 87サフィックスを追加する . . . . . . . . . 87LDAP 用に Tivoli Access Manager を構成する . 89ネイティブ認証ユーザー管理 . . . . . . . 90

Lotus Domino をセットアップする. . . . . . . 92Domino の Tivoli Access Manager 管理ユーザーを作成する . . . . . . . . . . . . . 92Lotus Notes クライアントを Domino Server にインストールする . . . . . . . . . . . . 94

Microsoft Active Directory をセットアップする . . 96Active Directory の考慮事項 . . . . . . . . 96Active Directory ドメインを作成する . . . . . 97Active Directory ドメインを結合する . . . . . 97Active Directory 管理ユーザーを作成する . . . 100Active Directory の複製 . . . . . . . . . 101

Novell eDirectory をセットアップする . . . . . 103Novell eDirectory の使用時 . . . . . . . . 104

Sun ONE Directory Server をセットアップする . . 106

第 5 章ポリシー・サーバーをセットアップする 111インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 111ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 112

AIX: ポリシー・サーバーをインストールする 112HP-UX: ポリシー・サーバーをインストールする 114Linux: ポリシー・サーバーをインストールする 116Solaris: ポリシー・サーバーをインストールする 117

Windows: ポリシー・サーバーをインストールする . . . . . . . . . . . . . . . . 119

第 6 章許可サーバーをセットアップする . . . 121インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 121ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 122

AIX: 許可サーバーをインストールする . . . . 122HP-UX: 許可サーバーをインストールする . . . 123Linux: 許可サーバーをインストールする . . . 124Solaris: 許可サーバーをインストールする . . . 126Windows: 許可サーバーをインストールする . . 127

第 7 章開発 (ADK) システムをセットアップする 129インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 129ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 130

AIX: 開発 (ADK) システムをインストールする 130HP-UX: 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . 131Linux: 開発 (ADK) システムをインストールする 132Solaris: 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . . 133Windows: 開発 (ADK) システムをインストールする . . . . . . . . . . . . . . . 135

第 8 章 Java Runtime Environment システムをセットアップする . . . . . . . . . . . . 137インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 137ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 138

AIX: Java Runtime Environment システムをインストールする . . . . . . . . . . . . 138HP-UX: Java Runtime Environment システムをインストールする . . . . . . . . . . . . 139Linux: Java Runtime Environment システムをインストールする . . . . . . . . . . . . 140Solaris: Java Runtime Environment システムをインストールする . . . . . . . . . . . . 141Windows: Java Runtime Environment システムをインストールする . . . . . . . . . . . 142

第 9 章ポリシー・プロキシー・サーバーをセットアップする . . . . . . . . . . . . . . 145インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 145ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 146


AIX: ポリシー・プロキシー・サーバーをインストールする . . . . . . . . . . . . . 146HP-UX: ポリシー・プロキシー・サーバーをインストールする . . . . . . . . . . . . 147Linux: ポリシー・プロキシー・サーバーをインストールする . . . . . . . . . . . . 148Solaris: ポリシー・プロキシー・サーバーをインストールする . . . . . . . . . . . . 150Windows: ポリシー・プロキシー・サーバーをインストールする . . . . . . . . . . . . 151

第 10 章ランタイム・システムをセットアップする . . . . . . . . . . . . . . . . . 153インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 153ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 155

AIX: ランタイム・システムをインストールする 155HP-UX: ランタイム・システムをインストールする . . . . . . . . . . . . . . . . 156Linux: ランタイム・システムをインストールする . . . . . . . . . . . . . . . . 157Solaris: ランタイム・システムをインストールする . . . . . . . . . . . . . . . . 158Windows: ランタイム・システムをインストールする . . . . . . . . . . . . . . . 159

第 11 章 Web Portal Manager システムをセットアップする . . . . . . . . . . . . . 161インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 161ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 164

AIX: Web Portal Manager システムをインストールする . . . . . . . . . . . . . . . 164HP-UX: Web Portal Manager システムをインストールする . . . . . . . . . . . . . 166Linux: Web Portal Manager システムをインストールする . . . . . . . . . . . . . . 168Solaris: Web Portal Manager システムをインストールする . . . . . . . . . . . . . . 171Windows: Web Portal Manager システムをインストールする . . . . . . . . . . . . . 173


第 4 章レジストリー・サーバーをセットアップする

管理ドメインを確立する際の最初のステップは、Tivoli Access Manager と一緒に使用するレジストリー・サーバーをセットアップすることです。サポートされるレジストリーをインストールして構成するには、以下のいずれかをしてください。

v IBM Tivoli Directory Server (Tivoli Access Manager と一緒に出荷される) をインストールして構成するには、 62ページの『IBM Tivoli Directory Server をセットアップする』の説明に従ってください。install_ldap_server インストール・ウィザードを使用して、インストールと構成プロセスを簡素化することをお勧めします。

注: このインストール・ウィザードは、HP-UX では使用できません。

v IBM Tivoli Directory Server 以外のサポートされるレジストリーをインストールするには、その製品の資料を参照してください。サポートされるレジストリーのリストについては、 27ページの『サポートされるレジストリー』を参照してください。

v Tivoli Access Manager のために使用したい既存のレジストリーがある場合、このリリースによってサポートされるバージョンにサーバーを必ずアップグレードしてください。サポートされる他のレジストリーについては、その製品の資料を参照してください。次に本章の説明に従って Tivoli Access Manager と一緒に使用できるようにユーザーのレジストリーを構成してください。

本章に含まれる主なセクションは、以下のとおりです。

v 62ページの『IBM Tivoli Directory Server をセットアップする』

v 87ページの『IBM z/OS および OS/390 セキュリティー・サーバーをセットアップする』

v 92ページの『Lotus Domino をセットアップする』

v 96ページの『Microsoft Active Directory をセットアップする』

v 103ページの『Novell eDirectory をセットアップする』

v 106ページの『Sun ONE Directory Server をセットアップする』


IBM Tivoli Directory Server をセットアップするこのセクションには、ユーザーの Tivoli Access Manager レジストリーとして IBM

Tivoli Directory Server をインストールして構成することについての情報を記載します。以下のインストール方法のいずれかを使用してシステムをセットアップできます。

v 64ページの『インストール・ウィザードを使用してインストールする』

v 66ページの『ネイティブ・ユーティリティーを使用してインストールする』

注: IBM 以外のベンダーからの LDAP の以前のバージョンがある場合には、それを除去してから IBM Tivoli Directory Server をインストールしてください。他のベンダーのバージョンを除去せずに、IBM Tivoli Directory Server をインストールしようとすると、その結果できるファイル名に矛盾が発生して、どちらかのバージョンが作動できなくなる可能性があります。

完全な IBM Tivoli Directory Server の製品資料を入手するには、次の Web アドレスで Product Manuals and Technical Documentation リンクをクリックしてください。

http://www.ibm.com/software/network/help-directory/

注:

v IBM Tivoli Directory Server と IBM DB2 は、サポートされるAIX、HP-UX、Linux、Solaris、および Windows の各プラットフォームの IBM

Tivoli Access Manager Directory Server CD に収納されて出荷されます。

v Web Administration Tool と IBM WebSphere Application Server は、サポートされる AIX、HP-UX、Linux、Solaris、Windows 2000、および Windows 2003 の各プラットフォームの IBM Tivoli Access Manager Web Administration Interfaces CD

に収納されて出荷されます。

プリインストールの要件IBM Tivoli Directory Server をインストールして構成する前に、以下のプリインストール作業 (必要に応じて) を実行する必要があります。これらの要件は、使用しようとしているインストール方法に関係なす。

v DB2 データベース所有者 ID、たとえば、ldapdb2 を作成します。指定するユーザー ID は、DB2 データベースが存在する場所でデータベース・インスタンスを所有します。構成時にこの ID とパスワードの入力を要求するプロンプトが出されます。

注: Windows ユーザーのみ — install_ldap_server インストール・ウィザードを実行する場合、作成する ID は DB2 Administrator ID および DB2 データベース所有者 ID の両方に使用されます。ネイティブ・インストール・ユーティリティーを使用する場合には、別々の ID を作成し、使用することをお勧めします。たとえば、DB2 データベース所有者 ID に ldapdb2 を、DB2 Administrator ID にdb2admin を指定します。

– ユーザー ID は 8 文字以下にします。

– Windows プラットフォームでは、ユーザーはアドミニストレーター・グループのメンバーでなければならず、アドミニストレーター ID と同じドメインになければならない。

レジストリー・サーバーをセットアップする



– UNIX プラットフォームでは、ユーザーはホーム・ディレクトリーを持たなければならず、ホーム・ディレクトリーの所有者でなければならない。

– DB2 データベースが入るロケーションのディレクトリーを選択します。インストール・ウィザードは、Directory Server のデータベース・ホームの下のこのディレクトリーを指定するようにプロンプトを出します。

- DB2 データベース・ディレクトリーのグループ所有権は、DB2 をインストールしたときに作成された DB2 グループである必要があります。AIX および Solaris では、このグループは、通常 dbsysadm という名前にします。zSeries 上の Linux の場合、このグループは、通常 db2iadm1 という名前にします。たとえば、ldapdb2 という名前のユーザーの場合、AIX およびSolaris でのデータベース・ディレクトリーは、ldapdb2:dbsysadm によって所有され、または zSeries 上の Linux の場合 ldapdb2:db2iadm1 によって所有される必要があります。

データベースを構成するときにユーザーの 1 次グループとして正しく機能しないグループが一部ある可能性があります。たとえば、Linux でユーザーの 1

次グループが users である場合、問題が発生する可能性があります。 Linux

で、1 次グループが確実に正しく機能するようにしたい場合には、other を使用する必要があります。

– ユーザー root は、DB2 データベース・ディレクトリーを所有するために選ばれたグループのメンバーでなければならない。root がこのグループのメンバー出ない場合、このグループのメンバーとして root を追加してください。

– 最高の結果を得るためには、ユーザーのログイン・シェルを Korn シェル(/usr/bin/ksh) にする必要があります。

– ユーザーのパスワードを正しく設定して、使用できる状態にしておく必要があります。たとえば、パスワードを有効期限切れにしたり、いかなる種類の最初の検証を待つようにすることはできません。(パスワードが正しく設定されていることを確認する最善の方法は、同じコンピューターに telnet して、そのユーザー ID とパスワードを使用して正常にログインすることです。)

– データベースを構成するとき、データベース・ロケーションとしてユーザーID のホーム・ディレクトリーを指定することは必要ではないが、習慣になっている。しかし、他のロケーションを指定した場合でも、ユーザーのホーム・ディレクトリーには 3 MB から 4 MB の使用可能なスペースがなければなりません。これは、DB2 がリンクを作成し、データベース自体が他のどこにあっても、ファイルをインスタンス所有者 (すなわち、ユーザー) のホーム・ディレクトリーに追加するためです。ホーム・ディレクトリーに十分なスペースがない場合には、十分なスペースを作成するかまたはホーム・ディレクトリーとして別のディレクトリーを指定することができます。

v AIX システムのみで、IBM Tivoli Directory Server、バージョン 5.2 は 64 ビット・ハードウェアおよび 64 ビット・カーネルを必要とします。システムが正しくセットアップされていることを確認するには、以下を検討してください。

– ユーザーの AIX ハードウェアが 64 ビットであることを検証するには、次を入力します。

bootinfo -y

結果が 64 と表示された場合、ハードウェアは 64 ビットです。さらに、コマンド lsattr —El proc0 を入力した場合、コマンドの出力はユーザーのサーバ


第 4 章レジストリー・サーバーをセットアップする 63

ーのプロセッサーのタイプを戻します。以下のいずれかを持っている場合、それは 64 ビットハードウェアです。RS64 I、II、III、IV、POWER3、POWER3 II

または POWER4

– 64 ビット・ハードウェアは、32 または 64 ビット・カーネルのいずれかにすることができます。64 ビット・カーネル (/usr/lib/boot/unix_64) がインストールされて実行していることを検証するには、次のコマンドを入力します。

bootinfo -K

結果が 64 と表示された場合、カーネルは 64 ビットです。しかし、結果が32 と表示された場合、32 ビット・カーネルから 64 ビット・カーネルに切り替える必要があります。そうするには、以下のステップに従ってください。

1. 以下の 64 ビット・パッケージを持っていることを確認します。

bos.64bitbos.mp64

2. 64 ビット・カーネルに切り替えるには、以下のコマンドを入力します。

ln -sf /usr/lib/boot/unix_64 /unixln -sf /usr/lib/boot/unix_64 /usr/lib/boot/unixlslv -m hd5bosboot -ad /dev/ipldeviceshutdown -Fr

– 非同期入出力が使用可能になっていることを確認します。そうするには、以下のコマンドを入力します。

/usr/sbin/mkdev -l aio0/usr/sbin/chdev -l aio0 -P/usr/sbin/chdev -l aio0 -P -a autoconfig=available

インストール・ウィザードを使用してインストールするinstall_ldap_server インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、IBM Tivoli Directory Server システムのセットアップを単純化します。

v IBM DB2 Universal Database、Enterprise Server Edition、バージョン 8.1

v Global Security Kit (GSKit)、バージョン 7



v LDAP パッチ (am_update_ldap.sh)

構成オプションの説明および図を使用してのステップバイステップに指示については、 336ページの『install_ldap_server ウィザードを使用する』を参照してください。

install_ldap_server ウィザードを使用して IBM Tivoli Directory Server システムをインストールして構成するには、以下のステップに従います。

注: IBM Tivoli Directory Server インストール・ウィザードは、HP-UX では使用できません。 IBM Tivoli Directory Server を HP-UX にインストールする場合、68ページの『HP-U: IBM Tivoli Directory Server をインストールする』の説明を参照してください。



1. 62ページの『プリインストールの要件』にリストされている、プリインストール作業を実行します。

2. すべての必要なオペレーティング・システム・パッチがインストールされていることを確認します。詳しくは、 36ページの『必須パッチを含む、サポートされるプラットフォーム』を参照してください。

3. 英語 (デフォルト) 以外の言語で状況とメッセージを表示するには、インストール・ウィザードを実行する前に言語サポート・パッケージをインストールする必要があります。説明については、 51ページの『IBM Tivoli Directory Server の言語パッケージをインストールする』を参照してください。

4. Windows システムでのみ、すべての実行中のプログラムを終了します。

5. サンプル SSL LDAP 鍵格納ファイル (am_key.kdb) は、インストール時にユーザーのシステムにコピーされる。am_key.kdb ファイルを使用して、ユーザーのポリシー・サーバーと LDAP サーバーとの間の SSL サポートを使用可能にします。異なる SSL 鍵格納ファイルを使用して SSL を使用可能にする場合には、必ず SSL 鍵格納ファイルをこのシステム上のディレクトリーに手動でコピーしてください。

注: am_key.kdb ファイルは、評価目的だけのものであり、実稼働環境で使用されるためのものではありません。am_key.kdb ファイルのデフォルトのパスワードは、key4ssl (小文字) です。

6. IBM JRE 1.3.1 (AIX では 1.3.1.5) がインストール・ウィザードの実行前にインストールされていることを確認します。説明については、301 ページを参照してください。

7. 以下のいずれかをします。

v Solaris のみにインストールする場合、IBM Tivoli Access Manager Directory

Server 1 of 2 for Solaris CD の root ディレクトリーに入っている、install_db2 プログラムを実行します。次に、IBM Tivoli Access Manager

Directory Server 2 of 2 for Solaris CD の root ディレクトリーに入っている、install_ldap_server プログラムを実行します。

v サポートされる AIX、Linux、および Windows の各プラットフォームの場合、ご使用のサポートされるプラットフォームの IBM Tivoli Access Manager

Directory Server CD の root ディレクトリーに入っている、install_ldap_server プログラムを実行します。

インストール・ウィザードは、 336ページの『install_ldap_server ウィザードを使用する』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

8. デフォルトの am_key.kdb 鍵格納ファイルを使用して SSL を使用可能にした場合、ユーザー自身の鍵格納ファイルを作成して SSL を使用可能にするか、またはこの鍵格納ファイルのデフォルトのパスワードを変更することが最後に必要になります。そうするには、GSKit と一緒にインストールされている、iKeyman 鍵管理ユーティリティーを使用できます。説明については、 294ページの『GSKit

iKeyman ユーティリティーをセットアップする』の GSKit iKeyman ユーティリティーのセットアップに関する情報を参照してください。 iKeyman ユーティリティーの使用方法については、「IBM Global Security Kit Secure Sockets Layer

の入門および iKeyman ユーザーズ・ガイド」を参照してください。



install_ldap_server インストール・ウィザードを使用して Tivoli Access Manager

と一緒に使用できるように IBM Tivoli Directory Server をセットアップした後、次のステップは、ポリシー・サーバーをセットアップすることです。説明については、 111ページの『第 5 章ポリシー・サーバーをセットアップする』を参照してください。

ネイティブ・ユーティリティーを使用してインストールする以下のセクションによって、精通したプラットフォーム固有のユーティリティーを使用して IBM Tivoli Directory Server をインストールできます。自動インストール・ウィザードと異なり、それぞれのコンポーネントおよび前提条件ソフトウェアがある場合にはその前提条件ソフトウェアを適切な順序で手動でインストールする必要があります。

ご使用のオペレーティング・システムに適用される指示をすべて実行してください。

v AIX (66 ページ)

v HP-UX (68 ページ)

v Linux (70 ページ)

v Solaris (72 ページ)

v Windows (74 ページ)

AIX: IBM Tivoli Directory Server をインストールするinstallp ユーティリティーを使用して IBM Tivoli Directory Server システムを AIX

にセットアップするには、以下のステップに従います。

注: ポリシー・サーバーとは別のシステムにユーザーのレジストリー・サーバーをインストールすることをお勧めします。

1. root としてログインします。



4. IBM Tivoli Access Manager Directory Server for AIX CD を挿入して、それをマウントします。

5. IBM DB2 をインストールします。そうするには、以下のパッケージをリストした順にインストールします。

installp -cagNYXd cdrom/usr/sys/inst.images packages




db2_08_01.msg.en_US.iso88591db2_08_01.clientdb2_08_01.cnvucsdb2_08_01.repldb2_08_01.db2.rtedb2_08_01.cs.rtedb2_08_01.icutdb2_08_01.sqlprocdb2_08_01.icucdb2_08_01.db2.engndb2_08_01.jhlp.en_US.iso88591db2_08_01.cj

db2_08_01.jdbcdb2_08_01.dasdb2_08_01.db2.samplesdb2_08_01.cadb2_08_01.ch.en_US.iso88591db2_08_01.ccdb2_08_01.conndb2_08_01.convdb2_08_01.ldapdb2_08_01.pextdb2_08_01.essg

6. GSKit をインストールします。説明については、291 ページを参照してください。

7. IBM Tivoli Directory Client をインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images ldap.client ldap.max_crypto_client


8. IBM Tivoli Directory Server をインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images ldap.server ldap.max_crypto_server

9. root ディレクトリーから、次のコマンドを入力して LDAP パッチをインストールします。

am_update_ldap.sh

10. 英語メッセージは、IBM Tivoli Directory Server パッケージを使用して自動的にインストールされます。異なる言語バージョンのメッセージ・ファイルおよび資料を必要とする場合、それらを IBM Tivoli Access Manager Language Support

for AIX CD からインストールしてください。説明については、 51ページの『IBM Tivoli Directory Server の言語パッケージをインストールする』を参照してください。

使用可能な言語バージョンを調べるには、次のコマンドを入力します。

installp -ld cd_mount_point/usr/sys/inst.images | grep ldap

インストール可能な IBM Tivoli Directory Server パッケージのリストが表示されます。

11. インストールが完了すると、システムはインストールの要約を生成します。要約の最後の列にすべてのロードされたファイルについて SUCCESS と表示されていることを確認してください。また、次のコマンドを入力することによって、IBM Tivoli Directory が正常にインストールされたことを確認できます。

lslpp -L | grep ldap

表示された出力は、ldap から始まるすべてのファイルセットをリストします。このリストには、サーバー、クライアント、Web Administration Tool、HTML、およびメッセージ・ファイルセットが含まれます。以下に例を示します。

ldap.client.adt 5.2.0.0 C F Directory SDKldap.client.rte 5.2.0.0 C F Directory Client Runtimeldap.client.cfg 5.2.0.0 C F Directory Server Config GUI



ldap.server.com 5.2.0.0 C F Directory Server Frameworkldap.server.java 5.2.0.0 C F Directory Server Javaldap.server.rte 5.2.0.0 C F Directory Server Runtime

12. LDAP アドミニストレーター DN とパスワードを定義し、次にディレクトリー・データを保管するデータベースを構成します。説明については、 77ページの『UNIX: IBM Tivoli Directory Server を構成する』を参照してください。

13. IBM Tivoli Directory Server のインストール後、Tivoli Access Manager と一緒に使用できるように IBM Tivoli Directory Server を構成する必要があります。説明については、80 ページを参照してください。

14. GSKit iKeyman ユーティリティーを使用してサポートされるレジストリー・サーバーと IBM Tivoli Directory Clients との間の SSL 通信を使用可能にすることをお勧めします。そうするには、以下のステップに従ってください。

a. iKeyman ユーティリティーをセットアップします。説明については、 294ページの『GSKit iKeyman ユーティリティーをセットアップする』を参照してください。

b. サポートされるレジストリー・サーバーを使用して SSL を使用可能にします。説明については、 411ページの『第 24 章 Secure Sockets Layer を使用可能にする』を参照してください。

注: iKeyman ユーティリティーの使用方法については、「IBM Global Security

Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。

Tivoli Access Manager と一緒に使用できるように IBM Tivoli Directory Server をセットアップした後、次のステップは、ポリシー・サーバーをセットアップすることです。説明については、 111ページの『第 5 章ポリシー・サーバーをセットアップする』を参照してください。

HP-U: IBM Tivoli Directory Server をインストールするIBM Tivoli Directory Server システムを HP-UX にセットアップするには、以下のステップに従います。





4. IBM Tivoli Access Manager Directory Server for HP-UX CD を挿入します。

5. pfs_mountd を開始し、次にバックグラウンドで pfsd を開始する (これらが実行されていない場合)。pfs_mount コマンドを使用して CD をマウントします。たとえば、次のコマンドを入力します。

/usr/sbin/pfs_mount /dev/dsk/c0t0d0 /cd-rom

ここで、/dev/dsk/c0t0d0 は CD デバイスで、/cd-rom はマウント・ポイントです。



6. IBM DB2 をインストールします。

swinstall -s /cd-rom/hp packages

ここで、/cd-rom/hp はディレクトリーで、packages は以下のとおりです。

db2v81ent

db2v81cc

db2v81conn

db2v81gse

db2v81jhp

db2v81sdk

db2v81wgrp

db2v81cae



swinstall -s /cd-rom/hp LDAPClient


swinstall -s /cd-rom/hp LDAPServer

10. root ディレクトリーから、次のコマンドを入力して LDAP パッチをインストールします。

am_update_ldap.sh


for HP-UX CD からインストールしてください。説明については、 51ページの『IBM Tivoli Directory Server の言語パッケージをインストールする』を参照してください。











Linux: IBM Tivoli Directory Server をインストールするサポートされる Linux システムに IBM Tivoli Directory Server をインストールするには、以下のステップに従います。

注:

1. ポリシー・サーバーとは別のシステムにユーザーのレジストリー・サーバーをインストールすることをお勧めします。

2. zSeries 上の Linux ユーザー: IBM Tivoli Access Manager for Linux on zSeries

CD の Linux rpm ファイルへのアクセス権を最初に取得する必要があります。




4. openldap2-client-2.1.4-30 パッケージまたはインストールされる他の矛盾するLDAP パッケージを除去します。

注: IBM Tivoli Directory Client と同じシステムに openldap2-client がインストールされている必要がある場合、/usr/bin にある以下の矛盾するプログラムが、以下のように、IBM LDAP クライアント・バージョンに symlink

されることを確認してください。

/usr/bin/ldapadd → /usr/ldap/bin/ldapmodify/usr/bin/ldapdelete → /usr/ldap/bin/ldapdelete/usr/bin/ldapmodify → /usr/ldap/bin/ldapmodify/usr/bin/ldapmodrdn → /usr/ldap/bin/ldapmodrdn/usr/bin/ldapsearch → /usr/ldap/bin/ldapsearch

5. xSeries、zSeries、または pSeries および iSeries の IBM Tivoli Access Manager

Directory Server CD を挿入して、それをマウントします。

6. /mnt/cdrom/series ディレクトリーに移動します。ここで、/mnt/cdrom は、ご使用の CD のマウント・ポイントで、series は、xSeries、zSeries、またはpSeries を指定します。

7. DB2 をインストールします。そうするには、次のとおり、特定のハードウェアのパッケージをインストールします。

rpm -ihv IBM_db2*.rpm

ここで、サポートされるハードウェアのパッケージは、以下のとおりです。



xSeries 上の Linux zSeries 上の Linux pSeries および iSeries 上の Linux

IBM_db2msen81-8.1.0-16.i386.rpmIBM_db2cliv81-8.1.0-16.i386.rpmIBM_db2conv81-8.1.0-16.i386.rpmIBM_db2repl81-8.1.0-16.i386.rpmIBM_db2rte81-8.1.0-16.i386.rpmIBM_db2crte81-8.1.0-16.i386.rpmIBM_db2icut81-8.1.0-16.i386.rpmIBM_db2icuc81-8.1.0-16.i386.rpmIBM_db2engn81-8.1.0-16.i386.rpmIBM_db2jhen81-8.1.0-16.i386.rpmIBM_db2cj81-8.1.0-16.i386.rpmIBM_db2jdbc81-8.1.0-16.i386.rpmIBM_db2das81-8.1.0-16.i386.rpmIBM_db2smpl81-8.1.0-16.i386.rpmIBM_db2ca81-8.1.0-16.i386.rpmIBM_db2chen81-8.1.0-16.i386.rpmIBM_db2cc81-8.1.0-16.i386.rpmIBM_db2cucs81-8.1.0-16.i386.rpmIBM_db2sp81-8.1.0-16.i386.rpmIBM_db2ldap81-8.1.0-16.i386.rpmIBM_db2pext81-8.1.0-16.i386.rpmIBM_db2conn81-8.1.0-16.i386.rpmIBM_db2wmsa81-8.1.0-16.i386.rpmIBM_db2essg81-8.1.0-16.i386.rpm

IBM_db2msen81-8.1.0-16.s390.rpmIBM_db2cliv81-8.1.0-16.s390.rpmIBM_db2conv81-8.1.0-16.s390.rpmIBM_db2repl81-8.1.0-16.s390.rpmIBM_db2rte81-8.1.0-16.s390.rpmIBM_db2crte81-8.1.0-16.s390.rpmIBM_db2icuc81-8.1.0-16.s390.rpmIBM_db2engn81-8.1.0-16.s390.rpmIBM_db2jhen81-8.1.0-16.s390.rpmIBM_db2cj81-8.1.0-16.s390.rpmIBM_db2jdbc81-8.1.0-16.s390.rpmIBM_db2das81-8.1.0-16.s390.rpmIBM_db2smpl81-8.1.0-16.s390.rpmIBM_db2ca81-8.1.0-16.s390.rpmIBM_db2chen81-8.1.0-16.s390.rpmIBM_db2cc81-8.1.0-16.s390.rpmIBM_db2cucs81-8.1.0-16.s390.rpmIBM_db2sp81-8.1.0-16.s390.rpmIBM_db2ldap81-8.1.0-16.s390.rpmIBM_db2pext81-8.1.0-16.s390.rpmIBM_db2conn81-8.1.0-16.s390.rpmIBM_db2wbdb81-8.1.0-16.s390.rpmIBM_db2essg81-8.1.0-16.s390.rpm

IBM_db2acsg81-8.1.0-16.ppc64.rpmIBM_db2adsg81-8.1.0-16.ppc64.rpmIBM_db2adt81-8.1.0-16.ppc64.rpmIBM_db2cj81-8.1.0-16.ppc64.rpmIBM_db2cliv81-8.1.0-16.ppc64.rpmIBM_db2conn81-8.1.0-16.ppc64.rpmIBM_db2conv81-8.1.0-16.ppc64.rpmIBM_db2crte81-8.1.0-16.ppc64.rpmIBM_db2cucs81-8.1.0-16.ppc64.rpmIBM_db2das81-8.1.0-16.ppc64.rpmIBM_db2dj81-8.1.0-16.ppc64.rpmIBM_db2engn81-8.1.0-16.ppc64.rpmIBM_db2icuc81-8.1.0-16.ppc64.rpmIBM_db2inst81-8.1.0-16.ppc64.rpmIBM_db2jdbc81-8.1.0-16.ppc64.rpmIBM_db2jhen81-8.1.0-16.ppc64.rpmIBM_db2msen81-8.1.0-16.ppc64.rpmIBM_db2pext81-8.1.0-16.ppc64.rpmIBM_db2repl81-8.1.0-16.ppc64.rpmIBM_db2rte81-8.1.0-16.ppc64.rpmIBM_db2smpl81-8.1.0-16.ppc64.rpmIBM_db2sp81-8.1.0-16.ppc64.rpmIBM_db2essg81-8.1.0-16.ppc64.rpm


9. IBM Tivoli Directory Client パッケージをインストールします。

rpm -ihv package

ここで、package は、以下のいずれかです。

v xSeries 上の Linux: ldap-clientd-5.2-1.i386.rpm

v zSeries 上の Linux: ldap-clientd-5.2-1.s390.rpm

v pSeries および iSeries 上の Linux: ldap-client-5.2-1.ppc.rpm

10. IBM Tivoli Directory Server パッケージをインストールします。

rpm -ihv package


v xSeries 上の Linux: ldap-serverd-5.2-1.i386.rpm

v zSeries 上の Linux: ldap-serverd-5.2-1.s390.rpm

v pSeries および iSeries 上の Linux: ldap-server-5.2-1.ppc.rpm

11. CD の root ディレクトリーから、次のコマンドを入力して LDAP パッチをインストールします。

am_update_ldap.sh

12. パッケージが正しくインストールされたことを確認します。

rpm -qa | grep ldap

製品が正常にインストールされている場合には、以下と同様の結果が表示されます。

ldap-clientd-5.2-1ldap-serverd-5.2-1




for Linux CD からインストールしてください。説明については、 51ページの『IBM Tivoli Directory Server の言語パッケージをインストールする』を参照してください。









Solaris: IBM Tivoli Directory Server をインストールするpkgadd ユーティリティーを使用して IBM Tivoli Directory Server システムをSolaris にセットアップするには、以下のステップに従います。





4. IBM Tivoli Access Manager Directory Server 1 of 2 for Solaris CD を挿入します。

5. /cdrom/cdrom0/solaris ディレクトリーにあることを確認します。



6. IBM DB2 をインストールします。そうするには、以下のパッケージをインストールします (一度に 1 つずつ)。


ここで、

-d /cdrom/cdrom0/solaris

パッケージのロケーションを指定します。

-a /cdrom/cdrom0/solaris/pddefault

インストール管理スクリプトのロケーションを指定します。

また、packages は以下のとおりです。

db2msen81db2cliv81db2cucs81db2repl81db2rte81db2crte81db2icut81db2sp81db2icuc81db2engn81db2jhen81db2cj81

db2jdbc81db2das81db2smpl81db2ca81db2chen81db2cc81db2conv81db2conn81db2pext81db2ldap81db2essg81

7. IBM Tivoli Access Manager Directory Server 2 of 2 for Solaris CD を挿入します。

8. IBM DB2 ライセンスを適用します。

/opt/IBM/db2/V8.1/adm/db2licm -a /CD2_mount_point/solaris/db2ese.lic


注: パッケージの依存関係があるため、インストールの順序が重要です。


pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldapc

ここで、-d /cdrom/cdrom0/solaris はパッケージのロケーションを指定し、-a

/cdrom/cdrom0/solaris/pddefault はインストール管理スクリプトのロケーションを指定します。


pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldaps


am_update_ldap.sh

13. 英語メッセージは、IBM Tivoli Directory Server パッケージを使用して自動的にインストールされる。異なる言語バージョンのメッセージ・ファイルおよび資料を必要とする場合、それらを IBM Tivoli Access Manager Language Support



for Solaris CD からインストールしてください。説明については、 51ページの『IBM Tivoli Directory Server の言語パッケージをインストールする』を参照してください。

14. インストール時に、ベース・ディレクトリーとして /opt を使用したいかどうかを尋ねられる。スペースに余裕がある場合には、ベース・ディレクトリーとして /opt を受け入れて、Enter を押します。

注: クライアントおよびサーバー・パッケージのインストールでは、以下の照会が表示されます。

This package contains scripts which will be executed withsuper-user permission during the process of installing the package.Continue with installation?

これらのスクリプトによって、IBM Tivoli Directory Server ユーザー ID が作成されます。y を入力して先へ進みます。

プログラムは、デーモンの開始、DB2 コマンドの実行、および IBM Tivoli

Directory Server DB2 インスタンス・ユーザー ID とグループの作成をすることができる必要があり、それによってときには root として実行する必要があります。y を入力して先へ進みます。

15. インストールが完了すると、コマンド・プロンプトに自動的に戻る。









Windows: IBM Tivoli Directory Server をインストールするWindows に IBM Tivoli Directory Server をインストールするには、以下のステップに従います。




1. アドミニストレーター特権を持つユーザーとしてログオンします。



4. 実行しているプログラムがあれば、そのプログラムを停止して、すべてのウィンドウをクローズします。開いているウィンドウがあれば、最初のウィンドウが他のウィンドウの後ろに隠れていることがあります。

5. IBM Tivoli Access Manager Directory Server for Windows 2000 and Windows

2003 CD を挿入します。

6. GSKit をインストールします。説明については、 293ページの『Windows:

Global Security Kit をインストールする』を参照してください。

7. 次のディレクトリーに入っている setup.exe ファイルを実行します。

/windows/Directory

「セットアップ言語の選択 (Choose Setup Language)」ダイアログが表示されます。

8. インストール・プログラムで使用したい言語を選択して、「OK」をクリックします。

9. 「ようこそ (Welcome)」ダイアログが表示される。「次へ」をクリックして先へ進みます。

10. 使用許諾契約書をお読みください。条件の受諾を選択して、「次へ」をクリックします。

11. プリインストールされたコンポーネントおよび対応するバージョン・レベルがあれば、それらが表示されます。「次へ」をクリックして先へ進みます。

12. デフォルト・ディレクトリーに IBM Tivoli Directory Server をインストールするには、「次へ」をクリックします。異なるディレクトリーを指定するには、ディレクトリー・パスを入力するかまたは「参照」をクリックして 1 つを選択します。

注: ハイフン (-) およびピリオド (.) などの特殊文字をインストール・ディレクトリーの名前に使用しないでください。

13. IBM Tivoli Directory Server 5.2 で使用したい言語を選択して、「次へ」をクリックします。

14. 以下のコンポーネントを選択して、「次へ」をクリックします。

v Client SDK 5.2

v Server 5.2

v DB2 V8.1



重要以下のコンポーネントも使用可能です。

v Web Administration 5.2

v IBM WebSphere Application Server — Express 5.0.2

これらの製品のインストールを選択できます。しかし、Web

Administration Tool の使用時には、Access Manager では WebSphere

Application Server、バージョン 5.0.2 の使用をお勧めします。インストールの説明については、305 ページの『WebSphere Application Server をインストールする』および318 ページの『Web Administration Tool をインストールする』を参照してください。

15. ステップ 14 (75ページ) で DB2 V8.1 を選択した場合、DB2 システム ID のWindows ユーザー ID とパスワードを入力するようにプロンプトを出すウィンドウが表示されます。このユーザー ID は、インストールの前に作成した、DB2 アドミニストレーター ID (db2admin) です。以下のステップに従ってください。

a. ユーザー ID を入力するかまたはデフォルトを受け入れます。

b. パスワードを入力して、次に検証のため再度パスワードを入力します。

c. 「次へ」をクリックします。

16. 選択した構成オプションを検討します。選択のいずれかを変更するには「戻る」をクリックします。「次へ」をクリックしてインストールを開始します。

インストール・プロセスが開始します。お待ちください。このプロセスに 5、6

分かかることがあります。

17. ファイルがインストールされると、README ファイルが表示されます。README ファイルを検討して、「次へ」をクリックして先へ進みます。

18. システムの再始動を即時にまたは後で行うかを選択します。「終了」をクリックします。

注: IBM Tivoli Directory Server の構成を完了するためにはシステムの再始動をしなければなりません。これが完了するまでは IBM Tivoli Directory Server

を使用できません。

19. コンピューターを再始動した後で、IBM Tivoli Directory Server をインストールするために使用した同じユーザー ID を使用して、ログインします。Configuration Tool は、サーバーの構成を完了できるように自動的に実行します。サーバーを使用できるようになる前に、アドミニストレーター DN とパスワードを設定して、ディレクトリー・データを保管するデータベースを構成する必要があります。説明については、 78ページの『Windows: IBM Tivoli

Directory Server を構成する』を参照してください。


am_update_ldap.bat



21. IBM Tivoli Directory Server の構成を完了後、Tivoli Access Manager と一緒に使用できるように IBM Tivoli Directory Server を構成する必要があります。説明については、80 ページを参照してください。







IBM Tivoli Directory Server を構成するIBM Tivoli Directory Server コンポーネントをインストールした後で、以下の作業を実行する必要があります。

1. アドミニストレーター DN およびパスワードを定義する

2. データベースを構成する

そうするには、以下のセクションの基本的な手順に従ってください。完全な IBM

Tivoli Directory Server の製品資料を入手するには、次の Web アドレスで ProductManuals and Technical Documentation リンクをクリックしてください。


重要install_ldap_server ウィザードを使用して IBM Tivoli Directory Server をインストールして構成した場合、このセクションの説明をスキップしてください。インストール・ウィザードは IBM Tivoli Directory Server を自動的に構成します。

UNIX: IBM Tivoli Directory Server を構成する: 以下のセクションには、ldapcfg コマンドを使用して IBM Tivoli Directory Server を構成する方法についての情報を記載しています。サーバーのインストールを完了するには、以下のステップを実行する必要があります。

アドミニストレーター DN とパスワードを定義する: アドミニストレーター DN

とパスワードを設定するには、以下のステップに従ってください。




1. 次のコマンドを入力します。

ldapcfg -u "adminDN" -p pwd

ここで、adminDN はアドミニストレーター DN (デフォルトは cn=root) で、pwd はそのアドミニストレーター DN のパスワードです。

デフォルトのアドミニストレーター DN (cn=root) を受け入れて、パスワードを定義するには、次のコマンドを入力します。

ldapcfg -p pwd

ここで、pwd はアドミニストレーター DN のパスワードです。

データベースを構成する: サーバーが停止していることを確認して、データベースを、以下のように、構成します。

ldapcfg -a database_owner -w pwd -d database_name -c -l location

ここで、database_owner は、データベース所有者であるために、以前に作成した ID

(たとえば、ldapdb2) です。database_name はどのような名前を選んでもよく、location は DB2 データベースが常駐する場所です。UNIX システムの場合、これは、/home/ldapdb2 などのディレクトリー名です。

注: 詳しくは、「IBM Tivoli Directory Server Installation and Configuration Guide,

Version 5.2」に記載のデータベースの構成に関する情報を参照してください。

Windows: IBM Tivoli Directory Server を構成する:

アドミニストレーター DN とパスワードを設定する: IBM Tivoli Directory Server

のアドミニストレーター DN とパスワードを設定するには、以下のステップに従ってください。

1. 「IBM Tivoli Directory Server Configuration Tool」ウィンドウで、左方ナビゲーション・ペインの「アドミニストレーター DN/パスワード (AdministratorDN/password)」をクリックします。

2. 右方の「アドミニストレーター DN/パスワード (Administrator DN/password)」ペインで、「アドミニストレーター DN (Administrator DN)」フィールドに有効な DN を入力します (またはデフォルトの DN、cn=root を受け入れます)。

IBM Directory Server アドミニストレーター DN は、ディレクトリーのアドミニストレーターによって使用される DN です。このアドミニストレーターは、ディレクトリーのすべてのデータに対して全アクセス権限を持つ 1 ユーザーです。

DN では大文字小文字が区別されません。X.500 形式に精通していないか、または他の理由で新しい DN を定義したくない場合には、デフォルトの DN を受け入れてください。

3. 「アドミニストレーター・パスワード (Administrator Password)」フィールドおよび「確認パスワード ( Confirm password)」フィールドに、アドミニストレーター DN のパスワードを入力します。

パスワードは大文字小文字が区別されます。将来参照できるようにパスワードを記録してください。

4. 「OK」をクリックしてこのタスクを完了します。



注: パスワードで 2 バイト文字 (DBCS) はサポートされていません。

データベースを構成する: データベースを構成すると、Configuration Tool は、ディレクトリー・データを保管するするために使用されるデータベースに関する情報を構成ファイル (ibmslapd.conf) に追加します。データベースがまだ存在しない場合、Configuration Tool はデータベースを作成します。

注:

v データベースを構成する前に、環境変数 DB2COMM が設定されていないことを確認してください。

v ディレクトリー・サーバーは、データベースを構成する前に停止する必要があります。

ディレクトリー・データベースを構成するには、以下のステップに従ってください。

1. DB2 データベース所有者 ID ( 62ページの『プリインストールの要件』に説明のある) を作成したことを確認します。

2. 「Configuration Tool」で、左方のタスク・リストのデータベースの「構成(Configure)」をクリックします。

3. Configuration Tool は、データベースがすでに作成されているかどうかを判別しようとします。データベースがすでに構成されている (すなわち、データベースに関する情報が構成ファイルに入っている) 場合、Configuration Tool はユーザーがしようとしていることについての情報を要求するプロンプトを出します。たとえば、データベースが構成されているが、システム上で検索できない場合、構成ファイルに指定されている名前を使用してデータベースの作成を選択する場合もあります。表示されるウィンドウに示された情報を使用してデータベースを構成してください。

すでにデータベースがあるかどうかに応じて、以下の一部またはすべてのウィンドウが表示されます。

v ユーザー ID およびパスワードが要求される場合、ユーザー ID と関連するパスワードを入力して、次に「次へ」をクリックします。データベースを構成できるようにするには、その前にこのユーザー ID がすでに存在する必要があります。これは、DB2 データベース所有者 ID (たとえば、ldapdb2) で、インストールの前に作成したものです。(以前のリリースでは、このユーザー ID

は、存在しなかった場合に作成されましたが、現在はそのようになりません。)

注: パスワードは大文字小文字が区別されます。

v データベース名が要求される場合、DB2 データベースに付けたい名前を入力して、「次へ」をクリックします。名前の長さは、1 文字から 8 文字にします。データベースは、ユーザー ID と同じ名前をもつインスタンスに作成されます。

注: 異なるデータベース・インスタンス名を必要とする場合、-t オプションを指定した LDAP ldapcfg コマンドを使用してデータベースを構成する必要があります。

v データベース・ロケーションが要求される場合、「データベース・ロケーション (Database location)」フィールドにデータベースのドライブ名を入力し



て、「次へ」をクリックします。指定するロケーションに少なくとも 80MB

の空きハード・ディスク・スペースがあり、ディレクトリーに新しいエントリーが追加されるにつれての増大を収容できる追加のディスク・スペースが使用可能であることを確認します。

v 文字セットの選択を要求される場合、作成したいデータベースのタイプを選択し、「次へ」をクリックします。LDAP クライアントが UTF-8 文字データを保管できる UTF-8 (UCS Transformation Format) データベースを作成することも、またはローカル・コード・ページのデータベースである、ローカル・コード・ページ・データベースを作成することもできます。

注: 言語タグを使用したい場合には、データベースを UTF-8 データベースにする必要があります。

4. 指定した構成オプションについての情報が検査ウィンドウに表示されます。前のウィンドウに戻ったり、情報を変更するには、「戻る」をクリックします。構成を開始するには、「終了」をクリックします。

5. 完了ウィンドウが表示されます。「クローズ」をクリックします。

Tivoli Access Manager 用に IBM Tivoli Directory Server を構成する次のセクションでは、Tivoli Access Manager レジストリーとして IBM Tivoli

Directory Server を構成する方法を説明します。Web Administration Tool (推奨する方法) を使用するか、またはコマンド行を使用する Tivoli Access Manager 用のIBM Tivoli Directory Server を構成します。

v 81ページの『Web Administration Tool を使用する』

v 86ページの『コマンド行を使用する』

注: 完全な IBM Tivoli Directory Server の製品資料を入手するには、次の Web アドレスで Product Manuals and Technical Documentation リンクをクリックしてください。





重要

v install_ldap_server ウィザードを使用して IBM Tivoli Directory Server をインストールして構成した場合、このセクションの説明をスキップしてください。インストール・ウィザードは IBM Tivoli Directory Server を自動的に構成します。

v Web Administration Tool またはコマンド行を使用して構成を実行できます。Web Administration Tool を使用すると IBM Tivoli Directory サーバーをローカルでまたはリモート側で管理できます。この GUI をインストールするには、318 ページを参照してください。

注: IBM Tivoli Directory Server、バージョン 4.1 または 5.1 を実行している場合、Web Administration Tool をインストールする前に必ずam_update_ldap.sh LDAP パッチを実行してください。

v Web Administration Tool、バージョン 5.2 は、後方互換で、IBM Tivoli

Directory Server、バージョン 4.1、5.1、および 5.2 で機能します。Web

Administration Tool を使用したいが、まだインストールされていない場合、以下のステップに従ってください。

1. IBM WebSphere Application Server をインストールします。説明については、305 ページを参照してください。

2. IBM Tivoli Directory Server Web Administration Tool をインストールして、ユーザーの WebSphere 構成にこのアプリケーションを構成します。説明については、318 ページを参照してください。

v LDAP サーバーのアドミニストレーターとして、crypt または SHA-1 などの、片方向エンコード形式を使用して、userPassword 属性値をエンコードするようにサーバーを構成することをお勧めします。デフォルトの暗号化値、imask は双方向エンコード形式を指定します。パスワードの暗号化の説明と詳細については、次の Web サイトで「IBM Tivoli Directory Server

Administration Guide, Version 5.2」を参照してください。


Web Administration Tool を使用する: Web Administration Tool を使用してTivoli Access Manager 用に IBM Tivoli Directory Server を構成するには、以下のステップに従ってください。

注: V5.1 IBM Tivoli Directory Server ユーザーの場合、Web Administration Tool はHP-UX プラットフォームで使用できません。 86ページの『コマンド行を使用する』に記載されている指示に従ってください。

1. IBM Tivoli Directory Server がインストールされていて、以下の条件が満たされていることを確認します。

v アドミニストレーター DN (cn=root) とパスワードを設定すると、指定のサーバーを開始できるようになります。IBM Tivoli Directory Server の構成時にこの情報を要求するプロンプトが出されます。

v 構成のみのモード以外の状態で指定のサーバーを開始できるようにデータベースを構成していなければなりません。

Tivoli Access Manager 用に IBM Tivoli Directory Server を構成する



v 指定のサーバーの開始、停止、または再始動がリモート側でできるように実行中の管理デーモンがなければなりません。そうするには、以下のようにします。

– UNIX システムで、次のコマンドを発行します。

ibmdiradm

– Windows システムで、「スタート」→「コントロールパネル」→「管理ツール」→「サービス」を順にクリックします。「IBM Directory AdminDaemon」を右マウス・ボタン・クリックし、次に「開始 (Start)」を選択します。

v IBM Tivoli Directory Server、バージョン 5.2 のインストール時に Tivoli

Access Manager スキーマ定義が自動的に追加されます。IBM Tivoli Directory

Server、バージョン 4.1 または 5.1 のみを使用している場合には、以下を実行する必要があります。

a. secschema.def ファイルを、ご使用の特定のプラットフォーム用の Tivoli

Access Manager Base CD に入っている、common ディレクトリーからユーザーのローカル・システム上の一時ディレクトリー (たとえば、/tmp) にコピーします。

b. Run the ldapmodify command as follows:

ldapmodify -v -h ldap_host -p port -D ldap_admin -w pwd -f /tmp/secschema.def

注: ご使用の LDAP マシン上に Access Manager Runtime パッケージがすでにインストールされていて、構成される場合、以下のように、ivrgy_toolを使用してスキーマを更新できます。

ivrgy_tool -d -h ldap_host -p port -D ldap_admin -w pwd schema

ivrgy_tool については、 482ページの『ivrgy_tool』を参照してください。

2. Web Administration Tool を開始します。そうするには、WebSphere Application

Server をインストールしたディレクトリーに移動して、以下のコマンドを発行します。


/usr/WebSphere/AppServer/bin/startServer.sh server1

または

/opt/WebSphere/AppServer/bin/startServer.sh server1


C:¥Program Files¥WebSphere¥AppServer¥bin¥startServer.bat server1

3. コンソールにログインするには、Web ブラウザーを開き、次のアドレスを入力します。

http://localhost:9080/IDSWebApp/IDSjsp/Login.jsp

ここで、localhost は、Web Administration Tool がインストールされているマシンのホスト名または IP アドレスです。

IBM Tivoli Directory Server Web Administration ログイン・ページが表示されます。




v Web Administration Tool をすでにセットアップしてある場合、ステップ7 (84ページ) をスキップしてください。

v 以前に Web Administration Tool をセットアップしたことがない場合には、以下のステップに従ってください。

a. IBM Tivoli Directory Server Web Administration ログイン・ページから、以下のように、デフォルトのユーザー名とパスワードを指定することによって、コンソール・アドミニストレーターとしてログインします。

LDAP ホスト名: Console Adminユーザー名: superadmin

パスワード: secret

「ログイン」をクリックして先へ進みます。IBM Tivoli Directory Server

Web Administration Tool コンソールが、次のように、表示されます。

注: Web Administration Tool の最初のセットアップの後、ご使用の IBM

Tivoli Directory Server マシンの LDAP ホスト名または IP アドレスを使用してコンソールにログインできるようになります。

b. コンソール管理タスクが左方に表示されます。ご使用のサーバーを追加するには、「コンソール・サーバーの管理 (Manage console servers)」を選択して、右方ペインの「追加」ボタンをクリックします。

c. 「サーバーの追加 (Add server)」ウィンドウから、以下のフィールドを完了してから「OK」をクリックします。

– Hostname: IBM Tivoli Directory Server がインストールされているマシンのホスト名または IP アドレスを入力します。

– Port: ポートはすでに用意されています (389)。LDAP サーバーの構成時にこのポート番号を変更した場合、それに応じてこの値を変更してください。



– Administration port: ポートはすでに用意されています (3538)。

– SSL enabled: SSL を使用可能にする場合に選択します。

注: サーバーで SSL をまだ使用可能にしていない場合、ログオンしてサーバー管理タスクを実行することはできません。

「コンソール・サーバーの管理 (Manage console servers)」ペインがサーバーの情報と一緒に表示されます。

5. 「ログアウト (Log out)」を選択してサーバーをログオフします。

6. 「正常にログアウト (Logout successful)」ウィンドウから、″re-login by clicking

here″ リンクをクリックして、IBM Tivoli Directory Server Web Administration

ログイン・ページに戻ります。

7. このコンソールを使用してサーバーを管理することができます。そうするには、以下のステップに従ってください。

a. ドロップダウン・メニューからご使用のマシンの LDAP ホスト名または IP

アドレスを選択することによってログインします。

b. アドミニストレーション DN (cn=root) を入力します。

c. IBM Tivoli Directory Server の構成時に作成した関連 DN パスワードを入力して、「ログイン」をクリックします。

IBM Tivoli Directory Server Web Administration Tool コンソールが表示されます。

注: サーバー管理タスクは、サーバーの機能に応じて異なります。

8. IBM Tivoli Directory Server が実行していることを確認するには、左方ナビゲーション・ペインで「サーバー管理 (Server administration)」→「サーバー状況のビュー (View server status)」をクリックします。サーバーが停止している



場合、左方ナビゲーション・ペインで「サーバーの開始/停止/再始動(Start/stop/restart server)」をクリックして、次に「開始 (Start)」ボタンをクリックしてサーバーを開始します。サーバーが正常に開始または停止するとメッセージが表示されます。

9. サフィックスを作成するには、左方ナビゲーション・ペインで「設定」→「サフィックス (Suffixes)」を選択します。「サフィックス (Suffixes)」ウィンドウが表示されます。

10. Tivoli Access Manager がそのメタデータを保持するところにサフィックスを作成するには、左方ナビゲーション・ペインで「サーバー管理 (Serveradministration)」→「サーバー・プロパティーの管理 (Manager serverproperties)」を選択します。「サーバー・プロパティーの管理」ペインで、「サフィックス (Suffixes)」タブを選択します。次の必要サフィックス DN を入力して、「追加 Add)」をクリックします。

secAuthority=Default

注: サフィックス識別名は大文字小文字が区別されません。サフィックスは、ペインの「現行サフィックス DN (Current suffix DNs)」テーブルに表示されます。「OK」をクリックして変更内容を保管します。

11. この時点で、ユーザー定義およびグループ定義を保持するための追加のサフィックスを作成できます。

注: サフィックスの追加方法の詳細については、ウィンドウの上部右方ペインの「ヘルプ (Help)」アイコンをクリックしてください。サフィックスの場合、最大は 1000 文字です。

12. サフィックスの追加を完了したら、左方ナビゲーション・ペインで「サーバー管理 (Server administration)」→「サーバーの開始/停止/再始動(Start/stop/restart server)」をクリックして、次に「再始動 (Restart)」ボタンをクリックしてサーバーを再始動します。サーバーが正常に再始動するとメッセージが表示されます。


v secAuthority=Default 以外のサフィックスを追加しなかった場合、「ログアウト (Logout)」をクリックして「IBM Directory Server Web Administration

Tool」ウィンドウを閉じます。ポリシー・サーバーが構成されると、secAuthority=Default のディレクトリー・エントリーが自動的に追加されます。

v secAuthority=Default 以外のサフィックスを追加した場合、それぞれのサフィックスごとのディレクトリーにエントリーを追加する必要があります。そうするには、左方ナビゲーション・ペインで、「ディレクトリー管理(Directory management)」→「エントリーの追加 (Add an entry)」を選択します。作成したサフィックスのディレクトリー・エントリーの追加を完了したら、「終了 (Finish)」をクリックして、次に「ログアウト (Logout)」をクリックして「IBM Directory Server Web Administration Tool」ウィンドウを閉じます。

Note: SSL 通信を使用可能にする場合、SSL が有効になるためにはディレクトリー管理デーモンを停止して、再始動する必要があります。



コマンド行を使用する: IBM Tivoli Directory Server をユーザーの Tivoli Access

Manager レジストリーとして構成する場合、以下の基本的なステップに従ってください。

注: サフィックスおよびディレクトリー・エントリーの追加方法の詳細については、IBM Tivoli Directory Server、バージョン 5.2 の資料を参照してください。

1. IBM Tivoli Directory Server、バージョン 5.2 のインストール時に Tivoli Access

Manager スキーマ定義が自動的に追加されます。IBM Tivoli Directory Server、バージョン 4.1 または 5.1 のみを使用している場合には、以下を実行する必要があります。

a. secschema.def ファイルを、ご使用の特定のプラットフォーム用の Tivoli

Access Manager Base CD に入っている、common ディレクトリーからユーザーのローカル・システム上の一時ディレクトリー (たとえば、/tmp) にコピーします。

b. Run the ldapmodify command as follows:

ldapmodify -v -h ldap_host -p port -D ldap_admin -w pwd -f /tmp/secschema.def

注: ご使用の LDAP マシン上に Access Manager Runtime パッケージがすでにインストールされていて、構成される場合、以下のように、ivrgy_tool を使用してスキーマを更新できます。

ivrgy_tool -d -h ldap_host -p port -D ldap_admin -w pwd schema

ivrgy_tool については、 482ページの『ivrgy_tool』を参照してください。

2. 次のように、Tivoli Access Manager がそのメタデータを保持するところにサフィックスを作成します。

ldapcfg -s "secAuthority=Default"

このサフィックスは、ibmslapd.conf ファイルに追加されます。この時点で、ユーザー定義およびグループ定義を保持するための追加のサフィックスを作成できます。以下に例を示します。

ldapcfg -s "c=US"

3. 以下のように、LDAP サーバーを開始します。

ibmdiradm&ibmslapd&

4. 作成したばかりのサフィックスのエントリーを追加します。必要なsecAuthority=Default サフィックスのみを追加した場合には、ステップ 82 をスキップします。その他の場合、ファイルを追加し、サフィックス・エントリー情報を追加して、次に ldapadd コマンドを実行します。たとえば、以下の内容が入った、addcus という名前のファイルを作成します。

dn: c=usobjectclass: topobjectclass: countryc: us

次に、次のコマンドを実行します。

ldapadd -h host -D cn=root -w pwd -v -f addcus



IBM z/OS および OS/390 セキュリティー・サーバーをセットアップするこのセクションでは、z/OS または OS/390 上で LDAP サーバーを Tivoli Access

Manager 用に準備するのに必要な構成ステップを説明します。セキュリティー許可機能 (SAF) レジストリーに対する Tivoli Access Manager の構成を特に強調してあります。

以下のガイドラインでは、Tivoli Access Manager レジストリー専用の新しい LDAP

サーバー・インスタンスを想定しております。詳しくは、OS/390 または z/OS のご使用の特定のリリースの「LDAP Server Administration and Use」マニュアルを参照してください。この資料は、次の Web アドレスの「z/OS library」から入手できます。



v 『スキーマ・ファイルを更新する』

v 『サフィックスを追加する』

v 89ページの『LDAP 用に Tivoli Access Manager を構成する』

v 90ページの『ネイティブ認証ユーザー管理』

スキーマ・ファイルを更新するAccess Manager スキーマの古いバージョンが z/OS 製品と一緒に提供されていました。Tivoli Access Manager、バージョン 5.1 をサポートするためにはスキーマを更新する必要があります。そうするには、secAuthority=Default サフィックスを作成する前に ivrgy_tool ユーティリティーを使用してスキーマを z/OS LDAP サーバーに適用してください。説明については、 482ページの『ivrgy_tool』を参照してください。

サフィックスを追加するTivoli Access Manager では、Tivoli Access Manager メタデータを保持する、secAuthority=Default という名前のサフィックスを作成する必要があります。LDAP サーバーを最初に構成するときの一度のみこのサフィックスを追加する必要があります。このサフィックスによって Tivoli Access Manager はデータを容易に見付けて管理できます。また、データへのアクセスを保護し、これによって保全性または破壊の問題を避けます。

さらに、ユーザーおよびグループ・データを保持するために、サフィックスを作成するかまたは既存 LDAP DIT ロケーションの識別名を指定できます。secAuthority=Default サフィックスと同様に、LDAP レジストリーへのどのような新しいサフィックスの追加もポリシー・サーバーを構成する前に行う必要があります。サフィックスの追加を Tivoli Access Manager の最初の構成の後で行った場合、該当する ACL を手動で追加しなければなりません。

secAuthority=Default サフィックスを含む、サフィックスを LDAP サーバーのslapd.conf ファイルに追加するには、次の Web サイトで「LDAP Server

Administration and Use」マニュアルを参照してください。

IBM z/OS および OS/390 セキュリティー・サーバーをセットアップする




注: 変更内容を有効にするには LDAP サーバーを再始動してください。

Tivoli Access Manager ポリシー・サーバーが構成された後でサフィックスの追加を決めた場合、以下のように、該当の ACL を新しく作成したサフィックスに適用する必要があります。

1. 新しいサフィックスをセキュリティー・サーバーの slapd.conf ファイルに追加します。 IBM z/OS または OS/390 セキュリティー・サーバーの構成ファイルの更新方法の詳細については、「z/OS LDAP Server Administration and Use

Guide」を参照してください。

2. IBM z/OS または OS/390 セキュリティー・サーバーを再始動します。

3. エントリーを新しく作成したサフィックスに追加するには、以下を行います。

a. LDIF ファイルを作成します。この例では、新しく作成したサフィックスはo=neworg,c=us であると想定します。

dn:o=neworg,c=usobjectClass:organizationobjectClass:topo:neworg

b. 該当の LDIF ファイルを ldapadd コマンドへの入力として使用します。

ldapadd -D ldap_admin -w ldap_pwd -v -f ldif_filename

4. 該当の Tivoli Access Manager アクセス・コントロールを新しく作成したサフィックスに適用するには、以下を行います。

v 1 つのセキュア・ドメイン (管理ドメインと呼ばれる) を作成した場合、新しいサフィックス用の ACL を追加するために以下と同様の ldif ファイルを作成します。

v 追加のセキュア・ドメイン (最初の管理ドメイン以外の) を作成した場合、新しいサフィックス用の ACL を追加するために以下と同様の ldif ファイルを作成します。

suffixaclpropagate=TRUEaclentry=group:cn=ivacld-servers,cn=securitygroups,secauthority=default:normal:csraclentry=group:cn=remote-acl-users,cn=securitygroups,secauthority=default:normal:csraclentry=group:cn=securitygroup,secauthority=default:object:ad:normal:cwsr:sensitive:cwsr:critical:¥cwsr:restricted:cwsraclentry=access-id:LDAP_Admin_DN:object:ad:normal:rwsc:sensitive:rwsc:critical:cwsr:restricted:cwsrsuffixownerpropagate=TRUEentryOwner=group:cn=SecurityGroup,secAuthority=DefaultentryOwner=access-id:LDAP_Admin_DN




5. ldif ファイルを適用するには、次のように、ldapmodify コマンドを使用します。

ldapmodify -h hostname -D admin_DN -w admin_pwd -v -f ldif_filename

追加されたサフィックスにデフォルトで aclpropagate=TRUE が設定された場合、ldapmodify コマンドは、次と同様のエラー・メッセージを戻すことに注意してください。

ldap_modify: additional info: R004086 Entry o=neworg,c=us already containsattribute aclpropagrate, value=TRUE

この場合、aclpropagate=TRUE を ldif ファイルから除去して、ldapmodify コマンドを再実行します。

LDAP 用に Tivoli Access Manager を構成するz/OS で LDAP 用に Access Manager を構成するとき、デフォルトで Access

Manager は、LDAP サーバーに定義されたすべてのサフィックスを検索することに注意してください。Access Manager によって使用されないか、または Access

Manager が検索する権限を持っていない、サフィックスが定義されている場合、ignore-suffix キーワードを使用してこれらのサフィックスを/access_mgr_install_dir/etc/ldap.conf ファイルに追加する必要があります。

以下に例を示します。

ignore-suffix = sysplex=UTCPLXJ8ignore-suffix = "o=Your Company"ignore-suffix = o=MQuser

この例では、sysplex=UTCPLXJ8 サフィックスを z/OS SDBM (RACF) データベースのアクセスに使用します。構成時に Access Manager が使用する LDAP アドミニストレーター ID は、z/OS システム上で RACF ユーザー ID ではなく、したがってSDBM 検索を行う権限を持ちません。このサフィックスを ignore-suffix リストに追加しなかった場合、構成時に Access Manager は、戻りコード x’32’ -

LDAP_INSUFFICIENT_ACCESS を受け取ることになります。

リストの他のサフィックスが z/OS 上の他のアプリケーションによって使用されても、Access Manager によって無視されることがあります。

Tivoli Access Manager は、読み取り操作での LDAP フェイルオーバーおよびロード・バランシングをサポートすることに注意してください。レプリカ・サーバーを

suffixaclentry=group:cn=ivacld-servers,cn=securitygroups,secauthority=default:normal:csraclentry=group:cn=remote-acl-users,cn=securitygroups,secauthority=default:normal:csraclentry=group:cn=securitygroup,secauthority=default:object:ad:normal:cwsr:sensitive:cwsr:critical:cwsr: ¥restricted:cwsraclentry=group:cn=ivacld-servers,cn=securitygroups,secauthority=<added domain>,cn=subdomains,¥secauthority=default:normal:csraclentry=group:cn=remote-acl-users,cn=securitygroups,secauthority=<added domain>,cn=subdomains,¥secauthority=default:normal:csraclentry=group:cn=securitygroup,secauthority=<add domain>,cn=subdomains,secauthority=default:object:ad:¥normal:rwsc:sensitive:rwsc:critical:rwsc:restricted:rwscaclentry=access-id:LDAP_Admin_DN:object:ad:normal:rwsc:sensitivesuffixownerpropagate=TRUEentryOwner=group:cn=SecurityGroup,secAuthority=DefaultentryOwner=access-id:LDAP_Admin_DN



構成した場合、Tivoli Access Manager へのレプリカ・ホスト名を ldap.conf ファイルに指定でき、このファイルは Tivoli Access Manager と一緒に etc サブディレクトリーにインストールされます。

ネイティブ認証ユーザー管理管理タスクのほとんどは、ネイティブ認証を追加しても変わりません。user

create、user show、ACL エントリーまたはグループへのユーザーの追加、およびすべての user modify コマンド (パスワードを除く) などの操作は、どの他の LDAP

レジストリーに対して構成された Tivoli Access Manager の場合と同様です。ユーザー自身の SAF パスワードは、pkmspasswd ユーティリティーを使用して変更できます。

ネイティブ認証は、追加フィーチャーである、Tivoli Access Manager ユーザーをSAF ユーザー ID への多対 1 マッピングを提供します。複数のユーザーが同じibm-nativeId を持つことができ、同じパスワードですべてバインドできます。この理由から、多対 1 でマップされたユーザーが SAF パスワードを変更できないようにすることをお勧めします (変更できるようにすると、ユーザーが対等機能を不用意に閉め出して役立たなくするリスクが大きくなります)。

pdadmin sec_master> group modify SAFusers add user1pdadmin sec_master> acl create deny_pkmspdadmin sec_master> acl modify deny_pkms set group SAFusers Tpdadmin sec_master> acl attach /Webseal/server_name/pkmspasswd deny_pkms

OS/390 LDAP ネイティブ認証のバインドは、パスワードのリセットを実行する権限を与えません。たとえば、ネイティブ認証を使用可能にした場合、次の Tivoli

Access Manager 管理コマンドは機能しません。

pdadmin sec_master> user modify user1 password ChangeMe1

さらに、ユーザーの ibm-nativeId エントリーを設定するためのすぐに使用可能な管理コマンドはありません。その目的のために、以下の説明は、関連する nativeId

をもつ Tivoli Access Manager ユーザーの管理に役立ちます。

user create コマンドは、変わりません。

pdadmin sec_master> user create user1 cn=user1,o=tivoli,c=us user1 user1 ChangeMe1pdadmin sec_master> user modify user1 account-valid yes

パスワード (この例では、ChangeMe1) は、LDAP にあるユーザーのuserpassword エントリーに設定されますが、これはネイティブ認証が使用可能であれば有効になりません。実動時には、長いパスワードにして、ネイティブ認証をうっかり使用不可にした場合に備えて、思いつきにくいパスワードにすることを考えてください。

ユーザーの ibm-nativeId エントリーを設定するには、以下と同様に、schema file

と呼ばれる、ldif ファイルを作成します。

cn=user1,o=tivoli,c=usobjectclass=inetOrgPersonobjectclass=ibm-nativeAuthenticationibm-nativeId=SAF_username

以下のように、ldapmodify コマンドを使用して ldif ファイルをロードできます。



ldapmodify -h hostname -p port -D bind_DN -w bind_pwd -f schema_file

ユーザーのパスワードをリセットするための SAF コマンドは、次のとおりです。

subsystem_prefix ALTUSER userid PASSWORD pwd

ネイティブ認証を使用するには、auth-using-compare をオフにする必要があることに注意してください。そうするには、ivmgrd.conf および webseald.conf ファイルの [ldap]stanza を編集して、その行を次のように変更します。

auth-using-compare = no

デフォルトで、LDAP への認証は、バインドではなく、比較操作を使用して行われます。

ネイティブ認証のセットアップについては、次の Web サイトの「IBM z/OS

Security Server LDAP Server Administration and Use」資料を参照してください。





Lotus Domino をセットアップするDomino™ サーバーを Tivoli Access Manager のレジストリーとして構成するには、以下のステップに従ってください。

1. 27ページの『サポートされるレジストリー』にリストされているシステム要件を検討して、その要件を満たしていることを確認します。

2. Domino の Tivoli Access Manager 管理ユーザーを作成します。説明については、『Domino の Tivoli Access Manager 管理ユーザーを作成する』を参照してください。

3. ご使用の Domino インストール・メディアを見付けて、Lotus Notes® クライアントを Domino Server にインストールします。説明については、 94ページの『Lotus Notes クライアントを Domino Server にインストールする』を参照してください。

4. 次の環境変数が Windows システムで設定されていることを確認します。

NOTESNTSERVICE=1

この環境変数は、Lotus Domino Server が、Windows サービスとして実行しているときに、そのサービスを開始したユーザーがシステムをログオフした後も、実行し続けるようにします。

注: Domino レジストリーを使用する Tivoli Access Manager は、Windows プラットフォームでのみサポートされています。これは、サポートされる Windows プラットフォームでのみ Lotus Notes クライアントが使用可能であるためです。

Tivoli Access Manager で使用できるように Domino を構成した後、次のステップはポリシー・サーバーをセットアップすることです。説明については、 111ページの『第 5 章ポリシー・サーバーをセットアップする』を参照してください。

Domino の Tivoli Access Manager 管理ユーザーを作成するTivoli Access Manager システムが Domino Server と通信するには、Domino のTivoli Access Manager 管理サーバーを作成して登録する必要があります。そうするには、以下のステップに従ってください。

1. 登録を開始する前に以下の権限を持っていることを確認します。

v 認証者 ID とそのパスワードへのアクセス

v 作業をするマシンから Domino Directory へのアクセス

v 登録サーバー上の Domino Directory でのエディターのアクセスまたはUserCreator 役割

2. Domino Administrator GUI から、「担当者とグループ (People & Groups)」タブをクリックします。

3. 「サーバー (Servers)」ペインで、使用するサーバーを選択します。

4. Domino Directories を選択してから、People を選択します。

Lotus Domino をセットアップする


5. 「ツール (Tools)」ペインで、

に示すように、「担当者 (People)」→「登録 (Register)」をクリックします。

6. Domino Server の認証者 ID を選択します (デフォルトのロケーションはc:¥Program Files¥Lotus¥Domino¥Data)。

注: Notes は、「管理設定 (Administration Preferences)」に指定されている認証者 ID を使用するか、それに指定されていない場合には、NOTES.INI のCertifierIDFile 設定に指定されている ID を使用します。

7. プロンプトが出された場合には、サーバーの構成時に設定された認証者 ID のパスワードを入力して、「OK」をクリックします。認証者 ID を変更するには、「キャンセル (Cancel)」をクリックします。

8. 「拡張 (Advanced)」チェック・ボックスを選択して、「基本 (Basics)」ペインのフィールドを完了します。たとえば、Tivoli Access Manager 管理ユーザーについての以下のような情報を入力します。

v ファーストネーム:AM

v ラストネーム: Daemons

v パスワード: pwd

9. 「担当者の追加 (Add person)」をクリックします。管理ユーザー名が「登録状況 (Registration status)」ビューに表示されます (ユーザー登録キュー)。

10. 「ID 情報 (ID Info)」をクリックして、Notes ID ファイルが Domino ディレクトリーに保管されていることを確認します。

11. 登録キューのユーザー名を強調表示し、「登録 (Register)」をクリックしてユーザーを Domino Server に追加します。

その担当者が正常に登録されたことを示すメッセージが表示されます。「OK」をクリックしてメッセージ・ダイアログを除去して、「完了 (Done)」をクリックします。

12. 「Domino Administrator」で、「ビュー (View)」メニューから「リフレッシュ(Refresh)」を選択して Tivoli Access Manager ユーザーが Domino Server に作成されたことを確認します。



Lotus Notes クライアントを Domino Server にインストールする

Lotus Notes クライアントを Domino Server にインストールして構成するには、以下の通常のステップに従ってください。

注: Tivoli Access Manager は、Lotus Notes クライアント、バージョン 5.0.10 およびバージョン 6.0 以上をサポートします。

1. 別のクライアント・システムで使用している Lotus Notes ID ファイルがすでにある場合には、このバイナリー・ファイルをユーザーのローカル・システムのdrive:¥notes¥data ディレクトリーにコピーします。

注: 現在使用している ID ファイルの名前がはっきりしない場合、ID ファイル名のロケーションを探索するために Lotus Notes クライアント・インターフェースから「ファイル (File)」→「ツール (Tools)」→「ユーザー ID (UserID)」をクリックします。

2. Windows 用の Lotus Notes または Domino CD から Notes クライアント・セットアップ・ファイルを実行して、オンラインの説明に従ってください。

注: 使用するインストール・メディアに応じて、他のプログラム・フィーチャーをインストールするようにプロンプトが出される場合があります。Tivoli

Access Manager インストールの場合、Notes クライアントのみが必須フィーチャーです。

3. 「Lotus Notes インストール (Lotus Notes Installation)」ウィンドウで、「標準(Typical)」を選択して、説明に従ってください。インストールが完了したら、「終了」をクリックします。

4. Lotus Notes プログラムを立ち上げて、構成を実行します。たとえば、「スタート」→「すべてのプログラム」→「Lotus アプリケーション (LotusApplications)」→「Lotus Notes」を順にクリックします。

5. 「Lotus Notes クライアント構成 (Lotus Notes Client Configuration)」ウィンドウから、「次へ」をクリックして以下の情報を完了します。

v 「Domino Server に接続 (I want to connect to a Domino Server)」を選択して、「次へ」をクリックします。

v 「LAN への接続のセットアップ (Set up a connection to a local areanetwork (LAN))」を選択して、「次へ」をクリックします。

v Domino Server の完全修飾名を入力して、「次へ」をクリックします。これは、メール・サーバーまたはパススルー・サーバー、あるいはユーザーが誰かを認識できる他のサーバーでもかまいません。たとえば、次の名前を「Domino Server 名 (Domino Server name)」フィールドに入力します。

domino1/Tivoli

v 以下のいずれかをします。

– ユーザーが Lotus Notes ID ファイルを用意した場合、「自分の Notes ユーザー ID はファイルで供給 (My Notes UserID has been supplied tome in a file)」を選択して、「参照 (Browse)」をクリックして ID ファイルのロケーションを探索するかまたは ID ファイルの完全修飾名を「ファイル名 (File name)」フィールドに入力します。たとえば、c:¥notes¥data¥username.id を入力します。



– 「自分の名前を識別として使用 (Use my name as identification)」を選択して、Tivoli Access Manager 管理ユーザー ID (たとえば、AMDaemons) をユーザー ID (User name)」フィールドに入力します。

「次へ」をクリックして先へ進みます。

6. 追加して構成情報を要求するプロンプトが出された場合、デフォルト値を受け入れることができます。「終了」をクリックして、Notes クライアントの構成ステップを続行します。

7. 該当する場合、「インターネット・プロキシー・サーバーに接続しない (Do not

connect to an internet proxy server)」ラジオ・ボタンを選択します。

Notes クライアントがリモート Domino Server にアクセスできるときにパスワード・プロンプト・ウィンドウが表示されます。

8. Tivoli Access Manager 管理ユーザーのパスワードを入力します。パスワードが正しい場合、Notes クライアントは続行して残りの構成を完了します。

構成が完了すると、管理ユーザーの Notes ID ファイルがローカル・システムの¥notes¥data ディレクトリーにインストールされます。



Microsoft Active Directory をセットアップするActive Directory を Tivoli Access Manager 用にセットアップするには、以下の作業を次の順序で実行する必要があります。

1. Active Directory ドメインを作成する

2. Active Directory ドメインを結合する

3. Active Directory 管理ユーザーを作成する

Tivoli Access Manager と一緒に使用できるように Active Directory ドメインをセットアップした後、次のステップは Windows 2000 または Windows 2003 システムにポリシー・サーバーをセットアップすることです。説明については、 111ページの『第 5 章ポリシー・サーバーをセットアップする』を参照してください。

Active Directory の考慮事項Active Directory を Tivoli Access Manager 用に構成する前に以下の情報を検討することが重要です。

v Tivoli Access Manager は、Active Directory の単一ドメインまたはマルチドメイン環境で構成できます。単一ドメインまたはマルチドメイン環境については、以下の Web アドレスの Active Directory 製品資料を参照してください。

– Windows 2000 サーバーの場合:

http://www.microsoft.com/windows2000/en/server/help/

– Windows 2003 の場合:

http://www.microsoft.com/windowsserver2003/proddoc/

v 単一ドメイン環境で、非ドメイン・コントローラー・システムは、Tivoli Access

Manager が構成される同じドメインを結合する必要があります。マルチドメイン環境で、非ドメイン・コントローラー・システムは、Active Directory ドメインを結合する必要があります。

v セキュリティー・グローバル・グループのみをサポートします。

v Active Directory ユーザーを Tivoli Access Manager ユーザーとしてインポートするには、Active Directory ユーザーのログイン名を Tivoli Access Manager ユーザーのユーザー ID として使用します。

v Tivoli Access Manager を Active Directory のクライアントにインストールして構成した場合 (たとえば、Tivoli Access Manager と Active Directory が異なるシステム上にある)、クライアント・システムはドメインを結合しなければならず、クライアント・システムで Tivoli Access Manager の構成を実行するためにはアドミニストレーターとしてそのドメインにサインオンする必要があります。

v クライアント・システムでのネットワーク TCP/IP 設定の DNS は、ドメイン・コントローラーのネットワーク TCP/IP 設定と同じでなければなりません。ルート・ドメイン・コントローラーを DNS サーバーとして使用することも、または別の DNS を使用することもできます。

v Tivoli Access Manager を単一ドメインに構成して、そのドメインが非ルート・ドメインである場合、ルート・ドメイン・コントローラーでadschema_update.exe を手動で実行する必要があります。

Microsoft Active Directory をセットアップする


http://www.microsoft.com/windows2000/en/server/help/

http://www.microsoft.com/windowsserver2003/proddoc/

Active Directory ドメインを作成するActive Directory 構成ウィザードを使用してユーザーの Windows サーバー・システムをドメイン・コントローラーにプロモートします。ドメイン・コントローラーを作成しても Active Directory ドメインが作成されます。

始める前に、新しいドメイン用のドメイン・コントローラーを作成するか、あるいは既存のドメイン用に追加のドメイン・コントローラーを作成するかを決定する必要があります。新しいドメイン用にドメイン・コントローラーを作成する場合、この新しいドメインが以下のいずれかになるかどうかについても答える必要があります。

v 新しいフォレストの最初のドメイン

v 既存のフォレストの新しいドメイン・ツリーの最初のドメイン

v 既存のドメイン・ツリーの子ドメイン

注: この新しいドメイン名が DNS の「前方検索ゾーン (Forward Lookup Zones)」に存在しない場合、新しいドメイン・コントローラーを構成する前にこのドメインを新しいゾーンとして作成する必要があります。ドメイン・コントローラー、ドメイン・ツリー、およびフォレストについては、ご使用の Windows サーバーの資料を参照してください。

ドメインを作成するかあるいは追加のドメイン・コントローラーを既存のドメインに追加するには、以下のステップに従ってください。

v 『Active Directory ドメインを結合する』

v 100ページの『Active Directory 管理ユーザーを作成する』

Active Directory ドメインを結合するActive Directory ドメインを作成した後、以下のステップに従って、Windows

Advanced Server を Active Directory ドメインに結合します。

注: アドミニストレーターとしてローカル・システムにログオンし、有効なユーザー名とパスワードを持っていることを確認してください。また、システムをそのドメインに追加する前にクライアント・システムとサーバー・システムが同じ DNS にあることを確認してください。

1. 「マイコンピュータ」を右マウス・ボタン・クリックし、次にポップアップ・ダイアログから「プロパティ」をクリックします。「システムのプロパティー」ノートブックが表示されます。



2. 「ネットワーク識別 (Network Identification)」タブをクリックします。

3. 「プロパティ」をクリックします。「メンバー (Member of)」の下で、「ドメイン (Domain)」を選択して、結合したいドメインの名前を入力します。「OK」をクリックして先へ進みます。



4. 「ドメイン・ユーザー名とパスワード (Domain Username And Password)」ウィンドウで、有効なユーザー名とパスワードを入力してから、「OK」をクリックしてシステムをドメインに結合します。

5. 結合操作が正常に行われた場合には、示すように、「ようこそ」ウィンドウが表示されます。「OK」をクリックして先へ進みます。



6. システムをリブートすることが必要であることを示す、ダイアログが表示されます。「OK」をクリックして先へ進みます。

7. 「システムのプロパティー」ノートブックが表示され、結合操作が完了したことを示します。「OK」をクリックしてシステムを再始動します。

注: システムを再始動した後で、結合したばかりの AD ドメインにサインオンしていることを確認してください。通常、ローカル・ドメインは、「Windows ログイン (Windows Login)」ウィンドウのデフォルトのドメインです。

Active Directory 管理ユーザーを作成するActive Directory 管理ユーザーを Tivoli Access Manager の初期化用に作成するには、以下のステップに従ってください。

1. Active Directory サーバー・システムで、「スタート」→「すべてのプログラム」→「管理ツール」→「Active Directory Users and Computers」を順に選択します。



2. 新しいユーザーを作成してこの新しいユーザーを Administrators のグループ、Domain Admins、Enterprise Admins および Schema Admins に追加します。このユーザーは、Active Directory ユーザーのみで、Tivoli Access Manager ユーザーではありません。ユーザー・ログイン名としてどのような名前も選択できますが、Tivoli Access Manager アドミニストレーター用に予約されている、sec_master を除きます。

Active Directory の複製ドメイン・コントローラーが変更を Active Directory のローカル・コピーに書き込むと、ドメイン・コントローラーの複製パートナーに変更を通知する必要のある時点を決めるタイマーが始動します。デフォルトで、このインターバルは 300 秒 (5

分) です。このインターバルが経過すると、ドメイン・コントローラーは各サイト内複製パートナーに、伝搬の必要のある変更がある旨の通知を開始します。別の構成可能パラメーターが通知と通知の間で休止する秒数を決めます。このパラメーターは、複製パートナーによる同時応答を防止します。デフォルトで、このインターバルは 30 秒です。これらのインターバルは、両方ともレジストリーを編集することによって変更できます。

Active Directory への変更と最初の複製パートナーの通知との間の遅延を変更するには、「レジストリー・エディター (Registry Editor)」を使用して、次のレジストリー・キーの「変更の後での複製者の通知の休止 (秒数)(Replicator notify pauseafter modify (secs)) DWORD」値の値データを変更します。

HKEY_LOCAL_MACHINE¥System¥CurrentControlSet¥Services¥NTDS¥Parameters

重要: Registry Editor を使用してデータを変更するときの使用上の注意。間違って使用すると、オペレーティング・システムの再インストールが必要になる可能性のある重大な問題が引き起こされる場合があります。

「変更の後での複製者の通知の休止 (秒数)(Replicator notify pause after modify(secs))」DWORD 値のデフォルトの値データは、16 進形式の 0x12c で、10 進形式で 300 (5 分) です。

ドメイン・コントローラー間の通知遅延を変更するには、Registry Editor を使用して、次のレジストリー・キーの「DSA 間の複製者の通知の休止 (秒数)(Replicatornotify pause between DSAs (secs)) DWORD」値の値データを変更します。

HKEY_LOCAL_MACHINE¥System¥CurrentControlSet¥Services¥NTDS¥Parameters

「DSA 間の複製者の通知の休止 (秒数)(Replicator notify pause between DSAs(secs)) DWORD 値のデフォルトの値データは、16 進形式の 0x1e で、10 進形式で 30 (30 秒) です。

注: レジストリーを編集する前にポリシー・サーバーを停止し、その後でシステムを再始動する必要があります。

Active Directory マルチドメインの構成時に、デフォルト値が 5 分のデータの伝搬遅延が発生します。非ルート・ドメインで作成されたばかりのユーザーまたはグループは、user list または group list コマンドを発行したときに、可視にならない可能性があります。同様に、1 次ルート・ドメイン・コントローラーで作成されたばかりのユーザーまたはグループは、2 次ルート・ドメインですぐには可視になら



ない可能性があります。Windows システムのレジストリーの「変更の後での複製者の通知の休止 (Replicator notify pause after modify)」および「DSA 間の複製者の通知の休止 (Replicator notify pause between DSAs)」の値を調整することによって、ユーザーの環境のニーズに最もよく適合するように動作を変更できます。



Novell eDirectory をセットアップする始める前に、Novell eDirectory の基本サーバーのインストールと構成および以下のWeb アドレスの Novell 製品資料に説明されている ConsoleOne ツールのインストールと構成が完了したことを確認してください。

Novell eDirectory、バージョン 8.6.2 については、次の Web サイトを参照してください。

http://www.novell.com/documentation/lg/ndsedir86/index.html

Novell eDirectory、バージョン 8.7 については、次の Web サイトを参照してください。

http://www.novell.com/documentation/lg/edir87/index.html

さらに、 27ページの『サポートされるレジストリー』にリストされているシステム要件を検討して、その要件を満たしていることを確認します。

Novell eDirectory を Tivoli Access Manager 用に構成するには、以下のステップに従ってください。

1. Novell Client ワークステーションにログインして、ConsoleOne を開始します。

2. NDS ツリーを展開して、次にインストール時に作成したツリーを展開します。ツリーの下には、組織オブジェクトとセキュリティー・コンテナー・オブジェクトの 2 つの子エントリーがあります。

3. 「組織」アイコンを選択します。ウィンドウのためにペインには、ユーザーの組織のオブジェクトが表示されます。

4. Tivoli Access Manager がそのスキーマをインストールできるように、スキーマを更新するには、「LDAP グループ (LDAP Group)」オブジェクトを右マウス・ボタン・クリックして、「プロパティ」を選択します。「プロパティ」ノートブックが表示されます。

5. 「LDAP グループのプロパティ (Properties of the LDAP Group)」ウィンドウで、「クラス・マッピング (Class Mappings)」タブを選択します。

6. 「LDAP グループ・クラス・マッピングのテーブル (Table of LDAP Group

Class Mappings)」ウィンドウで、以下のエントリーを削除し、次に「適用(Apply)」を選択します。

inetOrgPersongroupOFNames

7. 「LDAP グループのプロパティ (Properties of the LDAP Group)」画面で、「属性マッピング (Attribute Mappings)」タブを選択します。「LDAP グループ属性マッピングのテーブル (Table of LDAP Group Attribute Mappings)」ウィンドウが表示されます。

8. テーブルをスクロールして、NDS Attributes Member 属性を選択します。対応する LDAP 属性値も Member であることを確認します。 LDAP 属性値が Member

でない場合には、「変更 (Modify)」をクリックします。

9. 「属性マッピング (Attribute Mapping)」ウィンドウで、以下を入力して、次に「OK」を選択します。

v NDS 属性 = Member

Novell eDirectory をセットアップする




v 1 次 LDAP 属性 = Member

v 2 次 LDAP 属性 = uniqueMember

10. 「LDAP グループのプロパティ (Properties of the LDAP Group)」ウィンドウで、「適用 (Apply)」と「クローズ (Close)」をクリックします。

Tivoli Access Manager と一緒に使用できるように Novell eDirectory をセットアップした後、次のステップは、ポリシー・サーバーをセットアップすることです。説明については、 111ページの『第 5 章ポリシー・サーバーをセットアップする』を参照してください。

Novell eDirectory の使用時Novell eDirectory は、オブジェクト・クラス User と Group をその基本スキーマの一部として定義します。これらのオブジェクト・クラスのインスタンスは、それぞれユーザーまたはグループを定義するときに eDirectory アドミニストレーターによって定義されます。これらのオブジェクト・クラスは、両方ともリーフ・ノードとして eDirectory によって定義されます。eDirectory は、これらのオブジェクト・クラスがコンテナー・オブジェクトでないことを指定する、これらのオブジェクト・クラス定義のそれぞれに属性 X-NDS_NOT_CONTAINER ’1’ を追加します。コンテナー・オブジェクトでないことは、これらのオブジェクト・クラスのインスタンスの下にオブジェクトを定義できないことを意味します。

Tivoli Access Manager は、オブジェクトをインポートして Tivoli Access Manager

が使用できるようにするために、以前から存在する eDirectory ユーザーおよびグループの下に自分のオブジェクトを付加できる機能を必要とします。Tivoli Access

Manager が自分のオブジェクト・クラス定義を eDirectory スキーマに追加する場合、eDirectory User および Group オブジェクト・クラスの再定義も行い、これらのクラスのインスタンスがコンテナー・オブジェクトになることができるようにします。Novell eDirectory は、そのスキーマ定義の変更ができるようにします。

以下の Novell eDirectory アドミニストレーターのアクションによって、User ユーザー・オブジェクトへの Tivoli Access Manager の変更が元に戻されます。Groupオブジェクト・クラスは、影響を受けません。

v rebuild schema オプションを使用した eDirectory データベース修理ツール、ndsrepair の実行。

v iManager コンソールからの Basic Repair の実行および rebuild operationalschema オプションを使用したローカル・データベース修理の実行。

v Novell eDirectory へのパッチ更新の適用。

v より最新のバージョンへの Novell eDirectory のアップグレード。

eDirectory サーバーに Tivoli Access Manager が構成された後でこれらの操作のいずれかを実行する必要が生じた場合には、次の Tivoli Access Manager ユーティリティーを即時に実行して、User オブジェクト・クラスの定義が復元されていることを確認してください。

ivrgy_tool -h edir_server_name -p port -D edir_admin_dn -w edir_admin_pwd schema

ivrgy_tool.exe は、sbin サブディレクトリーにあります。以下に例を示します。

v Windows システムでは: d:¥Program Files¥Tivoli¥Policy Director¥sbin



v UNIX システムでは: /opt/PolicyDirector/sbin

このユーティリティーの実行は、Tivoli Access Manager が sbin ディレクトリーをシステム PATH に追加しないため、sbin ディレクトリーから行う必要があります。このユーティリティーについては、 482ページの『ivrgy_tool』を参照してください。



Sun ONE Directory Server をセットアップする始める前に、Sun ONE Directory Server 製品資料に説明されている基本サーバーのインストールと構成が完了したことを確認してください。詳しくは、次の Web アドレスにある Sun の資料を参照してください。


Sun ONE Directory Server を Tivoli Access Manager 用に構成するには、以下のステップに従ってください。

注: 非 ASCII 文字を属性に保管するには、ディレクトリー・サーバーの構成時に 7

ビット検査プラグインを使用不可にする必要があります。このプラグインのデフォルト値は、on に設定されます。

1. ディレクトリー・サーバー・デーモン、slapd-serverID が実行していることを検査します (ps コマンド、またはご使用のオペレーティング・システム用の同等のコマンドを使用して)。

2. ディレクトリー・サーバー・デーモン (slapd-serverID) および管理サーバー・デーモン (admin-serv) が実行していることを確認します。実行していない場合には、以下のコマンドを入力してそれらを開始します。


% ServerRoot/slapd-serverID/start-slapd

% ServerRoot/start-admin

v Window システムでは、「サービス」を使用して Sun ONE Administration

Server 5.2 および Sun ONE Directory Server 5.2 のサービスを開始します。

3. コンソールを開始するには、以下のいずれかを入力します。


% ServerRoot/startconsole

v Windows システムでは、「スタート」→「すべてのプログラム」→「SunONE Server Products」→「Sun ONE Server Console 5.2」を選択します。

ユーザーの構成ディレクトリー (o=NetscapeRoot ディレクトリー) が Sun ONE

Directory Server の別個のインスタンスに保管されていない限り、「Sun ONE

Server Console Login」ダイアログが表示されます。この場合、ユーザーのアドミニストレーター・ユーザー DN、パスワード、およびそのディレクトリー・サーバーの管理サーバーの Web アドレスを要求するウィンドウが表示されます。

4. LDAP アドミニストレーター用のユーザー ID およびパスワードを使用してログインします。たとえば、cn=Directory Manager と該当するパスワードを入力して、次に「OK」をクリックします。

Sun ONE Directory Server をセットアップする



Sun ONE Server Console が表示されます。

5. 左のペインのペインのツリーをナビゲートして、ユーザーの Directory Server

にホストとしてのサービスを提供するシステムを見付けて、それをクリックしその一般プロパティーを表示します。

6. そのツリーでユーザーの Directory Server の名前をダブルクリックするかまたは「開く (Open)」をクリックします。この Directory Server インスタンスを管理するための Directory Server Console が表示されます。



7. 「構成 (Configuration)」タブで、左のペインの「データ (Data)」を右マウス・ボタン・クリックして、次に「新規サフィックス (New Suffix)」を選択します。メニュー・バーから「データ (Data)」を選択し、次に「オブジェクト(Object)」→「新規サフィックス (New Suffix)」を選択することによって、新しいサフィックスを作成することもできます。

8. Tivoli Access Manager データを保持するサフィックスを作成するには、secAuthority=Default と入力してから、「OK」をクリックします。

サフィックスの作成の進行が、状況ウィンドウに表示されます。

9. Data ノードを展開して、サフィックスが作成されたことを確認します。ユーザーおよびグループ・データを保持するためのサフィックスの作成を選択した場合、この手順に再度従って別のサフィックスを作成します。たとえば、o=tivoli,c=us という名前のサフィックスを作成することもできます。


v secAuthority=Default 以外のサフィックスを追加しなかった場合、構成は完了しています。ポリシー・サーバーが構成されると、secAuthority=Default

のディレクトリー・エントリーが自動的に追加されます。



v secAuthority=Default 以外のサフィックスを追加した場合、ステップ 11 まで続行してそれぞれの新しいサフィックスごとのディレクトリー・エントリーを作成します。

11. 「ディレクトリー (Directory)」タブを選択して、左側ペインの上部にあるサーバーの名前を強調表示します。

12. 「オブジェクト (Objects)」→「新規ルート・オブジェクト (New RootObject)」を選択します。まだエントリーが存在しない新しいサフィックスのリストが、示すように、表示されます。

13. それぞれの新しいサフィックスごとに (secAuthority=Default 以外の)、新しいサフィックスを選択します。「新規オブジェクト (New Object)」ペインが表示されます。スクロールダウンして、作成しているサフィックスに対応するエントリー・タイプを見付けます。たとえば、o=tivoli,c=us という名前のサフィックスに organization を選択することもできます。示すように、エントリー・タイプを強調表示して、「OK」をクリックします。



14. 「総称エディター (Generic Editor)」ウィンドウから、そのエントリーの値を入力します。o=tivoli,c=us の例の場合、organization の値として tivoli を入力して、次に「OK」をクリックします。

15. 追加したそれぞれのサフィックスごとのエントリーを作成した後、「コンソール (Console)」→「終了」を選択してコンソールをクローズします。

Tivoli Access Manager と一緒に使用できるように Sun ONE Directory Server をセットアップした後、次のステップは、ポリシー・サーバーをセットアップすることです。説明については、 111ページの『第 5 章ポリシー・サーバーをセットアップする』を参照してください。



第 5 章ポリシー・サーバーをセットアップする

本章には、Tivoli Access Manager ポリシー・サーバー・システムのインストールおよび構成に関する情報を記載します。それぞれのセキュア・ドメインごとにポリシー・サーバーを 1 つのみインストールして構成する必要があります。ご使用のレジストリー・サーバーとは別のシステムにポリシー・サーバーをセットアップすることをお勧めします。

オプショナル: システム障害の発生に備えて場合のスタンバイ・ポリシー・サーバーをセットアップできます (AIX 上でのみ)。この機能には、HACMP (High

Availability Cluster Multiprocessing) を含む、追加のソフトウェアとハードウェアが必要になります。その情報および基本的な指示については、 439ページの『第 25

章 AIX: スタンバイ・ポリシー・サーバーをセットアップする』を参照してください。

以下のインストール方法のいずれかを使用してシステムをセットアップできます。

v 『インストール・ウィザードを使用してインストールする』


インストール・ウィザードを使用してインストールするinstall_ammgr インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、IBM Tivoli Access Manager ポリシー・サーバー・システムのセットアップを単純化します。


v IBM Tivoli Directory Client、バージョン 5.2 (必要に応じて)


v Access Manager Policy Server、バージョン 5.1

注: ウィザードは、コンポーネントがインストールされているかどうかを検出して、その再インストールは行わないようにします。

install_ammgr ウィザードを使用してポリシー・サーバー・システムをインストールして構成するには、以下のステップに従います。


2. ポリシー・サーバーをインストールする前にユーザーのレジストリー・サーバーが稼働中 (通常モードで) であることを確認します。



4. 英語 (デフォルト) 以外の言語で状況とメッセージを表示するには、インストール・ウィザードを実行する前に言語サポート・パッケージをインストールします。説明については、 49ページの『言語サポート・パッケージをインストールする』を参照してください。


6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows の各プラットフォームの Tivoli Access Manager Base CD のルート・ディレクトリーに入っている、install_ammgr プログラムを実行します。

インストール・ウィザードは、 347ページの『install_ammgr ウィザードを使用する』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

これによってポリシー・サーバー・システムのセットアップが完了します。別のTivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。

ネイティブ・ユーティリティーを使用してインストールする以下のセクションによって、精通したプラットフォーム固有のユーティリティーを使用して Tivoli Access Manager ソフトウェアをインストールできます。自動インストール・ウィザードと異なり、それぞれのコンポーネントのパッケージ、および前提条件ソフトウェアがある場合にはその前提条件ソフトウェアを適切な順序で手動でインストールする必要があります。インストールの後で、ソフトウェア・パッケージを構成するには、pdconfig ユーティリティーを使用します。







AIX: ポリシー・サーバーをインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager ポリシー・サーバー・システムを AIX にインストールするには、以下のステップに従ってください。



3. IBM Tivoli Access Manager Base for AIX CD を挿入して、それをマウントします。

ポリシー・サーバーをセットアップする



5. IBM Tivoli Directory Client をインストールします。説明については、297 ページを参照してください。

6. 以下のパッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images packages


PD.RTE Access Manager Runtime パッケージを指定します。

PD.Mgr Access Manager Policy Server パッケージを指定します。

注: ポリシー・サーバーをインストールする場合、最初に Access Manager

Runtime をインストールする必要があります。しかし、ポリシー・サーバーがインストールされるまではこのコンポーネントの構成をしてはいけません。

7. 英語 (デフォルト) 以外の言語で状況とメッセージを表示するには、パッケージを構成する前に言語サポート・パッケージをインストールする必要があります。説明については、 49ページの『言語サポート・パッケージをインストールする』を参照してください。

8. 次のように、Access Manager Runtime を構成し、続いて Access Manager Policy

Server パッケージを構成します。

a. 構成ユーティリティーを開始します。

pdconfig

「Tivoli Access Manager セットアップ・メニュー」が表示されます。

b. 「パッケージの構成」のメニュー番号 1 を入力します。「Tivoli AccessManager 構成メニュー」が表示されます。

c. 構成したいパッケージのメニュー番号を一度に 1 つずつ選択します。

選択したパッケージに応じて、構成オプションのプロンプトが出されます。これらの構成オプションについて援助を得たい場合には、 395ページの『第23 章 pdconfig オプション』を参照してください。

パッケージが正常に構成されたことを示すメッセージが表示されたときには、Enter を押して別のパッケージを構成するかまたは x オプションを二度選択して構成ユーティリティーをクローズします。


Tivoli Access Manager ポリシー・サーバーの構成によって pdcacert.b64 という名前のデフォルトの SSL 認証権限ファイルが作成されることに注意してください。Access Manager Policy Server コンポーネントが正常に構成されると、以下のようなメッセージが表示されます。


第 5 章ポリシー・サーバーをセットアップする 113

Access Manager Policy Server configuration completed successfully.The Manager’s CA certificate is base64-encoded and saved in text file/var/PolicyDirector/keytab/pdcacert.b64You must distribute this file to each machine in your secure domain.It is needed for successful configuration.

Tivoli Access Manager ランタイム・システムが Tivoli Access Manager サーバーに認証するには、各ランタイム・システムにはこのファイルのコピーが必要になります。このファイルを入手するには、以下のいずれかをします。

v Access Manager Runtime パッケージの構成時に (pdconfig ユーティリティーを使用して)、pdcacert.b64 ファイルのダウンロードが自動的に選択されます。

v Access Manager Runtime コンポーネントを構成する前に pdcacert.b64 ファイルを Tivoli Access Manager システムに手動でコピーします。

HP-UX: ポリシー・サーバーをインストールする次の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager ポリシー・サーバー・システムを HP-UX にインストールするには、以下のステップに従ってください。



3. IBM Tivoli Access Manager Base for HP-UX CD を挿入します。







am_update_ldap.sh




PDRTE Access Manager Runtime パッケージを指定します。

PDMgr Access Manager Policy Server パッケージを指定します。









pdconfig






11. 以下のように、CD をアンマウントします。

pfs_umount -c /cd-rom

ここで、/cd-rom はマウント・ポイントです。









Linux: ポリシー・サーバーをインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager ポリシー・サーバー・システムを Linux にインストールするには、以下のステップに従ってください。

注: zSeries 上の Linux ユーザー: IBM Tivoli Access Manager for Linux on zSeries




3. xSeries または zSeries 用の IBM Tivoli Access Manager Base CD を挿入して、それをマウントします。

4. /mnt/cdrom/series ディレクトリーに移動する。ここで、/mnt/cdrom は、CD

のマウント・ポイントで、series は、xSeries または zSeries を指定します。




rpm -ihv packages


Access Manager Runtime Access Manager Policy Server

xSeries 上の Linux PDRTE-PD-5.1.0-0.i386.rpm PDMgr-PD-5.1.0-0.i386.rpm

zSeries 上の Linux PDRTE-PD-5.1.0-0.s390.rpm PDMgr-PD-5.1.0-0.s390.rpm







pdconfig














Solaris: ポリシー・サーバーをインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager ポリシー・サーバー・システムを Solaris にインストールするには、以下のステップに従ってください。



3. IBM Tivoli Access Manager Base for Solaris CD を挿入します。



6. 以下のパッケージをインストールします (一度に 1 つずつ)。




ここで、







PDMgr Access Manager Policy Server パッケージを指定します。



それぞれのパッケージごとにインストール・プロセスが完了すると、次のメッセージが表示されます。

Installation of package successful.





pdconfig














Windows: ポリシー・サーバーをインストールする次の手順では、setup.exe を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager ポリシー・サーバー・システムを Windows にインストールするには、以下のステップに従ってください。



3. IBM Tivoli Access Manager Base for Windows NT, Windows XP, Windows 2000

and Windows 2003 CD を挿入します。



6. Access Manager Runtime パッケージおよび Access Manager Policy Server パッケージをインストールします。そうするには、次のディレクトリーに入っているsetup.exe プログラムを実行します。

windows¥PolicyDirector¥Disk Images¥Disk1

オンラインの指示に従ってインストールを完了してください。









pdconfig

「Access Manager Configuration」ウィンドウが表示されます。

b. 「Access Manager Runtime」パッケージを選択して、「構成」をクリックします。

c. 「Access Manager Policy Server」パッケージを選択して、「構成」をクリックします。

選択したパッケージに応じて、構成オプションのプロンプトが出されます。これらの構成オプションについて援助を得たい場合には、 395ページの『第 23 章pdconfig オプション』を参照してください。



Access Manager Policy Server configuration completed successfully.The Manager’s CA certificate is base64-encoded and saved in text fileC:¥PROGRA~1¥Tivoli¥POLICY~1¥keytab¥pdcacert.b64You must distribute this file to each machine in your secure domain.It is needed for successful configuration.






第 6 章許可サーバーをセットアップする

本章には、Tivoli Access Manager 許可サーバー・システムのインストールおよび構成に関する情報を記載します。




インストール・ウィザードを使用してインストールするinstall_amacld インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、IBM Tivoli Access Manager 許可サーバー・システムのセットアップを単純化します。






install_amacld ウィザードを使用して許可サーバー・システムをインストールして構成するには、以下のステップに従います。


2. レジストリー・サーバーとポリシー・サーバーが稼働中 (通常モードで) であることを確認します。



5. Windows システムのみでは:

v すべての実行中のプログラムを終了します。

v Active Directory を使用している場合、インストール・ウィザードを実行する前に IBM Tivoli Directory Client をインストールする必要があります。そうするには、cd_drive:¥windows¥directory¥ に入っている setup.exe プログラムを実行します。Client SDK 5.2 フィーチャーのインストールを選択して、オンライン指示を完了します。


6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows の各プラットフォームの Tivoli Access Manager Base CD のルート・ディレクトリーに入っている、install_amacld プログラムを実行します。

インストール・ウィザードは、 367ページの『install_amacld』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

これによって許可サーバー・システムのセットアップが完了します。別の Tivoli

Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。

ネイティブ・ユーティリティーを使用してインストールする以下のセクションによって、精通したプラットフォーム固有のユーティリティーを使用して Tivoli Access Manager ソフトウェアをインストールできます。自動インストール・ウィザードと異なり、それぞれのコンポーネントおよび前提条件ソフトウェアがある場合にはその前提条件ソフトウェアを適切な順序で手動でインストールする必要があります。インストールの後で、ソフトウェア・パッケージを構成するには、pdconfig ユーティリティーを使用します。







AIX: 許可サーバーをインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager 許可サーバー・システムをインストールするには、以下のステップに従ってください。








許可サーバーをセットアップする




PD.Acld Access Manager Authorization Server パッケージを指定します。


8. 次のように、Access Manager Runtime を構成し、続いて Access Manager

Authorization Server パッケージを構成します。


pdconfig





パッケージが正常に構成されたことを示すメッセージが表示されたときには、Enterを押して別のパッケージを構成するかまたは x オプションを二度選択して構成ユーティリティーをクローズします。



HP-UX: 許可サーバーをインストールする次の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。









第 6 章許可サーバーをセットアップする 123




am_update_ldap.sh





PDAcld Access Manager Authorization Server パッケージを指定します。





pdconfig











Linux: 許可サーバーをインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。














rpm -ihv packages


Access Manager Runtime Access Manager AuthorizationServer

xSeries 上の Linux PDRTE-PD-5.1.0-0.i386.rpm PDAcld-PD-5.1.0-0.i386.rpm

zSeries 上の Linux PDRTE-PD-5.1.0-0.s390.rpm PDAcld-PD-5.1.0-0.s390.rpm





pdconfig










Solaris: 許可サーバーをインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。







6. 以下のパッケージをインストールする (一度に 1 つずつ)。


ここで、







PDAcld Access Manager Authorization Server パッケージを指定します。







pdconfig









Windows: 許可サーバーをインストールする次の手順では、setup.exe を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。








6. Access Manager Runtime パッケージおよび Access Manager Authorization Server

パッケージをインストールします。そうするには、次のディレクトリーに入っている setup.exe プログラムを実行します。







pdconfig





c. 「Access Manager Authorization Server」パッケージを選択して、「構成」をクリックします。






第 7 章開発 (ADK) システムをセットアップする

本章には、Tivoli Access Manager 開発 (ADK) システムのインストールおよび構成に関する情報を記載します。




インストール・ウィザードを使用してインストールするinstall_amadk インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、IBM Tivoli Access Manager 開発(ADK) システムのセットアップを単純化します。




v Access Manager Application Development Kit、バージョン 5.1


install_amadk ウィザードを使用して開発 (ADK) システムをインストールして構成するには、以下のステップに従います。






6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows の各プラットフォームの Tivoli Access Manager Base CD のルート・ディレクトリーに入っている、install_amadk プログラムを実行します。

インストール・ウィザードは、 369ページの『install_amadk』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。


これによって開発 (ADK) システムのセットアップが完了します。別の Tivoli


ネイティブ・ユーティリティーを使用してインストールする以下のセクションによって、精通したプラットフォーム固有のユーティリティーを使用して Tivoli Access Manager ソフトウェアをインストールできます。自動インストール・ウィザードと異なり、それぞれのコンポーネントおよび前提条件ソフトウェアがある場合にはその前提条件ソフトウェアを適切な順序で手動でインストールする必要があります。インストールの後で、Access Manager Runtime コンポーネントを構成するには、pdconfig ユーティリティーを使用します。







AIX: 開発 (ADK) システムをインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager 開発 (ADK) システムをインストールするには、以下のステップに従ってください。










PD.AuthADK Access Manager Application Development Kit パッケージを指定します。

開発 (ADK) システムをセットアップする



8. 次のように、Access Manager Runtime パッケージを構成します。


pdconfig



c. 構成したいパッケージのメニュー番号を選択します。構成オプションについて援助を得たい場合には、 395ページの『第 23 章 pdconfig オプション』を参照してください。

パッケージが正常に構成されたことを示すメッセージが表示されたときには、x オプションを二度選択して構成ユーティリティーをクローズします。

これによって Tivoli Access Manager 開発 (ADK) システムのセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。

HP-UX: 開発 (ADK) システムをインストールする次の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。











am_update_ldap.sh


第 7 章開発 (ADK) システムをセットアップする 131





PDAuthADK Access Manager Application Development Kit パッケージを指定します。


10. 次のように、Access Manager Runtime コンポーネントを構成します。


pdconfig









Linux: 開発 (ADK) システムをインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。







Base CD を挿入します。







rpm -ihv packages


Access Manager Runtime Access Manager ApplicationDevelopment Kit

xSeries 上の Linux PDRTE-PD-5.1.0-0.i386.rpm PDAuthADK-PD-5.1.0-0.i386.rpm

zSeries 上の Linux PDRTE-PD-5.1.0-0.s390.rpm PDAuthADK-PD-5.1.0-0.s390.rpm

pSeries および iSeries

上の Linux

PDRTE-PD-5.1.0-0.ppc.rpm PDAuthADK-PD-5.1.0-0.ppc.rpm




pdconfig






Solaris: 開発 (ADK) システムをインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。











ここで、







PDAuthADK Access Manager Application Development Kit パッケージを指定します。






pdconfig








Windows: 開発 (ADK) システムをインストールする次の手順では、setup.exe を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。








6. Access Manager Runtime パッケージおよび Access Manager Application

Development Kit パッケージをインストールします。そうするには、次のディレクトリーに入っている setup.exe プログラムを実行します。






pdconfig



構成オプションについて援助を得たい場合には、 395ページの『第 23 章pdconfig オプション』を参照してください。

パッケージが正常に構成されたことを示すメッセージが表示されたときには、「クローズ (Close)」をクリックして構成ユーティリティーをクローズします。




第 8 章 Java Runtime Environment システムをセットアップする

本章には、Tivoli Access Manager Java Runtime Environment システムのインストールおよび構成に関する情報を記載します。




インストール・ウィザードを使用してインストールするinstall_amjrte インストール・ウィザードは、Access Manager Java Runtime

Environment、バージョン 5.1 コンポーネントをインストールして構成することによって、Tivoli Access Manager Java Runtime Environment システムのセットアップを単純化します。


install_amjrte ウィザードを使用して Java Runtime Environment システムをインストールして構成するには、以下のステップに従います。



3. ポリシー・サーバーが稼働中であることを確認します。



6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows の各プラットフォームの Tivoli Access Manager Base CD のルート・ディレクトリーに入っている、install_amjrte プログラムを実行します。

インストール・ウィザードは、 370ページの『install_amjrte』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。


これによって Java Runtime Environment システムのセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。

ネイティブ・ユーティリティーを使用してインストールする以下のセクションによって、精通したプラットフォーム固有のユーティリティーを使用して Tivoli Access Manager ソフトウェアをインストールできます。自動インストール・ウィザードと異なり、それぞれのコンポーネントおよび前提条件ソフトウェアがある場合にはその前提条件ソフトウェアを適切な順序で手動でインストールする必要があります。インストールの後で、ソフトウェア・パッケージを構成するには、pdjrtecfg ユーティリティーを使用します。

注: Access Manager Runtime コンポーネントをご使用のシステムにインストールする場合、pdconfig または pdjrtecfg ユーティリティーを使用して Access

Manager Java Runtime Environment コンポーネントを構成できます。







AIX: Java Runtime Environment システムをインストールする次の手順では、installp を使用して Access Manager Java Runtime Environment パッケージをインストールし、pdjrtecfg ユーティリティーを使用して構成します。

Tivoli Access Manager Java Runtime Environment システムを AIX にインストールするには、以下のステップに従ってください。


2. IBM JRE、バージョン 1.3.1.5 をインストールします。説明については、301 ページを参照してください。


4. Access Manager Java Runtime Environment パッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images PDJ.rte



Java Runtime Environment システムをセットアップする


6. Access Manager Java Runtime Environment コンポーネントを構成するには、/opt/PolicyDirector/sbin ディレクトリーに移動して以下を行います。

v IBM JRE 1.3.1.5 内で使用できるように構成する場合、以下を入力します。

./pdjrtecfg -action config -interactive

v Sun JRE 1.4 内で使用できるように構成する場合、以下を入力します。

./pdjrtecfg -action config -host policy_server_host -port port -java_home jre_path

注:

1. 構成タイプ Full を指定して Java Runtime Environment をセットアップするには、ポリシー・サーバーとレジストリー・サーバーが実行中であることを確認してください。構成タイプが standalone である場合には、この必要はありません。

2. Sun JRE 1.4 を使用するときには、pdjrtecfg -interactive または pdconfig ユーティリティーを使用しないでください。使用した場合には、構成が失敗する可能性があります。これらのユーティリティーについては、 502ページの『pdjrtecfg』および 501ページの『pdconfig』を参照してください。


HP-UX: Java Runtime Environment システムをインストールする

次の手順では、swinstall を使用して Access Manager Java Runtime Environment パッケージをインストールし、pdjrtecfg ユーティリティーを使用して構成します。

Tivoli Access Manager Java Runtime Environment システムを HP-UX にインストールして構成するには、以下のステップに従ってください。


2. IBM JRE、バージョン 1.3.1 をインストールします。説明については、302 ページを参照してください。





5. Access Manager Java Runtime Environment パッケージをインストールするには、以下を入力します。

swinstall -s /cd-rom/hp PDJrte



第 8 章 Java Runtime Environment システムをセットアップする 139


v IBM JRE 1.3.1 内で使用できるように構成する場合、以下を入力します。




注:


2. Sun JRE 1.4 を使用するときには、pdjrtecfg -interactive またはpdconfig ユーティリティーを使用しないでください。使用した場合には、構成が失敗する可能性があります。これらのユーティリティーについては、 502ページの『pdjrtecfg』および 501ページの『pdconfig』を参照してください。

v 以下のように、CD をアンマウントします。




Linux: Java Runtime Environment システムをインストールする

次の手順では、rpm を使用して Access Manager Java Runtime Environment パッケージをインストールし、pdjrtecfg ユーティリティーを使用して構成します。

Tivoli Access Manager Java Runtime Environment システムを Linux にインストールするには、以下のステップに従ってください。









rpm -ihv package



ここで、package は以下のとおりです。

v xSeries 上の Linux: PDJrte-PD-5.1.0-0.i386.rpm

v zSeries 上の Linux: PDJrte-PD-5.1.0-0.s390.rpm

v pSeries および iSeries 上の Linux: PDJrte-PD-5.1.0-0.ppc.rpm







注:


2. Sun JRE 1.4 を使用するときには、pdjrtecfg -interactive または pdconfigユーティリティーを使用しないでください。使用した場合には、構成が失敗する可能性があります。これらのユーティリティーについては、 502ページの『pdjrtecfg』および 501ページの『pdconfig』を参照してください。


Solaris: Java Runtime Environment システムをインストールする

次の手順では、pkgadd を使用して Access Manager Java Runtime Environment パッケージをインストールし、pdjrtecfg ユーティリティーを使用して構成します。

Tivoli Access Manager Java Runtime Environment システムを Solaris にインストールして構成するには、以下のステップに従ってください。





pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDJrte







v IBM JRE 1.3.1 内で使用できるように構成する場合、以下のコマンドを入力します。




注:


2. Sun JRE 1.4 を使用するときには、pdjrtecfg -interactive または pdconfigユーティリティーを使用しないでください。使用した場合には、構成が失敗する可能性があります。これらのユーティリティーについては、 502ページの『pdjrtecfg』および 501ページの『pdconfig』を参照してください。


Windows: Java Runtime Environment システムをインストールする

次の手順では、setup.exe プログラムを使用して Access Manager Java Runtime

Environment パッケージをインストールし、pdjrtecfg ユーティリティーを使用して構成します。

Tivoli Access Manager Java Runtime Environment システムを Windows にインストールして構成するには、以下のステップに従ってください。

1. Windows アドミニストレーター特権を持つユーザーとしてログオンします。




4. Access Manager Java Runtime Environment パッケージをインストールします。そうするには、次のディレクトリーに入っている setup.exe ファイルを実行します。






6. Access Manager Java Runtime Environment コンポーネントを構成するには、c:¥Program Files¥Tivoli¥Policy Director¥sbin ディレクトリーに移動して以下を行います。


pdjrtecfg -action config -interactive


pdjrtecfg -action config -host policy_server_host -port port -java_home jre_path

注:


2. Sun JRE 1.4 を使用するときには、pdjrtecfg -interactive または pdconfig ユーティリティーを使用しないでください。使用した場合には、構成が失敗する可能性があります。これらのユーティリティーについては、 502ページの『pdjrtecfg』および 501ページの『pdconfig』を参照してください。




第 9 章ポリシー・プロキシー・サーバーをセットアップする

本章には、Tivoli Access Manager ポリシー・プロキシー・サーバー・システムのインストールおよび構成に関する情報を記載します。




インストール・ウィザードを使用してインストールするinstall_amproxy インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、IBM Tivoli Access Manager Policy

Proxy Server システムのセットアップを単純化します。




v Access Manager Policy Proxy Server、バージョン 5.1


install_amproxy ウィザードを使用してポリシー・プロキシー・サーバー・システムをインストールして構成するには、以下のステップに従います。









6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows の各プラットフォームの Tivoli Access Manager Base CD のルート・ディレクトリーに入っている、install_amproxy プログラムを実行します。

インストール・ウィザードは、 373ページの『install_amproxy』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

これによってポリシー・プロキシー・サーバー・システムのセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。








AIX: ポリシー・プロキシー・サーバーをインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager ポリシー・プロキシー・サーバー・システムをインストールするには、以下のステップに従ってください。








ポリシー・プロキシー・サーバーをセットアップする




PD.Proxy Access Manager Proxy Policy Server パッケージを指定します。


8. 次のように、Access Manager Runtime を構成し、続いて Access Manager Proxy

Policy Server パッケージを構成します。


pdconfig







HP-UX: ポリシー・プロキシー・サーバーをインストールする次の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。









第 9 章ポリシー・プロキシー・サーバーをセットアップする 147




am_update_ldap.sh





PDProxy Access Manager Policy Proxy Server パッケージを指定します。





pdconfig










Linux: ポリシー・プロキシー・サーバーをインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。














rpm -ihv packages


Access Manager Runtime Access Manager Policy ProxyServer

xSeries 上の Linux PDRTE-PD-5.1.0-0.i386.rpm PDMgrPrxy-PD-5.1.0-0.i386.rpm

zSeries 上の Linux PDRTE-PD-5.1.0-0.s390.rpm PDMgrPrxy-PD-5.1.0-0.s390.rpm





pdconfig









Solaris: ポリシー・プロキシー・サーバーをインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。









ここで、







PDProxy Access Manager Policy Proxy Server パッケージを指定します。







pdconfig









Windows: ポリシー・プロキシー・サーバーをインストールする次の手順では、setup.exe を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。








6. Access Manager Runtime パッケージおよび Access Manager Policy Proxy Server

パッケージをインストールします。そうするには、次のディレクトリーに入っている setup.exe プログラムを実行します。







pdconfig





c. 「Access Manager Policy Proxy Server」パッケージを選択して、「構成」をクリックします。





第 10 章ランタイム・システムをセットアップする

本章には、Tivoli Access Manager ランタイム・システムのインストールおよび構成に関する情報を記載します。




インストール・ウィザードを使用してインストールするinstall_amrte インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、IBM Tivoli Access Manager ランタイム・システムのセットアップを単純化します。





install_amrte ウィザードを使用してランタイム・システムをインストールして構成するには、以下のステップに従います。






6. サポートされる AIX、HP-UX、Linux、Solaris、および Windows の各プラットフォームの Tivoli Access Manager Base CD のルート・ディレクトリーに入っている、install_amrte プログラムを実行します。

インストール・ウィザードは、358 ページ (LDAP)、361 ページ (Active

Directory)、または 365 ページ (Domino) に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。


これによってランタイム・システムのセットアップが完了します。別の Tivoli


ランタイム・システムをセットアップする









AIX: ランタイム・システムをインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager ランタイム・システムをインストールするには、以下のステップに従ってください。






6. Access Manager Runtime パッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images PD.RTE





pdconfig



第 10 章ランタイム・システムをセットアップする 155


c. 構成したいパッケージのメニュー番号を一度に 1 つずつ選択します。構成オプションについて援助を得たい場合には、 395ページの『第 23 章 pdconfig

オプション』を参照してください。


これによってランタイム・システムのセットアップが完了します。別の Tivoli


HP-UX: ランタイム・システムをインストールする次の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager を HP-UX にインストールするには、以下のステップに従ってください。










am_update_ldap.sh


swinstall -s /cd-rom/hp PDRTE

ここで、/cd-rom/hp はディレクトリーで、PDRTE はランタイム・パッケージです。






pdconfig



構成したいパッケージのメニュー番号を選択します。構成オプションについて援助を得たい場合には、 395ページの『第 23 章 pdconfig オプション』を参照してください。





これによって Tivoli Access Manager ランタイム・システムのセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。

Linux: ランタイム・システムをインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager パッケージを Linux にインストールするには、以下のステップに従ってください。











rpm -ihv package




v xSeries 上の Linux: PDRTE-PD-5.1.0-0.i386.rpm

v zSeries 上の Linux: PDRTE-PD-5.1.0-0.s390.rpm

v pSeries および iSeries 上の Linux: PDRTE-PD-5.1.0-0.ppc.rpm




pdconfig





Solaris: ランタイム・システムをインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager パッケージをインストールするには、以下のステップに従ってください。







pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDRTE










pdconfig






Windows: ランタイム・システムをインストールする次の手順では、setup.exe を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager ランタイム・システムをインストールするには、以下のステップに従ってください。







6. Access Manager Runtime パッケージをインストールします。そうするには、次のディレクトリーに入っている setup.exe プログラムを実行します。





7. 英語 (デフォルト) 以外の言語で状況とメッセージを表示するには、パッケージを構成する前に言語サポート・パッケージをインストールしてください。説明については、 49ページの『言語サポート・パッケージをインストールする』を参照してください。



pdconfig



構成オプションを要求するプロンプトが出されます。これらの構成オプションについて援助を得たい場合には、 395ページの『第 23 章 pdconfig オプション』を参照してください。




第 11 章 Web Portal Manager システムをセットアップする

本章には、Tivoli Access Manager Web Portal Manager システムのインストールおよび構成に関する情報を記載します。




インストール・ウィザードを使用してインストールするinstall_amwpm インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、IBM Tivoli Access Manager Web Portal

Manager システムのセットアップを単純化します。

v IBM HTTP Server、バージョン 1.3.26 を含む、IBM WebSphere Application

Server、バージョン 5.0.2

v Access Manager Java Runtime Environment、バージョン 5.1

v Access Manager Web Portal Manager、バージョン 5.1


install_amwpm ウィザードを使用して Web Portal Manager システムをインストールして構成するには、以下のステップに従います。

注: Web Portal Manager インストール・ウィザードは、HP-UX では使用できません。 IBM Tivoli Directory Server を HP-UX にインストールする場合、 166ページの『HP-UX: Web Portal Manager システムをインストールする』の説明を参照してください。




注: サポートされる IBM JRE 以外の JRE に対して Web Portal Manager を構成した場合には、構成が失敗する可能性があります。



5. サポートされる Web ブラウザーがシステムのセキュア・ドメインにインストールされていることを確認します。Web Portal Manager は、以下をサポートします。




7. AIX、Linux、Solaris、Windows 2000、および Windows 2003 の各プラットフォームの Tivoli Access Manager Web Administration Interfaces CD のルート・ディレクトリーに入っている、install_amwpm プログラムを実行します。

インストール・ウィザードは、 390ページの『install_amwpm』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

8. AIX、xSeries 上の Linux、Solaris、または Windows 2000 にインストールしている場合、次のように、フィックスパック 2 をインストールします。

注: 他のサポートされるプラットフォームは、WebSphere Application Server

5.0.2 レベルですでにインストールされています。

a. WebSphere Application Server および IBM HTTP Server を停止します。LDAP レジストリー・サーバーを同じマシンにインストールした場合、LDAP

サーバーが停止していることも確認してください。

b. JAVA_HOME システム変数が設定されていることを確認します。

c. ご使用のプラットフォームの IBM Tivoli Access Manager WebSphere Fix

Pack CD を挿入します。

d. CD の内容をハード・ディスク上の一時ディレクトリーにコピーします。

e. platform/websphere_fixpack サブディレクトリー (CD の内容をコピーしたロケーション) に入っている、updateWizard スクリプト (UNIX) またはバッチ・ファイル (Windows) を実行します。

「インストール・ウィザードの更新 (Update Installation Wizard)」が表示されます。

f. オンライン指示に従ってフィックスパック 2 をインストールします。フィックスパック・ファイルをコピーした一時ディレクトリーを入力したことを確認します。たとえば、websphere_fixpack ディレクトリーを CD からご使用のシステムの C:¥temp ディレクトリーにコピーした場合、次の行をフィックスパックのディレクトリー・フィールドに入力します。

C:¥temp¥websphere_fixpack¥fixpacks

インストールが完了したら、「終了」をクリックします。

注: Tivoli Access Manager には、Embedded Messaging が必要ではありません。このインストール・ウィザードはこのフィーチャーをインストールしません。Embedded Messaging がユーザーの WebSphere Application

Server 5.0 用にすでにセットアップされている場合には、このフィーチャーの更新を選択できます。

Web Portal Manager システムをセットアップする


g. WebSphere と一緒にインストールされている JRE 内で使用できるようにAccess Manager Java Runtime Environment コンポーネントを構成します。そうするには、以下のステップに従ってください。

1) /opt/PolicyDirector/sbin ディレクトリーに移動して、次のコマンドを入力します。


2) Full 構成タイプを選択します。

3) IBM WebSphere Application Server と一緒にインストールされた JRE を指定します。以下に例を示します。

/usr/WebSphere/AppServer/java/jre

4) ポリシー・サーバーのホスト名、ポート、およびドメインを指定します。

注: このユーティリティーについては、 502ページの『pdjrtecfg』を参照してください。

h. 次のように、WebSphere Application Server および IBM HTTP Server を再始動します。

1) WebSphere Application Server を再始動するには、以下のいずれかをします。

v UNIX システムで、次のように、/usr/WebSphere/AppServer/bin ディレクトリーに入っている、startServer.sh スクリプトを実行します。

./stopServer.sh server1

./startServer.sh server1

v Windows 2000 システムの場合、「スタート」→「設定」→「コントロールパネル」→「管理ツール」を選択し、次に「サービス (Services)」アイコンをダブルクリックしてこのサーバーを再始動します。

2) IBM HTTP Server を再始動するには、以下のいずれかをします。

v AIX システムで、次のコマンドを入力します。

/usr/HTTPServer/apachectl restart

v HP-UX、xSeries 上の Linux、および Solaris システムで、次のコマンドを入力します。

/opt/IBMHTTPServer/apachectl restart

v Windows 2000 システムの場合、「スタート」→「設定」→「コントロールパネル」→「管理ツール」を選択し、次に「サービス (Services)」アイコンをダブルクリックしてこのサーバーを再始動します。

9. Web Portal Manager インターフェースにアクセスするには、次のアドレスをご使用の Web ブラウザーに入力します。

http://hostname/pdadmin

ここで、hostname は、IBM WebSphere Application Server が IBM HTTP Server

を実行しているシステムの名前です。

これによって Web Portal Manager システムのセットアップが完了します。別のTivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。Web Portal Manager 管理タスクについては、「IBM Tivoli Access Manager Base 管理者ガイド」を参照してください。


第 11 章 Web Portal Manager システムをセットアップする 163

Tivoli Access Manager は、Web Portal Manager がブラウザーと、WebSphere

Application Server によって使用される HTTP サーバーとの間でセキュア接続を持つことができるようにデフォルトの証明書を出さないことに注意してください。CA

証明書を購入して、それを Web Portal Manager 環境に構成することをお勧めします。

ネイティブ・ユーティリティーを使用してインストールする以下のセクションによって、精通したプラットフォーム固有のユーティリティーを使用して Tivoli Access Manager ソフトウェアをインストールできます。自動インストール・ウィザードと異なり、それぞれのコンポーネントおよび前提条件ソフトウェアがある場合にはその前提条件ソフトウェアを適切な順序で手動でインストールする必要があります。インストールの後でソフトウェア・パッケージを構成するには、以下の手順に説明しているように、pdjrtecfg および amwpmcfg ユーティリティーを使用します。







AIX: Web Portal Manager システムをインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および amwpmcfg ユーティリティーを使用して構成します。

Tivoli Access Manager Web Portal Manager システムを AIX にインストールするには、以下のステップを完了してください。






4. IBM JRE 1.3.1.5 がインストールされていることを確認します。説明については、301 ページを参照してください。





6. IBM Tivoli Access Manager Web Administration Interfaces for AIX CD を挿入して、それをマウントします。




PDJ.rte Access Manager Java Runtime Environment パッケージを指定します。

PD.WPM Access Manager Web Portal Manager パッケージを指定します。

注: これらのパッケージは、IBM WebSphere Application Server と同じシステムにインストールする必要があります。


9. WebSphere と一緒にインストールされている JRE 内で使用できるようにAccess Manager Java Runtime Environment コンポーネントを構成します。そうするには、以下のステップに従ってください。

a. /opt/PolicyDirector/sbin ディレクトリーに移動して、次のコマンドを入力します。


b. Full 構成タイプを選択します。

c. IBM WebSphere Application Server と一緒にインストールされた JRE を指定します。以下に例を示します。


d. ポリシー・サーバーのホスト名、ポート、およびドメインを指定します。


10. Access Manager Web Portal Manager パッケージを構成します。

./amwpmcfg -action config -interactive

注: このユーティリティーについては、 479ページの『amwpmcfg』を参照してください。

11. Web Portal Manager インターフェースを開始する前に、WebSphere Application

Server と IBM HTTP Server を再始動します。

WebSphere Application Server を再始動するには、次のように、/usr/WebSphere/AppServer/bin ディレクトリーに入っている、startServer.sh スクリプトを実行します。



IBM HTTP Server を再始動するには、次のコマンドを入力します。



/usr/HTTPServer/apachectl restart

注: IBM HTTP Server を使用しないレジストリー・サーバーをインストールし、かつ同じマシン上に Web Portal Manager をインストールしている場合、Web サーバーのポートが異なっていることを確認してください。IBM

HTTP Server のデフォルト・ポートを変更するには、/usr/HTTPServer/conf/httpd.conf ファイルを編集し、デフォルト・ポートを、示すように、 80 から 8080 に変更して、次に IBM HTTP

Server を再始動します。

# Port: The port the standalone listens to.Port 8080









HP-UX: Web Portal Manager システムをインストールする次の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および amwpmcfg ユーティリティーを使用して構成します。

Tivoli Access Manager Web Portal Manager システムを HP-UX にインストールするには、以下のステップを完了してください。






4. IBM JRE 1.3.1 がインストールされていることを確認します。説明については、302 ページを参照してください。





6. IBM Tivoli Access Manager Web Administration Interfaces for HP-UX CD を挿入します。






ここで、/cd-rom/hp はディレクトリーを指定し、packages は以下のとおりです。

PDJrte Access Manager Java Runtime Environment パッケージを指定します。

PDWPM Access Manager Web Portal Manager パッケージを指定します。





















WebSphere Application Server を再始動するには、次のように、/usr/WebSphere/AppServer/bin ディレクトリーに入っている、startServer.sh スクリプトを実行します。






HTTP Server のデフォルト・ポートを変更するには、/opt/IBMHTTPServer/conf/httpd.conf ファイルを編集し、デフォルト・ポートを、示すように、 80 から 8080 に変更して、次に IBM HTTP











Linux: Web Portal Manager システムをインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および amwpmcfg ユーティリティーを使用して構成します。



Tivoli Access Manager Web Portal Manager システムを Linux にインストールするには、以下のステップを完了してください。










Web Administration Interfaces CD を挿入して、それをマウントします。



rpm -ihv packages


Access Manager Java RuntimeEnvironment

Access Manager Web PortalManager

xSeries 上の Linux PDJrte-PD-5.1.0-0.i386.rpm PDWPM-PD-5.1.0-0.i386.rpm

zSeries 上の Linux PDJrte-PD-5.1.0-0.s390.rpm PDWPM-PD-5.1.0-0.s390.rpm

pSeries および iSeries

上の Linux

PDJrte-PD-5.1.0-0.ppc.rpm PDWPM-PD-5.1.0-0.ppc.rpm










/opt/WebSphere/AppServer/java/jre








WebSphere Application Server を再始動するには、次のように、/opt/WebSphere/AppServer/bin ディレクトリーに入っている、startServer.sh スクリプトを実行します。



















Solaris: Web Portal Manager システムをインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および amwpmcfg ユーティリティーを使用して構成します。

Web Portal Manager システムを Solaris にインストールして構成するには、以下のステップに従ってください。









6. IBM Tivoli Access Manager Web Administration Interfaces for Solaris CD を挿入します。



ここで、







PDWPM Access Manager Web Portal Manager パッケージを指定します。










/opt/WebSphere/AppServer/java/jre



e. Access Manager Web Portal Manager パッケージを構成します。





WebSphere Application Server を再始動するには、次のように、/opt/WebSphere/AppServer/bin ディレクトリーに入っている、startServer.sh スクリプトを実行します。




/opt/IBMHTTPServer/bin/apachectl restart















Windows: Web Portal Manager システムをインストールする次の手順では、setup.exe を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および amwpmcfg ユーティリティーを使用して構成します。

Web Portal Manager システムを Windows にインストールして構成するには、以下のステップに従ってください。








5. IBM WebSphere Application Server をインストールします。 314ページの『Windows: WebSphere Application Server をインストールする』を参照してください。

6. Windows 2000 または Windows 2003 の IBM Tivoli Access Manager Web

Administration Interfaces CD を挿入します。

7. Access Manager Java Runtime Environment パッケージおよび Access Manager

Web Portal Manager パッケージをインストールします。そうするには、次のディレクトリーに入っている setup.exe ファイルを実行します。








a. install_dir¥sbin ディレクトリー (たとえば、C:¥Program

Files¥Tivoli¥Policy Director¥sbin) に移動して、次のコマンドを入力します。


b. Full 構成タイプを選択して、「次へ」をクリックします。構成オプションの説明については、「ヘルプ」をクリックします。


C:¥Program Files¥WebSphere¥AppServer¥java¥jre


d. ポリシー・サーバーのホスト名、ポート、およびドメインを指定します。「OK」をクリックして構成を開始します。

e. 構成が正常に完了したら、「OK」をクリックして構成ユーティリティーを終了します。


10. Access Manager Web Portal Manager パッケージを構成します。そうするには、以下のステップに従ってください。

a. install_dir¥sbin ディレクトリー (たとえば、C:¥Program


amwpmcfg -action config -interactive


b. IBM WebSphere Application Server がインストールされたインストール・パスを指定します。次にデフォルト・パスの例を示します。

C:¥Program Files¥WebSphere¥AppServer


c. ポリシー・サーバーのホスト名およびポートを指定します。「OK」をクリックして先へ進みます。

d. Tivoli Access Manager アドミニストレーター名 (sec_master)、アドミニストレーター・パスワード、およびドメインを指定します。「OK」をクリックして構成を開始します。



e. 構成が正常に完了したら、「OK」をクリックして構成ユーティリティーを終了します。

11. 推奨: IBM WebSphere Application Server および IBM HTTP Server を再始動してください。たとえば、「スタート」→「設定」→「コントロールパネル」→「管理ツール」を選択し、次に「サービス (Services)」アイコンをダブルクリックしてこれらのサーバーを再始動します。


HTTP Server のデフォルト・ポートを変更するには、C:¥Program

Files¥IBMHTTPServer¥conf¥httpd.conf ファイルを編集し、デフォルト・ポートを、示すように、 80 から 8080 に変更して、次に IBM HTTP



12. Web Portal Manager を開始するには、次のアドレスをご使用の Web ブラウザーに入力します。










第 3 部 Web Security システムのインストール第 12 章 Attribute Retrieval Service をセットアップする . . . . . . . . . . . . . . . 179インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 179ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 181

AIX: Attribute Retrieval Service をインストールする . . . . . . . . . . . . . . . 181HP-UX: Attribute Retrieval Service をインストールする . . . . . . . . . . . . . . . 182Linux: Attribute Retrieval Service をインストールする . . . . . . . . . . . . . . . 183Solaris: Attribute Retrieval Service をインストールする . . . . . . . . . . . . . . . 184Windows: Attribute Retrieval Service をインストールする . . . . . . . . . . . . . . 185

第 13 章 Plug-in for Edge Server をセットアップする . . . . . . . . . . . . . . . 187プリインストールの要件 . . . . . . . . . . 187AIX: Tivoli Access Manager Plug-in for Edge Serverをインストールする . . . . . . . . . . . 188Red Hat Enterprise Linux 2.1: Tivoli AccessManager Plug-in for Edge Server をインストールする . . . . . . . . . . . . . . . . . 189Solaris: Tivoli Access Manager Plug-in for EdgeServer をインストールする . . . . . . . . . 191Windows: Tivoli Access Manager Plug-in for EdgeServer をインストールする . . . . . . . . . 193Plug-in for Edge Server 構成について . . . . . 194サーバーの構成モデル . . . . . . . . . 195適用されるサーバー構成の概念 . . . . . . 196オブジェクト・スペースの構成モデル . . . . 199シングル・サインオンの構成モデル . . . . . 200構成手順の要約 . . . . . . . . . . . . 201

第 14 章 Plug-in for Web Servers をセットアップする . . . . . . . . . . . . . . . 203プリインストールの要件 . . . . . . . . . . 203インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 204ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 205

Plug-in for Apache Web Server をインストールする . . . . . . . . . . . . . . . 206

zSeries 上の Linux: Plug-in for Apache WebServer をインストールする . . . . . . . 206Solaris: Plug-in for Apache Web Server をインストールする . . . . . . . . . . . 207

Plug-in for IBM HTTP Server をインストールする . . . . . . . . . . . . . . . . 209

AIX: Plug-in for IBM HTTP Server をインストールする . . . . . . . . . . . . 209Linux: Plug-in for IBM HTTP Server をインストールする . . . . . . . . . . . 210Solaris: Plug-in for IBM HTTP Server をインストールする . . . . . . . . . . . 212

Plug-in for Internet Information Services をインストールする . . . . . . . . . . . . . 213Plug-in for Sun ONE Web Server をインストールする . . . . . . . . . . . . . . . 215

AIX: Plug-in for Sun ONE Web Server をインストールする . . . . . . . . . . . 215Solaris: Plug-in for Sun ONE Web Server をインストールする . . . . . . . . . . 216

第 15 章 Tivoli Access Manager for WebLogicをセットアップする . . . . . . . . . . . 219プリインストールの要件 . . . . . . . . . . 221インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 221ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 224

AIX: Tivoli Access Manager for WebLogic をインストールする . . . . . . . . . . . . 224HP-UX: Tivoli Access Manager for WebLogic をインストールする . . . . . . . . . . . 226Solaris: Tivoli Access Manager for WebLogic をインストールする . . . . . . . . . . . 229Windows: Tivoli Access Manager for WebLogicをインストールする . . . . . . . . . . 231

CLASSPATH を startWebLogic コマンド用に設定する . . . . . . . . . . . . . . . . . 234Tivoli Access Manager for WebLogic を構成する 235

Console Extension Web アプリケーションを使用する . . . . . . . . . . . . . . . 235コマンド行を使用する . . . . . . . . . 236

Tivoli Access Manager レルムを作成する . . . . 237Console Extension Web アプリケーションを使用する . . . . . . . . . . . . . . . 238コマンド行を使用する . . . . . . . . . 238

BEA WebLogic Server シングル・サインオンを構成する . . . . . . . . . . . . . . . . 240構成をテストする . . . . . . . . . . . . 242

第 16 章 Tivoli Access Manager forWebSphere をセットアップする . . . . . . 245プリインストールの要件 . . . . . . . . . . 245インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 246ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 248


AIX: Tivoli Access Manager for WebSphere をインストールする . . . . . . . . . . . . 248HP-UX: Tivoli Access Manager for WebSphere をインストールする . . . . . . . . . . . 249Linux: Tivoli Access Manager for WebSphere をインストールする . . . . . . . . . . . 251Solaris: Tivoli Access Manager for WebSphere をインストールする . . . . . . . . . . . 252Windows: Tivoli Access Manager for WebSphereをインストールする . . . . . . . . . . 254

既存のユーザーおよびグループをインポートする 255Tivoli Access Manager アドミニストレーターをWebSphere 用に作成する . . . . . . . . . 256WebSphere security を使用可能にする . . . . . 256

WebSphere、バージョン 4.0.6 Security を使用可能にする . . . . . . . . . . . . . . 257WebSphere、バージョン 5.0.2 または 5.1Security を使用可能にする . . . . . . . . 258

Tivoli Access Manager for WebSphere を構成する 260WebSphere Security 設定値をマイグレーションする 261

WebSphere、バージョン 4.0.6 セキュリティー設定値をマイグレーションする . . . . . . . 262WebSphere、バージョン 5.0.2 または 5.1 セキュリティー設定値をマイグレーションする . . . 263

第 17 章 WebSEAL 開発 (ADK) システムをセットアップする . . . . . . . . . . . . . 267インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 267ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 268

AIX: WebSEAL 開発 (ADK) システムをインストールする . . . . . . . . . . . . . 268HP-UX: WebSEAL 開発 (ADK) システムをインストールする . . . . . . . . . . . . 270Linux: WebSEAL 開発 (ADK) システムをインストールする . . . . . . . . . . . . . 271Solaris: WebSEAL 開発 (ADK) システムをインストールする . . . . . . . . . . . . 272Windows: WebSEAL 開発 (ADK) システムをインストールする . . . . . . . . . . . . 274

第 18 章 WebSEAL サーバーをセットアップする 277インストール・ウィザードを使用してインストールする . . . . . . . . . . . . . . . . 277ネイティブ・ユーティリティーを使用してインストールする . . . . . . . . . . . . . . . 278

AIX: WebSEAL サーバーをインストールする 279HP-UX: WebSEAL サーバーをインストールする 280Linux: WebSEAL サーバーをインストールする 281Solaris: WebSEAL サーバーをインストールする 283Windows: WebSEAL サーバーをインストールする . . . . . . . . . . . . . . . . 284


第 12 章 Attribute Retrieval Service をセットアップする

本章には、Attribute Retrieval Service のインストールおよび構成に関する情報を記載します。




インストール・ウィザードを使用してインストールするinstall_amwebars インストール・ウィザードは、以下のコンポーネントをインストールして構成することによって、Attribute Retrieval Service のセットアップを単純化します。

v IBM HTTP Server、バージョン 1.3.26 を含む、IBM WebSphere Application

Server、バージョン 5.0.2

v Access Manager Attribute Retrieval Service、バージョン 5.1


install_amwebars ウィザードを使用して Attribute Retrieval Service をインストールして構成するには、以下のステップに従います。

注: Attribute Retrieval Service インストール・ウィザードは、HP-UX では使用できません。HP-UX にインストールする場合、 181ページの『ネイティブ・ユーティリティーを使用してインストールする』の説明を参照してください。




注: サポートされる IBM JRE 以外の JRE に対して Attribute Retrieval Service

を構成した場合には、構成が失敗する可能性があります。




6. AIX、Linux、Solaris、Windows 2000、および Windows 2003 の各プラットフォームの IBM Tivoli Access Manager Attribute Retrieval Service CD のルート・ディレクトリーに入っている、install_amwebars プログラムを実行します。

インストール・ウィザードは、 383ページの『install_amwebars』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

7. AIX、xSeries 上の Linux、または Windows 2000 にインストールしている場合、次のように、フィックスパック 2 をインストールします。

注: 他のサポートされるプラットフォームは、WebSphere Application Server

5.0.2 レベルですでにインストールされています。

a. WebSphere Application Server および IBM HTTP Server を停止します。LDAP レジストリー・サーバーを同じマシンにインストールした場合、LDAP

サーバーが停止していることも確認してください。

b. JAVA_HOME システム変数が設定されていることを確認します。

c. ご使用のプラットフォームの IBM Tivoli Access Manager WebSphere Fix

Pack CD を挿入します。

d. CD の内容をハード・ディスク上の一時ディレクトリーにコピーします。

e. platform/websphere_fixpack サブディレクトリー (CD の内容をコピーしたロケーション) に入っている、updateWizard スクリプト (UNIX) またはバッチ・ファイル (Windows) を実行します。


f. オンライン指示に従ってフィックスパック 2 をインストールします。フィックスパック・ファイルをコピーした一時ディレクトリーを入力したことを確認します。たとえば、websphere_fixpack ディレクトリーを CD からご使用のシステムの C:¥temp ディレクトリーにコピーした場合、次の行をフィックスパックのディレクトリー・フィールドに入力します。


インストールが完了したら、「終了」をクリックします。

注: Tivoli Access Manager には、Embedded Messaging が必要ではありません。Embedded Messaging がユーザーの WebSphere Application Server 5.0

用にすでにセットアップされている場合には、このフィーチャーの更新を選択できます。

g. Attribute Retrieval Service を WebSphere Application Server 環境にデプロイするには、Attribute Retrieval Service を使用するように WebSEAL を構成します。「IBM Tivoli Access Manager for e-business WebSEAL 管理者ガイド」を参照してください。

これによって Attribute Retrieval Service のセットアップが完了します。別の Tivoli


Attribute Retrieval Service をセットアップする


Attribute Retrieval Service については、「IBM Tivoli Access Manager for e-business

WebSEAL 管理者ガイド」を参照してください。

ネイティブ・ユーティリティーを使用してインストールする以下のセクションによって、精通したプラットフォーム固有のユーティリティーを使用して Tivoli Access Manager ソフトウェアをインストールできます。自動インストール・ウィザードと異なり、それぞれのコンポーネントおよび前提条件ソフトウェアがある場合にはその前提条件ソフトウェアを適切な順序で手動でインストールする必要があります。







AIX: Attribute Retrieval Service をインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールします。

Attribute Retrieval Service を AIX にインストールするには、以下のステップを完了してください。



3. IBM JRE 1.3.1.5 がインストールされていることを確認します。説明については、301 ページを参照してください。


5. IBM Tivoli Access Manager Attribute Retrieval Service for AIX CD を挿入して、それをマウントします。


installp -acgXd cd_mount_point/usr/sys/inst.images PDWeb.ARS

ここで、cd_mount_point/usr/sys/inst.images は、CD がマウントされたディレクトリーで、PDWeb.ARS は、Access Manager Attribute Retrieval Service パッケージです。

注: このパッケージは、IBM WebSphere Application Server と同じシステムにインストールする必要があります。

7. 英語 (デフォルト) 以外の言語で状況とメッセージを表示するには、言語サポート・パッケージをインストールしてください。説明については、 49ページの『言語サポート・パッケージをインストールする』を参照してください。


第 12 章 Attribute Retrieval Service をセットアップする 181

8. Attribute Retrieval Service を WebSphere Application Server 環境にデプロイするには、/opt/pdwebars/ ディレクトリーに入っている、Deploy.sh ファイルを実行して、Readme.deploy ファイルの指示に従ってください。

9. Attribute Retrieval Service を使用するように WebSEAL を構成するには、「IBM

Tivoli Access Manager for e-business WebSEAL 管理者ガイド」を参照してください。





HP-UX: Attribute Retrieval Service をインストールする次の手順では、swinstall を使用してソフトウェア・パッケージをインストールします。

Attribute Retrieval Service を HP-UX にインストールするには、以下のステップを完了してください。





5. IBM Tivoli Access Manager Attribute Retrieval Service for HP-UX CD を挿入します。





swinstall -s /cd-rom/hp PDWebARS

ここで、/cd-rom/hp はディレクトリーを指定し、PDWebARS は Access Manager

Attribute Retrieval Service を指定します。






10. Attribute Retrieval Service を使用するように WebSEAL を構成するには、「IBM Tivoli Access Manager for e-business WebSEAL 管理者ガイド」を参照してください。








Linux: Attribute Retrieval Service をインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールします。

Attribute Retrieval Service を Linux にインストールするには、以下のステップを完了してください。





5. xSeries または zSeries の IBM Tivoli Access Manager Attribute Retrieval Service

CD を挿入します。




rpm -ihv package


Access Manager Attribute Retrieval Service

xSeries 上の Linux PDWebARS-PD-5.1.0-0.i386.rpm

zSeries 上の Linux PDWebARS-PD-5.1.0-0.s390.rpm






10. Attribute Retrieval Service を使用するように WebSEAL を構成するには、「IBM Tivoli Access Manager for e-business WebSEAL 管理者ガイド」を参照してください。





Solaris: Attribute Retrieval Service をインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールします。

Attribute Retrieval Service を Solaris にインストールするには、以下のステップに従ってください。




注: サポートされる IBM JRE 以外の JRE に対して Attribute Retrieval Service

を構成した場合には、構成が失敗する可能性があります。


5. IBM Tivoli Access Manager Attribute Retrieval Service for Solaris CD を挿入します。


pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault PDWebARS

ここで、





また、PDWebARS は Access Manager Attribute Retrieval Service パッケージを指定します。












Windows: Attribute Retrieval Service をインストールする次の手順では、setup.exe を使用してソフトウェア・パッケージをインストールします。

Attribute Retrieval Service を Windows にインストールするには、以下のステップに従ってください。




4. IBM WebSphere Application Server をインストールします。 314ページの『Windows: WebSphere Application Server をインストールする』を参照してください。

5. Windows 2000 または Windows 2003 の IBM Tivoli Access Manager Attribute

Retrieval Service CD を挿入します。

6. Access Manager Attribute Retrieval Service パッケージをインストールします。そうするには、次のディレクトリーに入っている setup.exe ファイルを実行します。







8. Attribute Retrieval Service を WebSphere Application Server 環境にデプロイするには、C:¥Program Files¥Tivoi¥AMWebARS¥ ディレクトリーに入っている、Deploy.bat ファイルを実行して、Readme.deploy ファイルの指示に従ってください。









第 13 章 Plug-in for Edge Server をセットアップする

本章には、Tivoli Access Manager Plug-in for Edge Server システムのインストールおよび構成に関する情報を記載します。

この Web Security システムについては、「IBM Tivoli Access Manager for

e-business Plug-in for IBM WebSphere Edge Server 統合ガイド」を参照してください。

Access Manager plug-in for Edge Server は、IBM WebSphere Edge Server、バージョン 5.1 をサポートしており、以下のコンポーネントと前提条件製品を必要とします。

v IBM WebSphere Edge Server、バージョン 5.1




v Access Manager Web Security Runtime、バージョン 5.1 (Linux 上を除く)

v Access Manager Plug-in for Edge Server、バージョン 5.1

ネイティブ・インストール方法のみを使用してシステムをセットアップできます。インストール・ウィザードは使用可能ではありません。インストールの後で、ソフトウェア・パッケージを構成するには、pdconfig ユーティリティーを使用します。



v Red Hat Enterprise Linux 2.1 (189 ページ)



詳しくは、「IBM Tivoli Access Manager for e-business Plug-in for Web Servers 統合ガイド」を参照してください。

プリインストールの要件Tivoli Access Manager Plug-in for Web Servers システムをインストールして構成する前に、以下の要件が満たされていることを確認してください。これらの要件は、使用しようとしているインストール方法に関係なく、適用されます。

v Tivoli Access Manager レジストリー・サーバーとポリシー・サーバーがユーザーのセキュア・ドメインにセットアップされていることを確認します。これらのシステムのセットアップの指示については、 59ページの『第 2 部 Base システムのインストール』を参照してください。

v IBM WebSphere Edge Server、バージョン 5.1 がこのシステムにインストールされ、構成されていることを確認します。


v Tivoli Access Manager が、ユーザーの IBM WebSphere Edge Server を実行しているプラットフォームをサポートしていることを確認します。また、すべての必要なオペレーティング・システム・パッチがインストールされていることを確認します。詳しくは、 36ページの『必須パッチを含む、サポートされるプラットフォーム』を参照してください。

AIX: Tivoli Access Manager Plug-in for Edge Server をインストールする

次の手順では、installp を使用してソフトウェア・パッケージをインストールします。 Tivoli Access Manager Plug-in for Edge Server を AIX にインストールするには、以下のステップに従ってください。

1. root としてシステムにログインします。

2. 187ページの『プリインストールの要件』にリストされている要件を満たしていることを確認します。

3. IBM Tivoli Access Manager Web Security for AIX CD を挿入して、それをマウントします。







PDWeb.RTE Access Manager Web Security Runtime パッケージを指定します。

PDPlgES Access Manager Plug-in for Edge Server パッケージを指定します。


8. 次のように、Access Manager Runtime を構成し、続いて Access Manager Plug-in

for Edge Server パッケージを構成します。


pdconfig



Plug-in for Edge Server をセットアップする





構成ユーティリティーは、以下のタスクを完了します。

v サーバー用のレジストリー・オブジェクトを作成します。

v サーバーをセキュリティー・グループ、ivacld-servers および SecurityGroupに追加します。

v Creates an SSL 証明書を作成します。

v SSL 署名入り証明書を Tivoli Access Manager ポリシー・サーバーから取得します。

v Edge Server キャッシング・プロキシー構成ファイル、ibmproxy.conf にディレクティブを設定することによって、Plug-in for Edge Server を使用するように Edge

Server キャッシング・プロキシーを構成します。

v Edge Server キャッシング・プロキシー・プロセス、ibmproxy を再始動します。

v wesosm ユーティリティーを使用することによって、Plug-in for Edge Server オブジェクト・スペース・マネージャー・ユーティリティーを始動します。このユーティリティーは、Tivoli Access Manager オブジェクト・スペースを更新してPlug-in for Edge Server 用の新しいオブジェクト・スペース・コンテナーを作成します。このユーティリティーについては、 524ページの『wesosm』を参照してください。

これによって Tivoli Access Manager plug-in for Edge Server システムのセットアップが完了します。Edge Server キャッシング・プロキシーは、plug-in for Edge

Server がロードされた状態で実行しています。管理ユーザー、sec_master を使用してキャッシング・プロキシーのホーム・ページにアクセスできます。

Red Hat Enterprise Linux 2.1: Tivoli Access Manager Plug-in forEdge Server をインストールする

次の手順では、rpm を使用してソフトウェア・パッケージをインストールします。Tivoli Access Manager Plug-in for Edge Server を Red Hat Enterprise Linux 2.1 にインストールするには、以下のステップに従ってください。

注: Access Manager Web Security Runtime は、Red Hat Enterprise Linux 2.1 で必要ではありません。

1. root としてシステムにログインします。


3. IBM Tivoli Access Manager Web Security for xSeries CD を挿入して、それをマウントします。

4. /mnt/cdrom/xseries ディレクトリーに移動します。ここで、/mnt/cdrom は、CD のマウント・ポイントです。


第 13 章 Plug-in for Edge Server をセットアップする 189




rpm -ihv packages


PDRTE-PD-GCC295-5.1.0-0.i386.rpm

Access Manager Runtime パッケージを指定します。

PDPlgES-PD-5.1.0-0.i386.rpm

Plug-in for Edge Server パッケージを指定します。





pdconfig














v wesosm ユーティリティーを使用することによって、Plug-in for Edge Server オブジェクト・スペース・マネージャー・ユーティリティーを始動します。このユーティリティーは、Tivoli Access Manager オブジェクト・スペースを更新して



Plug-in for Edge Server 用の新しいオブジェクト・スペース・コンテナーを作成します。このユーティリティーについては、 524ページの『wesosm』を参照してください。

これによって Tivoli Access Manager plug-in for Edge Server システムのセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、25ページの『インストール・プロセス』に記載のステップに従ってください。

Edge Server キャッシング・プロキシーは、plug-in for Edge Server がロードされた状態で実行しています。管理ユーザー、sec_master を使用してキャッシング・プロキシーのホーム・ページにアクセスできます。

Solaris: Tivoli Access Manager Plug-in for Edge Server をインストールする

次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールします。 Tivoli Access Manager Plug-in for Edge Server を Solaris にインストールするには、以下のステップに従ってください。



3. IBM Tivoli Access Manager Web Security for Solaris CD を挿入します。





ここで、







PDWebRTE Access Manager Web Security Runtime パッケージを指定します。

PDPlgES Plug-in for Edge Server パッケージを指定します。







pdconfig



















Windows: Tivoli Access Manager Plug-in for Edge Server をインストールする

次の手順では、setup.exe プログラムを使用してソフトウェア・パッケージをインストールします。 Tivoli Access Manager Plug-in for Edge Server を Windows にインストールするには、以下のステップに従ってください。





5. IBM Tivoli Access Manager Web Security for Windows 2000 and Windows 2003



¥windows¥PolicyDirector¥Disk Images¥Disk1¥setup.exe


7. インストールで使用したい言語を選択して、「OK」をクリックします。


9. 使用許諾契約書を読み、条件に合意する場合は「はい」をクリックします。

10. 以下のパッケージを選択して、「次へ」をクリックします。

v Access Manager Runtime

v Access Manager Web Security Runtime

v Access Manager Plug-in for Edge Server

11. デフォルトの宛先ディレクトリーを受け入れるかまたは「参照」をクリックしてローカル・システム上の別のディレクトリーへのパスを選択します。そのディレクトリーが存在しない場合には、作成したディレクトリーを必要とするかまたは存在するディレクトリーを指定することを確認しなければなりません。

12. 宛先フォルダーへのファイルのコピーを開始するには、「次へ」をクリックします。

13. 「終了」をクリックして、セットアップ・プログラムを終了します。



Plug-in for Edge Server パッケージを構成します。


pdconfig





c. 「Access Manager Plug-in for Edge Server」パッケージを選択して、「構成」をクリックします。

これらの構成オプションについて援助を得たい場合には、 395ページの『第 23

章 pdconfig オプション』を参照してください。












Plug-in for Edge Server 構成について本章では、概念、モデル、および手順を説明する、Plug-in for Edge Server 構成の概要を記載します。本章には、以下のセクションが含まれています。

v 195ページの『サーバーの構成モデル』

v 196ページの『適用されるサーバー構成の概念』

v 199ページの『オブジェクト・スペースの構成モデル』

v 200ページの『シングル・サインオンの構成モデル』

v 201ページの『構成手順の要約』



サーバーの構成モデルPlug-in for Edge Server は、Web サーバーではなく、Edge Server プロキシーでセキュリティーを実施することによって、保護されたドメイン内の Web サーバーのために認証および許可サービスを提供します。プロキシーでのセキュリティーの実施をインプリメントすることによって、プラグインは保護されたドメイン内のすべての Web サーバーのためにセキュリティー・サービスを集中して提供します。要求したリソースにアクセスする許可が特定のユーザーに与えられることを Edge

Server Plug-in が明確にすると、その要求は、ユーザーの情報と一緒に Web サーバーに送信されます。

Web サイトのコンテンツは、パフォーマンスとコンテンツ配布の理由から複数のWeb サーバーに広がる可能性があります。一部の Web サーバーがコンテンツにホストとしてのサービスを提供する一方で、他の Web サーバーは、各種の Web アプリケーションにホストとしてのサービスを提供し、それぞれのサーバーには異なるセキュリティー要件があります。たとえば、一部のサーバーには認証が必要ではありませんが、他のサーバーにはそれが必要となる可能性があります。認証を必要とする各サーバーは、固有の形式でユーザー情報をサブミットするように要求する可能性があります。フォーム・セッション・タイムアウトおよびロギング・レベルなどの一部のセキュリティー設定は、すべてのサーバーに共通である一方で、ログイン方式およびシングル・サインオンなどの一部のセキュリティー設定は、各サーバーに固有です。この分散性のために、プラグインは、セキュア・ドメイン内の複数の Web サーバーのためにセキュリティー・サービスを提供できるようにする必要があります。

プラグインは、「オブジェクト・スペース定義」構成ファイル、osdef.conf を使用することによって、分散した Web サーバーを保護します。この構成ファイルは、Web サーバー特定の構成が可能になるように、それぞれの保護された Web サーバーごとに構成設定を分離します。次のテーブルに示すように、3 つのタイプのサーバー定義が構成ファイルに使用されています。

サーバー定義説明

[Global] このスタンザの下にリストされた設定はすべての Web サーバーに適用されます。このスタンザのインスタンスは 1 つのみです。

[Local] [Local] スタンザの下にリストされた設定は、Edge Server

キャッシング・プロキシーにのみ適用されます。このスタンザのインスタンスは 1 つのみです。

[Remote: Tivoli Access

Manager オブジェクト・スペース名]

[Remote: ...] スタンザの下にリストされた設定は、プラグインによって保護された外部またはリモートの Web サーバーに適用されます。このスタンザのインスタンスは複数あってもかまいません。

osdef.conf ファイルの記載されている少数の例外がありますが、いずれの定義にどのような設定をしてかまいません。たとえば、以下に示すように、form_session_timeout 設定は、[Global] スタンザの下でも、または [Remote] スタンザの下に指定してもかまいません。



[Global]login_method = formsform_login_file = /opt/pdweb-lite/samples/forms/welcome.htmlform_session_timeout = 10

[Remote: /ESproxy/reverse/anyother.com]domains = anyother.com

[Remote: /ESproxy/reverse/verysecure.com]domains = verysecure.comform_session_timeout = 1

上記の例で、verysecure.com にログインした場合には、1 分を超えてアイドルのままでいることは許されません。それを超えると、そのセッションの有効期限が切れます。しかし、anyother.com および他のすべてのドメインにログインした場合には、[Global] 定義に 10 分と設定してあるため、アイドル・タイムアウトは、10 分です。少数の例外 ([SSO] 設定) がありますが、図 1 に示すように、この継承のモデルは、構成ファイルのいずれのサーバー設定にでも使用できます。

この継承のモデルを使用して、それぞれの Web サーバーごとに同じ設定は、各サーバー定義に繰り返して指定する必要はなく、その構成ファイルの [Global] 定義に一度のみリストするだけです。たとえば、すべてのサーバーが同じフォーム・ログイン・ファイルを使用する場合には、その設定を [Global] 定義にリストするだけです。

適用されるサーバー構成の概念構成ファイルを基本的に理解している場合、プラグインがこの構成ファイルを使用してセキュリティーを実施する方法を理解することがより容易になります。プラグインは、要求を受け取ると、以下の基本的なステップに従ってユーザーを許可します。

1. トラステッド・ゲートウェイなどによって、ユーザーがすでに認証されている場合には、ユーザーのシングル・サインオン情報を受け入れて、ステップ 4 (197

ページ) に進みます。

2. 以下のログイン方式のいずれかに基づいたユーザー ID を取得します。

図 1. Plug-in for Edge Server の継承のモデル



v 基本認証およびフォーム・ログインの場合、ユーザー ID およびパスワードを取得します。

v 証明書ログインの場合、証明書識別名を取得します。

3. ユーザーを Tivoli Access Manager ユーザー・レジストリーに対して認証します。

4. ユーザーを Tivoli Access Manager オブジェクト・スペースに対して許可します。

5. ユーザーのシングル・サインオン情報をサブミットします。

6. 要求を対応する Web サーバーに送信します。

これらの許可ステップを実行するために、プラグインは、構成ファイルで要求についての構成情報を参照する必要があります。各ステップでは、1 つ以上の設定値をosdef.conf 構成ファイルから検索することが必要になります。たとえば、ステップ2 (196ページ) では、login_method の設定値の検索が必要になります。

要求に対する設定値を検索するために、プラグインは最初に設定値の検索をどの定義から行うかを決める必要があります。プラグインはこの要求を構成ファイルの特定のサーバー定義に関連付ける必要があります。プラグインは、リバース・プロキシーおよびフォワード・プロキシーの両方の要求でセキュリティーを実施できますが、プラグインは要求がリバースまたはフォワードのプロキシー要求かどうかは考慮しません。

ドメイン名は、保護リソースにホストとしてのサービスを提供する、対応の Web

サーバーの公開 ID です。リバース・プロキシーのシナリオでは、図 2 に示すように、プラグイン・システム上に別名またはパブリック・ドメイン名を作成することが必要になります。

この構成で、www.newbooks.com、newbooks.com、newnovels.com、およびnewpoems.com のすべての要求は、Edge Server プロキシーに到着して、プラグインによって保護されます。ドメイン名を要求の固有 ID として使用して、プラグインはドメイン名に一致するサーバー定義を構成ファイルで探索できるようになります。

図 2. プラグイン・システム上での別名の作成



次の osdef.conf 構成ファイルをお考えください。

[Global]login_method = basic

# Definition 1[Remote: /ESproxy/reverse/newbooks.com]domains = newbooks.com *.newbooks.comlogin_method = formsroute = http://backend1.com

# Definition 2[Remote: /ESproxy/reverse/label2]domains = newnovels.comlogin_method = certificateroute = http://backend2.com

# Definition 3[Remote: /ESproxy/check_here/this_is_just_a_label]domains = newpoems.comroute = http://backend3.com

プラグインが、ログイン方式、ユーザーが許可されるオブジェクト・スペース・ロケーション、および要求の送信先の Web サーバーを決める以下の要求をお考えください。

v ユーザーが次の URL を入力した場合、プラグインは、domains の設定に値、*.newbooks.com が含まれているため、その要求を definition 1 に一致させます。

http://www.newbooks.com/private.html

ログイン方式は、この定義で forms (フォーム) が明示的に設定されているため、フォームです。許可検査の場合、ドメイン名が許可ストリングで置き換えられ、URL パスが付加されることになります。この例では、読み取り (r) 許可の許可検査が /ESproxy/reverse/newbooks.com/private.html で行われることになります。要求は、経路設定のため backend1.com に送信されます。

v ユーザーが次の URL を入力した場合、プラグインは、最初に IP アドレスでリバース DNS 検索を実行して、domains の設定に値、newnovels.com が含まれているため、その要求を definition 2 に一致させます。

http://IP_address_of_newnovels.com/gifs/private.html

ログイン方式は、この定義で certificate (証明書) が明示的に設定されているため、証明書です。読み取り (r) 許可の許可検査が/ESproxy/reverse/label2/gifs/private.html で行われます。要求は、経路設定のため backend2.com に送信されます。

v ユーザーが次の URL を入力した場合、プラグインは、domains の設定に値、newpoems.com が含まれているため、その要求を definition 3 に一致させます。

http://newpoems.com/logo.gif

ログイン方式は、この定義で basic (ベーシック) が明示的に設定されていないため、ベーシックで、[Global] 定義から検索されます。読み取り (r) 許可の許可検査が /ESproxy/check_here/this_is_just_a_label /logo.gif で行われます。要求は、経路設定のため backend3.com に送信されます。

v ユーザーが Edge Server をプロキシーとして使用するようにユーザーのブラウザーを構成し、次の URL を入力した場合、プラグインは要求に対して一致を検出せずに、[Global] 定義を使用します。

http://internet.com/mail/logo.gif



ログイン方式は、ベーシックです。許可検査の場合、デフォルトのフォワード・プロキシー・テンプレート、/ESproxy/forward/domain/path が使用されます。この例では、読み取り (r) 許可の許可検査が/ESproxy/forward/internet.com/mail/logo.gif で行われます。このオブジェクトがオブジェクト・スペースに存在しないため、有効な許可は /ESproxy/forward

に付加された ACL から継承されます。要求は、フォワード・プロキシー要求であったため、internet.com に自動的に送信されます。しかし、オブジェクト・スペースの別のロケーションで許可検査を行って、internet.com 要求をどこか別のロケーションに送信する定義を更新ファイルに作成することができます。プラグインは、要求がフォワードまたはリバースのプロキシー要求かどうかは考慮しません。どちらの構成においても、要求は同じように処理されます。

オブジェクト・スペースの構成モデルプラグインが許可検査を Tivoli Access Manager オブジェクト・スペースの分岐の下で実行するとき、プラグインは、要求したリソースまたは URL をオブジェクト・スペースにマップします。たとえば、サーバー定義 1 で、許可検査について次のマッピングが行われます。

URL Object: http://www.newbooks.com/private.htmlTivoli Access Manager Object: /ESproxy/reverse/newbooks.com/private.html

Tivoli Access Manager ACL を使用してアクセス・コントロールを特定のオブジェクトに適用するためには、ユーザーが URL で要求するオブジェクトのセットと、Web サーバーが提供するオブジェクトのセットとの間に直接マッピングがあるようにオブジェクト・スペースを構成する必要があります。最も簡単な場合は、次に示すように、URL にある参照ファイルと Web サーバー上の実際のファイルとの間の直接マッピングです。

Tivoli Access Manager Object: /ESproxy/reverse/newbooks.com/server files/ESproxy/reverse/newbooks.com/private.html/ESproxy/reverse/newbooks.com/public.html/ESproxy/reverse/newbooks.com/gifs/ESproxy/reverse/newbooks.com/gifs/logo.gif

URL Object: http://www.newbooks.com/server fileshttp://www.newbooks.com/private.htmlhttp://www.newbooks.com/public.htmlhttp://www.newbooks.com/gifshttp://www.newbooks.com/gifs/logo.gif

サンプルの query_contents ユーティリティーには、Web サーバー上のすべてのファイルのパスを持つ wesosm ユーティリティーがあります。ファイル情報をオブジェクト・スペースにコピーします。これによって、プラグインが許可検査を実行するときに URL オブジェクトとサーバー・オブジェクトとの間に直接マッピングします。

このモデルは、query_contents ユーティリティーが検出する宛先 Web サーバー上の物理ファイルに、URL オブジェクトのセットが必ずなる場合に、当てはまります。ある場合には、URL オブジェクトのセットが Web サーバー上の物理ファイルに直接対応しないことがあります。この場合には、次に示すように、query_contents ユーティリティーを変更して、Web サーバーからサービスを受ける仮想オブジェクトを戻します。



Tivoli Access Manager Object: /ESproxy/reverse/newbooks.com/virtual objects/ESproxy/reverse/newbooks.com/object1/ESproxy/reverse/newbooks.com/object2/ESproxy/reverse/newbooks.com/object3/ESproxy/reverse/newbooks.com/object3/object3.1

URL Object: http://www.newbooks.com/virtual objectshttp://www.newbooks.com/object1http://www.newbooks.com/object2http://www.newbooks.com/object3http://www.newbooks.com/object3/object3.1

このシナリオでは、Web サーバーのサービスを受けるオブジェクトが Web サーバー上の物理ファイルに直接対応しません。しかし、Web サーバーにはこれらのオブジェクトの内容が分かっており、これらのオブジェクトの検索方法を知っています。query_contents ユーティリティーがこれらの仮想オブジェクトを wesosmユーティリティーのために一覧表にすることができる限り、プラグインはこれらの仮想オブジェクトについて許可検査を実行できます。

プラグインは、Tivoli Access Manager オブジェクト・スペースで該当する許可を検証することによって、許可検査を実行します。プラグインは、URL をオブジェクト・スペースにマップして、許可検査を実行するための正しいロケーションを決めます。プラグインによって保護されている特定のオブジェクトに ACL を適用するためには、オブジェクト・スペースに表示されるオブジェクトのセットが、セキュアな Web サーバーでの URL 要求に表示されるオブジェクトのセットに対応していることを確認することが必要です。

シングル・サインオンの構成モデルプラグインは、次のテーブルに示されているとおり、オブジェクト・スペース定義構成ファイルの [SSO] カテゴリーの下に作成される、カスタマイズ可能なシングル・サインオン・トークンをサポートします。

サーバー定義説明

[SSO] この定義の下にリストされている設定値を使用してシングル・サインオン・トークンを定義します。この定義のインスタンスは複数あってもかまいません。

この定義にリストされている設定値は、[Global]、[Local]、および [Remote] サーバーにリストされている設定値に関連していません。たとえば、trust_list 設定は、構成ファイルのどのサーバー定義の下でも有効ではありません。しかし、シングル・サインオン・トークンを一箇所に定義することによって、これらトークンをaccept_sso および submit_sso に対するパラメーターとして使用できます。これらは、サーバー・カテゴリーの下で有効です。次の例では、2 つの Web サーバーが必要とする iv-user トークンの定義を示します。

[Remote: /ESproxy/reverse/newbooks.com]domains = newbooks.comaccept_sso = myssosubmit_sso = myssoroute = http://backend1.com

[Remote: /ESproxy/reverse/newnovels.com]domains = newnovels.com



submit_sso = myssoroute = http://backend2.com

[SSO: mysso]name = iv-userformat = <userid>trust_basis = IP_Addresstrust_list = 0.0.0.0/0.0.0.0

この例では、newbooks.com に要求をする任意の IP アドレスからの iv-user トークンが存在するかどうかをプラグインが検査します。iv-user トークンが検出された場合、プラグインはユーザー ID をトークンから引き出し、ユーザーを許可します。また、プラグインは、iv-user トークンを newbooks.com および newnovels.com を要求してそれぞれのバックエンド・サーバーにサブミットします。

構成手順の要約Plug-in for Edge Server には、ユーザーの Web サーバー上の保護リソースへのアクセス・コントロールを構成するための柔軟なフレームワークがあります。それによって、ログイン方式、シングル・サインオン・トークン、および宛先サーバーなどのサーバー特有の構成項目を設定できます。各サーバーに適用する設定値は、一箇所でのみ設定する必要があり、サーバー特有の設定値はそれぞれのサーバーごとに設定できます。

プラグインを構成するための一般的なアプローチは、以下のとおりです。

1. リバース・プロキシー構成の場合、許可サーバーを必要とするそれぞれの Web

サーバーごとにプラグイン・マシン上に別名のドメイン名を作成します。

2. それぞれのサーバーごとに対応する [Remote] サーバー定義を作成し、別名のドメイン名をその定義に割り当てます。

3. そのサーバーの定義の下にサーバー特有の設定値を設定し、構成ファイルの[Global] 定義にグローバル設定を設定します。大部分の設定にデフォルトの内部プラグイン値を使用することで十分です。

4. wesosm ユーティリティーを実行してオブジェクト・スペースを生成し、そのサーバーへのアクセス・コントロールのために該当の ACL を Tivoli Access

Manager オブジェクト・スペースに設定します。

構成変更を行った後で、必ずプラグインを再始動します。構成エラーの原因を判別できない場合、イベント・ログ・ファイルを検査して、プラグインがどのように要求を処理したかを記述する情報を調べます。イベント・ログ・ファイルについてUNIX tail -f コマンドを実行することは、リアルタイムに発生するイベントを監視するのに役立ちます。イベント・ログの監視後に構成問題の原因を判別することはより容易になります。



第 14 章 Plug-in for Web Servers をセットアップする

本章では、Tivoli Access Manager Plug-in for Web Servers に関する情報を記載します。これは、Web サーバー・ソフトウェアに統合できるアプリケーションで、Tivoli Access Manager セキュア・ドメインで実行します。

Tivoli Access Manager Plug-in for Web Servers は、以下をサポートします。

v IBM HTTP Server (IHS)、バージョン 1.3.26 (AIX、xSeries および zSeries 上のLinux、および Solaris 上で)

v Apache Web Server (mod SSL 付き) (zSeries 上の Linux 上で (バージョン1.3.26-36) および Solaris 上で (バージョン 1.3.27))

v Sun ONE Web Server、バージョン 6.0 (AIX および Solaris 上で)

v Internet Information Services (IIS) Web Server、バージョン 5.0 および 6.0

(Windows 上で)

これらの Web Security コンポーネントについては、「IBM Tivoli Access Manager

for e-business Plug-in for Web Servers 統合ガイド」を参照してください。

以下のインストール方法のいずれかを使用して、サポートされる Web サーバー・プラグインをインストールできます。



プリインストールの要件Tivoli Access Manager Web Server plug-in をインストールして構成する前に、以下の要件が満たされていることを確認してください。これらの要件は、使用しようとしているインストール方法に関係なく、適用されます。

v Tivoli Access Manager レジストリー・サーバーとポリシー・サーバーがユーザーのセキュア・ドメインにセットアップされていることを確認します。これらのシステムのセットアップの指示については、 59ページの『第 2 部 Base システムのインストール』を参照してください。

v ご使用の Web サーバー環境ではフォーワード/リバース・プロキシーを使用不可になっていることを確認します。

v ユーザーの Web サーバーがこのシステムにインストールされ、構成されていることを確認します。さらに、SSL 通信を使用可能にする場合には、ユーザーのWeb サーバーを SSL またはクライアント証明書 (または両方) 用に構成する必要があります。

v Tivoli Access Manager が、ユーザーの Web サーバーを実行しているプラットフォームをサポートしていることを確認します。また、すべての必要なオペレーティング・システム・パッチがインストールされていることを確認します。詳しくは、 36ページの『必須パッチを含む、サポートされるプラットフォーム』を参照してください。


インストール・ウィザードを使用してインストールするインストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、IBM Tivoli Access Manager Web サーバー・プラグインのセットアップを単純化します。




v Access Manager Web Security Runtime、バージョン 5.1


v Access Manager Plug-in for Web Servers、バージョン 5.1

v Access Manager Plug-in (ご使用の特定の Web Server 用の)、バージョン 5.1


インストール・ウィザードを使用して、Tivoli Access Manager Web Server plug-in

をインストールして構成するには、以下のステップに従ってください。


2. JRE 1.3.1 がインストールされていることを確認します。説明については、301

ページを参照してください。


4. Windows 上のみでの Web server plug-in for IIS の場合:



5. サポートされるプラットフォームの IBM Tivoli Access Manager Web Security

CD の root ディレクトリーに入っている、ユーザーの特定の Web サーバー用の install_amwpi_webserver プログラムを実行します。

Tivoli Access Manager Plug-in for Web Servers には、以下のインストール・ウィザードがあります。

v install_amwpi_apache for Apache Web Server (zSeries 上の Linux およびSolaris 上で)

v install_amwpi_ihs for IBM HTTP Server (AIX、xSeries および zSeries 上のLinux、および Solaris 上で)

v install_amwpi_iis for Internet Information Services (Windows 上でのみ)

v install_amwpi_iplanet for Sun ONE Web Server (AIX および Solaris 上で)

Plug-in for Web Servers をセットアップする


インストール・ウィザードは、以下に説明のある構成情報を要求するプロンプトを出すことから開始します。

v 386ページの『install_amwpi_apache』

v 387ページの『install_amwpi_ihs』

v 388ページの『install_amwpi_iis』

v 389ページの『install_amwpi_iplanet』

この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

6. インストールが完了した後でユーザーの Web サーバーを再始動します。

7. ユーザーの特定の Web サーバー用に pdwebpi.conf ファイルをカスタマイズします。詳しくは、「IBM Tivoli Access Manager for e-business Plug-in for Web

Servers 統合ガイド」を参照してください。

8. プラグイン・プロセスを開始するには、以下のいずれかをします。

v UNIX システムで、/opt/pdwebpi/bin ディレクトリーに移動して、次のコマンドを入力します。

pdwebpi_start start

v Windows システムで、「スタート」→「コントロールパネル」→「管理ツール」→「サービス」を順にクリックします。「Access Manager Plug-in forWeb Servers」を右マウス・ボタン・クリックして、次に「スタート」を選択します。

注: このユーティリティーについては、 516ページの『pdwebpi_start』を参照してください。

これによって Tivoli Access Manager Web サーバー・プラグインのセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。


注: 代わりに、pdconfig ユーティリティーによって呼び出される、pdwpicfg ユーティリティーを使用して、Plug-in for Web Servers コンポーネントを構成できます。このユーティリティーについては、 519ページの『pdwpicfg -action

config』を参照してください。

ご使用の Web サーバーに適用される指示をすべて実行してください。

v 206ページの『Plug-in for Apache Web Server をインストールする』

v 209ページの『Plug-in for IBM HTTP Server をインストールする』

v 213ページの『Plug-in for Internet Information Services をインストールする』


第 14 章 Plug-in for Web Servers をセットアップする 205

v 215ページの『Plug-in for Sun ONE Web Server をインストールする』

Plug-in for Apache Web Server をインストールするご使用のオペレーティング・システムに適用される指示をすべて実行してください。

v zSeries 上の Linux (206 ページ)



zSeries 上の Linux: Plug-in for Apache Web Server をインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Web server plug-in for Apache Web Server (31 ビットのみ) を zSeries 上の Linux

にインストールするには、以下のステップを完了してください。








rpm -ihv packages


PDRTE-PD-5.1.0-0.s390.rpm

Access Manager Runtime パッケージを指定します。

PDWebRTE-PD-5.1.0-0.s390.rpm

Access Manager Web Security Runtime パッケージを指定します。

PDWPI-PD-5.1.0-0.s390.rpm

Access Manager Plug-in for Web Servers パッケージを指定します。

PDWPI-Apache-5.1.0-0.s390.rpm

Access Manager Plug-in for Apache Web Server パッケージを指定します。

注: これらのパッケージは、Apache Web Server と同じシステムにインストールする必要があります。





Plug-in for Web Servers パッケージを構成します。


pdconfig



c. 構成したいパッケージのメニュー番号を一度に 1 つずつ選択します。構成オプションについて援助を得たい場合には、 395ページの『第 23 章pdconfig オプション』を参照してください。


8. Web サーバーを再始動します。



10. プラグイン・プロセスを開始するには、/opt/pdwebpi/bin ディレクトリーに移動して、次のコマンドを入力します。

pdwebpi_start start

このユーティリティーについては、 516ページの『pdwebpi_start』を参照してください。

これによって zSeries 上の Linux での Web server plug-in for Apache Web Server

のセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。

Solaris: Plug-in for Apache Web Server をインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Web server plug-in for Apache Web Server を Solaris にインストールするには、以下のステップを完了してください。










ここで、








PDWPI Access Manager Plug-in for Web Servers パッケージを指定します。

PDWPIapa Access Manager Plug-in for Apache Web Server パッケージを指定します。

注: これらのパッケージは、Apache Web Server と同じシステムにインストールする必要があります。





pdconfig











pdwebpi_start start


これによって Solaris での Web server plug-in for Apache Web Server のセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、25ページの『インストール・プロセス』に記載のステップに従ってください。

Plug-in for IBM HTTP Server をインストールするご使用のオペレーティング・システムに適用される指示をすべて実行してください。


v xSeries および zSeries 上の Linux (210 ページ)



AIX: Plug-in for IBM HTTP Server をインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Web server Plug-in for IBM HTTP Server を AIX にインストールするには、以下のステップに従ってください。











PD.WPI Access Manager Plug-in for Web Servers パッケージを指定します。

PD.WPIIHS Access Manager Plug-in for IBM HTTP Server パッケージを指定します。



注: これらのパッケージは、IBM HTTP Server と同じシステムにインストールする必要があります。





pdconfig









pdwebpi_start start


これによって AIX での Web server plug-in for IBM HTTP Server のセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25

ページの『インストール・プロセス』に記載のステップに従ってください。

Linux: Plug-in for IBM HTTP Server をインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Web server plug-in for IBM HTTP Server を zSeries および xSeries 上の Linux にインストールするには、以下のステップを完了してください。







3. xSeries または zSeries の IBM Tivoli Access Manager Web Security CD を挿入して、それをマウントします。






rpm -ihv packages



PDRTE-PD-5.1.0-0.i386.rpm PDRTE-PD-5.1.0-0.s390.rpm

PDWebRTE-PD-5.1.0-0.i386.rpm PDWebRTE-PD-5.1.0-0.s390.rpm

PDWPI-PD-5.1.0-0.i386.rpm PDWPI-PD-5.1.0-0.s390.rpm

PDWPI-IHS-5.1.0-0.i386.rpm PDWPI-IHS-5.1.0-0.s390.rpm






pdconfig









pdwebpi_start start




これによって Linux での Web server plug-in for IBM HTTP Server のセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25

ページの『インストール・プロセス』に記載のステップに従ってください。

Solaris: Plug-in for IBM HTTP Server をインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Web server Plug-in for IBM HTTP Server を Solaris にインストールするには、以下のステップを完了してください。








ここで、









PDWPIihs Access Manager Plug-in for IBM HTTP Server パッケージを指定します。








pdconfig









pdwebpi_start start


これによって Solaris での Web server plug-in for IBM HTTP Server のセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、25ページの『インストール・プロセス』に記載のステップに従ってください。

Plug-in for Internet Information Services をインストールするWeb server plug-in for Internet Information Services は、サポートされる Windows

プラットフォームのみで使用可能です。

次の手順では、setup.exe を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Web server Plug-in for Internet Information Services を Windows にインストールするには、以下のステップに従ってください。


















v Access Manager Plug-in for Web Servers



13. 「終了」をクリックして、セットアップ・プログラムを終了します。変更内容を有効にするためにコンピューターの再始動を選択します。


15. Access Manager Runtime を構成し、続いて Access Manager Plug-in for Web

Servers パッケージを構成します。そうするには、「スタート」→「すべてのプログラム」→「IBM Tivoli Access Manager」→「構成 (Configuration)」をクリックします。

構成オプションについて援助を得たい場合には、 395ページの『第 23 章pdconfig オプション』を参照してください。

注: コマンド行から pdconfig ユーティリティーを使用することによっても、Tivoli Access Manager コンポーネントを構成できます。




18. プラグイン・プロセスを開始するには、「スタート」→「コントロールパネル」→「管理ツール」→「サービス」を順にクリックします。プラグイン・プロセス名を右マウス・ボタン・クリックし、次に「開始 (Start)」を選択します。

これによって Windows での Web server plug-in for IIS Web Server のセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、25ページの『インストール・プロセス』に記載のステップに従ってください。



Plug-in for Sun ONE Web Server をインストールするご使用のオペレーティング・システムに適用される指示をすべて実行してください。




AIX: Plug-in for Sun ONE Web Server をインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Plug-in for Sun ONE Web Server を AIX にインストールするには、以下のステップに従ってください。











PD.WPI Access Manager Plug-in for Web Servers パッケージを指定します。

PD.WPIiPlanet Access Manager Plug-in for Sun One Web Server パッケージを指定します。

注: これらのパッケージは、Sun ONE Web Server と同じシステムにインストールする必要があります。







pdconfig









pdwebpi_start start


これによって AIX での Web server plug-in for ONE Web Server のセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。

Solaris: Plug-in for Sun ONE Web Server をインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Web server plug-in for Sun ONE Web Server を Solaris にインストールするには、以下のステップを完了してください。








ここで、











PDWPIipl Access Manager Plug-in for Sun ONE Web Server パッケージを指定します。

注: これらのパッケージは、Sun ONE Web Server と同じシステムにインストールする必要があります。





pdconfig









pdwebpi_start start


これによって Solaris での Web server plug-in for Sun ONE Web Server のセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。



第 15 章 Tivoli Access Manager for WebLogic をセットアップする

本章には、Tivoli Access Manager for WebLogic のインストールおよび構成に関する情報を記載します。

この Web Security コンポーネントについては、「IBM Tivoli Access Manager for

e-business BEA WebLogic Server 統合ガイド」を参照してください。

以下のインストール方法のいずれかを使用して Tivoli Access Manager for WebLogic

をセットアップできます。


(BEA WebLogic Server、バージョン 7.0 の場合のみ)


BEA WebLogic Server の資料については、以下の Web サイトを参照してください。

v BEA WebLogic Server 7.0 の場合:

http://edocs.bea.com/wls/docs70/index.html






始める前に以下の考慮事項を検討してください。

v Access Manager for WebLogic Server は、このリリースで Custom Realm をサポートしません。その代わり、この統合は BEA WebLogic Server Security

Service Provider Interface (SSPI) をサポートします。

v Tivoli Access Manager for WebLogic は、Java 2 Security Manager を使用可能にして実行しているシステムをサポートします。Java ポリシー・ファイルは、Java 2 Security Manager が機能する場合の特定コードベースに必要な許可を含んでいるソフトウェアと一緒に提供されます。

v ユーザーのドメインに複数の WebLogic Server クラスターおよび独立したWebLogic Server インスタンスが含まれている場合、Tivoli Access Manager

for WebLogic を WebLogic Administration Server (開始する最初のインスタンス) およびそのドメインの各管理対象 WebLogic Server にインストールして構成する必要があります。そうするには、特に断りがない限り、ユーザーのドメインのすべての WebLogic サーバーについてインストールおよび構成ステップを完了してください。

手順では、管理サーバー特有のタスク対管理対象 WebLogic サーバー上で実行されたタスクを示します。たとえば、Tivoli Access Manager for WebLogic

を構成した後で、管理サーバー上にのみ Tivoli Access Manager セキュリティーのレルムを作成する必要があります。このタスクが完了した後、プロパティー・ファイルを管理サーバーから、クラスター・メンバーを含む、ドメインの各管理対象 WebLogic サーバーにコピーするように指示されます。

Tivoli Access Manager for WebLogic をセットアップする


プリインストールの要件Tivoli Access Manager for WebLogic システムをインストールして構成する前に、以下の要件が満たされていることを確認してください。これらの要件は、使用しようとしているインストール方法に関係なく、適用されます。

v Tivoli Access Manager レジストリー・サーバー、ポリシー・サーバー、および許可サーバーがユーザーのセキュア・ドメインにセットアップされていることを確認します。これらのシステムのセットアップの指示については、 59ページの『第2 部 Base システムのインストール』を参照してください。

v BEA WebLogic Server のサポートされるバージョンがこのシステムにインストールされており、BEA WebLogic Server ドメインが作成されていることを確認します。

Access Manager for WebLogic Server は、以下をサポートします。

– BEA WebLogic Server, Version 7.0 (Service Pack 2 適用)

– BEA WebLogic Server, Version 8.1 (Service Pack 1 適用)

v AIX システムでのみ、以下のように、IBM JRE をインストールします。

– BEA WebLogic Server、バージョン 7.0 の場合、IBM JRE 1.3.1.5 をインストールします。説明については、301 ページを参照してください。

– BEA WebLogic Server、バージョン 8.1 の場合、IBM JRE 1.4.1 をインストールします。ダウンロードおよびインストールに指示については、次の Web サイトを参照してください。

http://www.ibm.com/developerworks/java/jdk/index.html

注: BEA WebLogic Server が AIX プラットフォームの JRE をシップしないため、AIX で IBM JRE が必要になります。

v Tivoli Access Manager が、ユーザーの BEA WebLogic Server サーバーを実行しているプラットフォームをサポートしていることを確認します。また、必須オペレーティング・システム・パッチがインストールされていることを確認します。詳しくは、 36ページの『必須パッチを含む、サポートされるプラットフォーム』を参照してください。

インストール・ウィザードを使用してインストールする

重要このインストール・ウィザードは、BEA WebLogic Server、バージョン 7.0 の場合のみサポートされます。BEA WebLogic Server、バージョン 8.1 を使用している場合、 224ページの『ネイティブ・ユーティリティーを使用してインストールする』の指示に従ってください。

install_amwls インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、Tivoli Access Manager for WebLogic システムのセットアップを単純化します。


v Access Manager for WebLogic Server、バージョン 5.1


第 15 章 Tivoli Access Manager for WebLogic をセットアップする 221



install_amwls ウィザードを使用して Tivoli Access Manager for WebLogic をインストールして構成するには、以下のステップに従います。




4. 以下のように、BEA WebLogic Server を始動します。


/wls_install_dir/user_projects/domain_name/startWebLogic.sh


C:¥wls_install_dir¥user_projects¥domain_name¥startWebLogic.cmd


v BEA WebLogic Server と一緒に出荷される JRE をデフォルトのディレクトリーにインストールする場合、AIX、HP-UX (BEA WebLogic Server 7.0 のみ)、Solaris、および Windows の各プラットフォームの IBM Tivoli Access

Manager Web Security CD のルート・ディレクトリーに入っている、install_amwls プログラムを実行します。

v BEA WebLogic Server と一緒に出荷される JRE がデフォルトのディレクトリーにインストールされなかった (または AIX にインストールする) 場合、次のように、install_amwls ウィザードを実行します。

install_amwls -is:javahome path

ここで、path は、このインストールを実行するために使用された JRE のロケーションです。

インストール・ウィザードは、384 ページの『install_amwls』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

注: Windows システムでのみ、Tivoli Access Manager for WebLogic にデフォルトのインストール・ディレクトリーを受け入れることを確認します。

6. BEA WebLogic Server を停止します。

7. インストール・プロセスが AMSSPIProviders.jar ファイルをwls_install_dir/weblogic/server/lib/mbeantypes ディレクトリーにコピーしたことを検証します。このファイルがこのディレクトリーに存在しない場合、このファイルを amwls_install_dir/lib ディレクトリーからコピーします。

8. Active Directory レジストリー・ユーザーのみ: WebLogic Administration Server

の一部としてデプロイされている、証明書アプリケーションには、システム・ユーザーとアドミニストレーター・グループがあり、それがデプロイメント記



述子に構築されます。正しいセキュリティーが証明書アプリケーションで実施されることを確認するには、これらのデプロイメント記述子をユーザーの環境で意味のあるプリンシパルに変更する必要があります。

たとえば、WebLogic Server、バージョン 7.0 で、管理コンソールを始動して、左方パネルの「Web アプリケーション (Web Applications)」ノードを展開します。「Web アプリケーション (Web Application)」を右クリックして、「Web

アプリケーション記述子の編集 (Edit Web Application Descriptor)」を選択します。新しいブラウザー・ウィンドウが開いて、これらのデプロイメント記述子を変更できるようになります。

9. startWebLogic コマンドに CLASSPATH を設定します。説明については、234


10. BEA WebLogic Server を再始動します。

11. WebLogic Administration Server 上でのみ、Tivoli Access Manager レルムを作成して構成します。説明については、237 ページを参照してください。

12. WebLogic Server がマルチサーバーまたはクラスター環境のみにある場合、クラスター・メンバーを含む、ドメインのすべての管理対象 WebLogic Server

で Tivoli Access Manager for WebLogic を使用可能にする必要があります。そうするには、rbpf.properties、amsspi.properties、およびamwlsjlog.properties の各ファイルを WebLogic Administration Server の次のディレクトリーからドメインの管理対象 WebLogic Server のそれぞれにコピーします。

BEA_WLS_HOME/jdk_location/jre/amwls/

注: プロパティー・ファイルを各管理対象 WebLogic Server 上の同じロケーションにコピーすることを確認してください。


14. オプション: BEA WebLogic Server 用にシングル・サインオン・サービスを構成します。説明については、240 ページを参照してください。

注: Tivoli Access Manager レルムの作成時に SSO オプションを指定しない場合、このステップの実行前に amsspi.properties ファイルを更新する必要があります。このプロパティー・ファイルの更新の指示については、「IBM

Tivoli Access Manager for e-business BEA WebLogic Server 統合ガイド」を参照してください。

15. Tivoli Access Manager for WebLogic が Tivoli Access Manager レジストリー・サーバーおよびポリシー・サーバーと一緒に使用できるように正しくセットアップされていることを確認します。説明については、 242ページの『構成をテストする』を参照してください。

これによって Tivoli Access Manager for WebLogic システムのセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。









注: Tivoli Access Manager for WebLogic Server システムをインストールする前に、BEA WebLogic Server を停止して、インストールが完了した後で、それを再始動することを確認してください。

AIX: Tivoli Access Manager for WebLogic をインストールする

次の手順では、installp を使用してソフトウェア・パッケージをインストールします。

Tivoli Access Manager for WebLogic を AIX にインストールして構成するには、以下のステップに従ってください。


2. IBM JRE のインストールを含み、 221ページの『プリインストールの要件』にリストされている要件を満たしていることを確認します。

3. BEA WebLogic Server が停止していることを確認します。



installp -acgNXd cd_mount_point/usr/sys/inst.images packages



PDWLS Access Manager for WebLogic Server パッケージを指定します。





8. CLASSPATH および PATH 変数を設定し、WebLogic Jar ファイルを bin およびlib ディレクトリーに追加します。そうするには、次のスクリプトを実行します。

. setWLSEnv.sh

このスクリプトは、以下のディレクトリーのいずれかに入っています。

v WebLogic Server、バージョン 7.0 上で:

weblogic_install_dir/weblogic700/server/bin



9. インストール済みの IBM JRE 内で使用できるように Access Manager Java

Runtime Environment コンポーネントを構成するには ( 221ページの『プリインストールの要件』に説明したとおり)、/opt/PolicyDirector/sbin ディレクトリーに移動して、次のコマンドを入力します。

./pdjrtecfg -action config -host policy_server_host -java_home jre_home -port port

ここで、jre_home は、ユーザーの AIX システム上での IBM JRE のインストール・ロケーションです。以下に例を示します。

v BEA WebLogic Server、バージョン 7.0 上で:

-java_home /usr/java131/jre



注: WebLogic Server、バージョン 8.1 の場合のみ、pdjrtecfg ユーティリティーは、jre/lib ディレクトリーの jsse.jar ファイルを置き換えます。このファイルは、Access Manager Java Runtime Environment パッケージを構成解除すると、復元されます。このユーティリティーについては、 502ページの『pdjrtecfg』を参照してください。


の一部としてデプロイされている、証明書アプリケーションには、システム・ユーザーとアドミニストレーター・グループがあり、それがデプロイメント記述子に構築されます。正しいセキュリティーが証明書アプリケーションで実施されることを確認するには、これらのデプロイメント記述子をユーザーの環境で意味のあるプリンシパルに変更してください。







12. Access Manager for WebLogic Server コンポーネントを構成します。説明については、235 ページを参照してください。


14. WebLogic Server がマルチサーバーまたはクラスター環境のみにある場合、クラスター・メンバーを含む、ユーザーの環境のすべての管理対象 WebLogic

Server で Tivoli Access Manager for WebLogic を使用可能にする必要があります。そうするには、プロパティー・ファイルを WebLogic Administration Server

上の次のディレクトリーからドメインの管理対象 WebLogic Server のそれぞれにコピーします。




16. オプション: WebLogic Server 用にシングル・サインオン・サービスを構成します。説明については、240 ページを参照してください。





HP-UX: Tivoli Access Manager for WebLogic をインストールする

次の手順では、swinstall を使用してソフトウェア・パッケージをインストールします。

注: HP-UX 11.0 および 11i は、BEA WebLogic Server、バージョン 7.0 の場合のみサポートされます。

Tivoli Access Manager for WebLogic を HP-UX にインストールして構成するには、以下のステップに従ってください。










swinstall -s /cd_rom/hp packages







. setWLSEnv.sh

WebLogic Server、バージョン 7.0 で、このスクリプトは次のディレクトリーに入っています。


9. BEA WebLogic Server と一緒に出荷されインストールされる JRE 内で使用できるように Access Manager Java Runtime Environment コンポーネントを構成するには、/opt/PolicyDirector/sbin ディレクトリーに移動して、次のコマンドを入力します。


ここで、jre_home は、BEA WebLogic Server と一緒にインストールされた Sun

JRE のインストール・ロケーションです。たとえば、BEA WebLogic Server、バージョン 7.0 では、次のようになります。


注: このコンポーネントを Sun JRE 1.4.x 内で使用できるように構成する場合、pdjrtecfg -interactive オプションを使用しないでください。使用した場合、構成が失敗する可能性があります。このユーティリティーについては、 502ページの『pdjrtecfg』を参照してください。




Solaris: Tivoli Access Manager for WebLogic をインストールする

次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールします。

Tivoli Access Manager for WebLogic を Solaris にインストールして構成するには、以下のステップに従ってください。






pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/solaris/pddefault packages

ここで、















. setWLSEnv.sh






9. BEA WebLogic Server と一緒に出荷されインストールされる JRE 内で使用できるように Access Manager Java Runtime Environment コンポーネントを構成するには、/opt/PolicyDirector/sbin ディレクトリーに移動して、次のコマンドを入力します。



JRE のインストール・ロケーションです。以下に例を示します。




-java_home /usr/local/bea/jdk141_03/jre

注:

1. このコンポーネントを Sun JRE 1.4.x 内で使用できるように構成する場合、pdjrtecfg -interactive オプションを使用しないでください。使用した場合、構成が失敗する可能性があります。このユーティリティーについては、502ページの『pdjrtecfg』を参照してください。

2. WebLogic Server、バージョン 8.1 の場合のみ、pdjrtecfg ユーティリティーは、jre/lib ディレクトリーの jsse.jar ファイルを置き換えます。このファイルは、Access Manager Java Runtime Environment パッケージを構成解除すると、復元されます。






















Windows: Tivoli Access Manager for WebLogic をインストールする

次の手順では、InstallShield setup.exe プログラムを使用してソフトウェア・パッケージをインストールします。

Tivoli Access Manager for WebLogic を Windows にインストールして構成するには、以下のステップに従ってください。



3. BEA WebLogic Server サービスが停止していることを確認します。




for WebLogic Server パッケージをインストールします。そうするには、次のディレクトリーに入っている setup.exe ファイルを実行します。









v Access Manager Java Runtime Environment

v Access Manager for WebLogic Server



12. 「終了」をクリックして、セットアップ・プログラムを終了します。

13. インストールが AMSSPIProviders.jar ファイルを wls_install_dir

¥weblogic¥server¥lib¥mbeantypes ディレクトリーにコピーしたことを検証します。このファイルがこのディレクトリーに存在しない場合、このファイルを¥amwls_install_dir¥lib から手動でコピーします。


15. CLASSPATH および PATH 変数を設定し、WebLogic Jar ファイルを bin およびlib ディレクトリーに追加します。そうするには、次のバッチ・ファイルを実行します。

setWLSEnv.bat



weblogic_install_dir¥weblogic700¥server¥bin


weblogic_install_dir¥weblogic81¥server¥bin

16. BEA WebLogic Server と一緒に出荷されインストールされる JRE 内で使用できるように Access Manager Java Runtime Environment コンポーネントを構成するには、install_dir¥sbin ディレクトリー (たとえば、C:¥Program


pdjrtecfg -action config -host policy_server_host -java_home jre_home -port port


JRE のインストール・ロケーションです。以下に例を示します。




-java_home c:¥bea¥jdk131_06¥jre


-java_home c:¥bea¥jdk141_03¥jre

注:

1. このコンポーネントを Sun JRE 1.4.x 内で使用できるように構成する場合、pdjrtecfg -interactive オプションを使用しないでください。使用した場合、構成が失敗する可能性があります。このユーティリティーについては、502ページの『pdjrtecfg』を参照してください。

2. WebLogic Server、バージョン 8.1 の場合のみ、pdjrtecfg ユーティリティーは、jre¥lib ディレクトリーの jsse.jar ファイルを置き換えます。このファイルは、Access Manager Java Runtime Environment パッケージを構成解除すると、復元されます。












BEA_WLS_HOME¥jdk_location¥jre¥amwls¥










CLASSPATH を startWebLogic コマンド用に設定するstartWebLogic コマンドを使用して、WebLogic Server を始動します。startWebLogic が正しい Java クラスにアクセスしてロードできるようにするにはCLASSPATH 環境変数を変更する必要があります。

注: これらの構成ステップに進む前に、WebLogic ドメインを作成する必要があります。

CLASSPATH を startWebLogic に設定するには、以下のステップに従ってください。

1. WebLogic Server が実行している場合には、それをすぐに停止します。

2. 以下のファイル名を startWebLogic コマンドの CLASSPATH 変数に追加します。


/opt/pdwls/lib/AMSSPICore.jar/opt/pdwls/lib/rbpf.jar


C:¥amwls_install_dir¥lib¥AMSSPICore.jarC:¥amwls_install_dir¥lib¥rbpf.jar

startWebLogic コマンドは、BEA WebLogic Server のインストール済みドメインのディレクトリーに入っています。標準インストールで、このロケーションは以下のとおりです。


/wls_install_dir/user_projects/domain_name


C:¥wls_install_dir¥user_projects¥domain_name

ここで、domain_name は、BEA WebLogic Server ドメインを作成したときに選択した名前です。

3. 言語サポート・パックをインストールした場合、以下のとおり、startWebLogicスクリプトに定義された CLASSPATH に nls パスも追加する必要があります。




/opt/pdwls/nls/java/com/tivoli/pdwls/nls


C:¥Progra~1¥Tivoli¥pdwls¥nls¥java¥com¥tivoli¥pdwls¥nls

注: nls ディレクトリーを追加すると、以下のディレクトリーのいずれかに言語パックによってインストールされているリソース・バンドルにアクセスできるようになります。


/opt/pdwls/nls/java/com/tivoli/pdwls/nls/


c:¥amwls_install_dir¥nls¥java¥com¥tivoli¥pdwls¥nls

Tivoli Access Manager for WebLogic を構成する以下のセクションでは、Access Manager for WebLogic Server コンポーネントの構成方法を説明します。Console Extension Web アプリケーションまたはコマンド行のいずれかを使用して Access Manager for WebLogic Server を構成できます。

セクションには、以下が含まれています。

v 『Console Extension Web アプリケーションを使用する』


注:

1. 以下の指示を完了する前に BEA WebLogic Server ドメインを作成する必要があります。

2. 構成時に指定する情報は、プロパティー・ファイルに保管されます。これらのプロパティー・ファイルを使用して、Tivoli Access Manager for WebLogic の動作を変更できます。プロパティー・ファイルの参照情報については、「IBM Tivoli

Access Manager for e-business BEA WebLogic Server 統合ガイド」を参照してください。

Console Extension Web アプリケーションを使用するConsole Extension Web アプリケーションを使用して Access Manager for WebLogic

Server を構成するには、以下のステップに従ってください。



/amwls_install_dir/user_projects/domain_name/startWebLogic.sh


C:¥amwls_install_dir¥user_projects¥domain_name/startWebLogic.cmd

2. Web ブラウザーを開き、BEA WebLogic にホストとしてのサービスを提供するシステム上の BEA WebLogic コンソールに接続します。以下に例を示します。

http://weblogic_server_name:7001/console

注: デフォルトの BEA WebLogic Server ポートは、7001 です。この値は構成可能です。



BEA WebLogic Server ログオン・ウィンドウが表示されます。


4. Web アプリケーションをデプロイするには、以下のステップに従ってください。

a. 「ドメイン構成 (Domain Configurations)」バナー内の BEA WebLogic Server

ホーム・ページから、「Web アプリケーション (Web Applications)」を選択します。

b. 「新規 Web アプリケーションに構成 (Configure a New WebApplication)」リンクを選択します。

c. 「ブラウザーを使用してアップロード (Upload it through yourbrowser)」を選択します。

d. 次のアプリケーションをブラウズして、「アップロード (Upload)」をクリックします。

amwls_install_dir¥lib¥AMWLSConsoleExtension.war

e. AMWLSConsoleExtension.warの「選択 (Select)」リンクをクリックします。

f. デプロイメント・ターゲットを選択して、「構成と表示 (Configure andDisplay)」をクリックします。

Console Extension Web アプリケーションが正常にデプロイされていることを確認するには、左端のペインの「デプロイメント (Deployments)」を展開します。次に「Web アプリケーション (Web Applications)」フォルダーを展開して、リスト内に AMWLSConsoleExtensions を表示します。コンソール・ウィンドウの左側の BEA WebLogic Server ナビゲーション・ペインに「Access

Manager」アイコンも表示されることに注意してください。

5. Tivoli Access Manager ドメインを構成するには、BEA WebLogic Server ナビゲーション・ペインの「Access Manager」アイコンをクリックします。

構成ウィンドウが表示されます。

6. 473ページの『AMWLSConfigure -action config』に説明されている、構成オプションを入力して、次に「適用をクリックします。

構成が正常に行われた場合、Console Extension Web アプリケーションは「レルムの作成 (Create Realm)」ページを表示します。

ここで、Tivoli Access Manager レルムを WebLogic Administration Server に作成し、構成する必要があります。説明については、237 ページを参照してください。

コマンド行を使用するコマンド行を使用して Access Manager for WebLogic Server コンポーネントを構成するには、以下のステップに従ってください。



/wls_install_dir/user_projects/domain_name/startWebLogic.sh


C:¥wls_install_dir¥user_projects¥domain_name/startWebLogic.cmd

2. インストール時に Access Manager for WebLogic Server をデフォルト・ディレクトリーにインストールしなかった場合、AMWLSConfigure スクリプトの



AMSSPI_DIR 変数を実際のインストール・ディレクトリーの名前に合わせて設定します。同様に、WebLogic がデフォルト・ロケーションにインストールされていないか、または WebLogic Server、バージョン 8.1 を使用している場合には、AMWLSConfigure スクリプトの WebLogic.jar の正しいロケーションでWLS_JAR 変数を更新します。

3. Access Manager for WebLogic Server コンポーネントを構成するには、以下のいずれかを行います。

v AMWLSConfigure スクリプト (UNIX) またはバッチ・ファイル (Windows) を書き込みアクセス権限を持つディレクトリーから実行します。

– UNIX システムでは:

opt/pdwls/sbin/AMWLSConfigure.sh

– Windows システムでは:

c:¥amwls_install_dir¥pdwls¥sbin¥AMWLSConfigure.bat

v AMWLSConfigure ユーティリティーを、次のように、実行します。

AMWLSConfigure -action config [options ...]

必須およびオプションの値を表示して AMWLSConfigure に受け渡すには、次のコマンドを入力します。

AMWLSConfigure -help [action]

注: AMWLSConfigure -action config オプションの説明については、 473ページの『AMWLSConfigure -action config』を参照してください。

ここで、Tivoli Access Manager レルムを WebLogic Administration Server に作成し、構成する必要があります。説明については、237 ページを参照してください。

Tivoli Access Manager レルムを作成するBEA WebLogic Server のセキュリティーを提供するように Access Manager for

WebLogic Server を構成した後、レルムを作成してそれを Tivoli Access Manager セキュリティーに関連付ける必要があります。このタスクは、ユーザーのドメインの管理対象 WebLogic Server ではなく、WebLogic Administration Server 上でのみ実行されることに注意してください。

Console Extension Web アプリケーションまたはコマンド行のいずれかを使用してレルムを作成して構成できます。セクションには、以下が含まれています。

v 238ページの『Console Extension Web アプリケーションを使用する』


Active Directory ユーザーのみ:Tivoli Access Manager for WebLogic をインストールした後、Tivoli Access

Manager レルムを作成する前に amwls_install_dir/etc/amsspi.properties

ファイルの AdminGroupProp=Administrators 設定値を別の値に変更する必要があります。そのようにしなければ、Active Directory にすでにアドミニストレーター・グループが存在するため、構成が失敗します。



Console Extension Web アプリケーションを使用するConsole Extension Web アプリケーションを使用して Tivoli Access Manager レルムを作成して構成するには、以下のステップに従ってください。

注: BEA WebLogic Server のシングル・サインオンを使用可能にする場合には、『コマンド行を使用する』の指示に従ってください。WebLogic Server Console

Extension を使用してシングル・サインオンを使用可能にすることはサポートされていません。

1. 左端ペインの「Access Manager」アイコンを展開して、「レルム」アイコンをクリックします。

「レルムの作成」ウィンドウが表示されます。

2. 必要な変数を入力して、「適用」をクリックします。

3. Tivoli Access Manager レルムを使用するように BEA WebLogic Server を構成するには、以下のいずれかを行います。


a. アドミニストレーター特権を持つユーザーとしてログオンします。

b. BEA WebLogic Server ナビゲーション・ペインでユーザーのドメインに関連したアイコンを選択します。

「ドメイン構成 (Domain Configuration)」ウィンドウが表示されます。

c. 「セキュリティー」タブを選択します。

d. 「一般」タブから、「デフォルト・レルム」ドロップダウン・リストを使用して Access Manager レルムを選択して「適用」をクリックします。

v BEA WebLogic Server 8.1 の場合、左端ペインから BEA WebLogic Server コンソール上の「セキュリティー (Security)」アイコンを選択します。ドロップダウン・リストを使用して Access Manager レルムを選択して「適用」をクリックします。


5. 新規の Tivoli Access Manager レルムが正しく機能していることをテストするには、Tivoli Access Manager ユーザー・レジストリーからのエントリーが Access

Manager アイコン内の「ユーザーおよびグループ (Users and Groups)」アイコンに含まれていることを検証します。

コマンド行を使用するコマンド行を使用して Tivoli Access Manager レルムを作成して構成するには、以下のステップに従ってください。

1. インストール時に Access Manager for WebLogic Server をデフォルト・ディレクトリーにインストールしなかった場合、AMWLSConfigure スクリプトのAMSSPI_DIR 変数を実際のインストール・ディレクトリーの名前に合わせて設定する必要があります。同様に、WebLogic がデフォルト・ロケーションにインストールされていないか、または WebLogic Server、バージョン 8.1 を使用している場合には、AMWLSConfigure スクリプトの WebLogic.jar の正しいロケーションで WLS_JAR 変数を更新します。

2. Tivoli Access Manager レルムを作成して構成するには、以下のいずれかを行います。



v 以下のとおり、構成スクリプトを実行します。


opt/pdwls/sbin/AMWLSConfigure.sh


c:¥amwls_install_dir¥pdwls¥sbin¥AMWLSConfigure.bat

v AMWLSConfigure ユーティリティーを、次のように、実行します。

AMWLSConfigure -action create_realm [options ...]

必須およびオプションの値を表示して AMWLSConfigure に受け渡すには、次のコマンドを入力します。

AMWLSConfigure -help [action]

注:

1. AMWLSConfigure -action create_realm オプションの説明については、476ページの『AMWLSConfigure -action create_realm』を参照してください。

2. SSO を BEA WebLogic Server で使用可能にする場合、このユーティリティーの実行時に以下のオプションを定義することを確認してください。

-sso_enabled true

-sso_user sso_user

-sso_pwd sso_pwd

3. アクションが実行される前にパスワードの入力を要求するプロンプトを出されます。このユーティリティーのすべての情報については、「IBM Tivoli

Access Manager for e-business コマンド・リファレンス」を参照してください。

3. Tivoli Access Manager レルムを使用するように BEA WebLogic Server を構成するには、以下のいずれかを行います。


a. Web ブラウザーを開き、BEA WebLogic にホストとしてのサービスを提供するシステム上の BEA WebLogic コンソールに接続します。以下に例を示します。

http://weblogic_server_name:7001/console

注: 7001 は、デフォルトの BEA WebLogic Server ポート番号です。この値は構成可能です。

BEA WebLogic Server ログオン・ウィンドウが表示されます。

b. アドミニストレーター特権を持つユーザーとしてログオンします。

c. BEA WebLogic Server ナビゲーション・ペインでユーザーのドメインに関連したアイコンを選択します。

「ドメイン構成 (Domain Configuration)」ウィンドウが表示されます。

d. 「セキュリティー」タブを選択します。

e. 「一般」タブから、「デフォルト・レルム」ドロップダウン・リストを使用して Access Manager レルムを選択して「適用」をクリックします。



v BEA WebLogic Server 8.1 の場合、左端ペインから BEA WebLogic Server コンソール上の「セキュリティー (Security)」アイコンを選択します。ドロップダウン・リストを使用して Access Manager レルムを選択して「適用」をクリックします。


5. 新規の Tivoli Access Manager レルムが正しく機能していることをテストするには、Tivoli Access Manager ユーザー・レジストリーからのエントリーが Access

Manager アイコン内の「ユーザーおよびグループ (Users and Groups)」アイコンに含まれていることを検証します。

BEA WebLogic Server シングル・サインオンを構成するシングル・サインオン (SSO) には、各アプリケーションに別個にログオンすることを必要とせずに一度にログオンして複数のアプリケーションにアクセスできる機能があります。次の手順では、BEA WebLogic Server でシングル・サインオンを使用可能にするための WebSEAL または Web Server プラグインの構成方法を説明します。この手順はオプションです。

BEA WebLogic Server シングル・サインオンを構成するには、以下のステップに従ってください。

1. 以下の AMWLSConfigure -action create_realm 構成オプションを、 237ページの『Tivoli Access Manager レルムを作成する』の説明のとおりに、設定したことを確認します。

-sso_enabled true

-sso_user sso_user

-sso_pwd sso_pwd


v Web Server プラグインを構成して、以下のように SSO を BEA WebLogic

Server で使用可能にする。

a. 次のディレクトリーに入っている、pdwebpi.conf ファイルを編集する。


/opt/pdwebpi/etc


c:¥web_server_plugin_install_dir¥PDWebPI¥etc¥

b. 基本認証モジュールを使用して認証後処理を使用可能にするには、次のエントリーを [common-modules] スタンザに追加します。

[common-modules]post-authzn = BA

c. 次のように、以下のエントリーを [BA] スタンザに追加します

[BA]add-hdr = supplysupply-password = sso_pwd

ここで、

supply HTTP 基本認証 (BA) ヘッダーの静的パスワード、ユーザー名、またはその両方を指定します。



sso_pwd 237ページの『Tivoli Access Manager レルムを作成する』に定義されている、SSO ユーザーのパスワードを指定します。

基本認証シングル・サインオンの構成については、「IBM Tivoli Access

Manager for e-business Plug-in for Web Servers 統合ガイド」を参照してください。

v WebSEAL サーバーを構成して、以下のように SSO を WebLogic Server で使用可能にする。

a. 次のディレクトリーに入っている、webseald.conf ファイルを編集する。


/opt/pdwebpi/etc


c:¥web_server_plugin_install_dir¥Tivoli¥PDWeb¥etc¥

b. 次のように、次のスタンザ・エントリーを [junction] スタンザに追加します。

[junction]basicauth-dummy-passwd = sso_pwd

ここで、sso_pwd は、 237ページの『Tivoli Access Manager レルムを作成する』に定義されている、SSO ユーザーのパスワードです。

注: クライアント ID とダミーのパスワードの指定については、「IBM


c. 構成変更を有効にするために WebSEAL を停止して、再始動します。

d. インターフェースまたは pdadmin ユーティリティーを使用してWebSEAL junction を作成します。たとえば、pdadmin server taskcreate コマンドを使用して、以下を 1 行の連続したコマンド行として入力します。

pdadmin sec_master> server task server_name-host create -t tcp-p wls_listening_port -h weblogic_server -b supply junction_point

242ページの表 9 には、WebSEAL junction を作成するために必要なオプションをリストします。pdadmin server task create コマンドの参照情報については、「IBM Tivoli Access Manager for e-business コマンド・リファレンス」を参照してください。WebSEAL junction の作成については、「IBM Tivoli

Access Manager for e-business WebSEAL 管理者ガイド」を参照してください。



表 9. pdadmin server task create 構成オプション： * は必須オプションを示します。

構成オプション説明

server_name-host WebSEAL サーバーの名前を指定します。pdadminserver list コマンドの出力に表示される形式とまったく同じ形式でサーバー名を指定しなければなりません。

デフォルトの構成済みの名前を持つ単一 WebSEAL サーバーの場合、server_name はdefault-webseald-hostname です。同じシステム上で複数の WebSEAL インスタンスの場合、server_name

は WebSEAL サーバー・インスタンスの構成済みの名前で、その後に -webseald-hostname が続きます。たとえば、WebSEAL インスタンスの構成済みの名前がwebseal2 である場合、server_name は以下のとおりです。webseal2-webseald-hostname

WebSEAL の複数インスタンスを同じサーバーにインストールした場合にも、サーバー・インスタンスを指定する必要があります。注: 複数のサーバー・インスタンスを持つ junction の作成については、「IBM Tivoli Access Manager for

e-business WebSEAL 管理者ガイド」を参照してください。

-h weblogic_server BEA WebLogic Server の DNS ホスト名または IP アドレスを指定します。

-p wls_listening_port BEA WebLogic Server が listen するポートを指定します。デフォルト値は 7001 です。

-b supply 静的な総称 (「ダミー」) パスワードを持つ認証済みTivoli Access Manager ユーザー名 (クライアントの元の ID) を指定するように WebSEAL に指示します。SSO の場合 supply オプションが必要になります。

junction_point Junction ポイントを作成したい URL ターゲットを指定します。

これによって BEA WebLogic Server シングル・サインオンの構成が完了します。

構成をテストするTivoli Access Manager for WebLogic が Tivoli Access Manager レジストリー・サーバーおよびポリシー・サーバーと一緒に使用できるように正しくセットアップされていることを確認するには、以下のステップを完了してください。

1. BEA WebLogic Server コンソールを使用して新しいテスト・ユーザーを作成して検証します。

2. 次の pdadmin コマンドを入力します。

pdadmin sec_master> user show test_user

v account-valid が yes であることを確認します。

v password-valid が yes であることを確認します。



Tivoli Access Manager for WebLogic シングル・サインオン・ソリューションによって、単一の認証ステップで BEA WebLogic Server のユーザーを透過的に認証するWebSEAL までをカバーすることができます。認証が正しく構成されていることは、デモンストレーション・アプリケーションを実行することによって確認できます。デモンストレーション・アプリケーションは、「IBM Tivoli Access Manager for

e-business BEA WebLogic Server 統合ガイド」に説明されています。



第 16 章 Tivoli Access Manager for WebSphere をセットアップする

本章には、Tivoli Access Manager for WebSphere のインストールおよび構成に関する情報を記載します。


e-business IBM WebSphere Application Server 統合ガイド」を参照してください。




詳しくは、次の Web アドレスの WebSphere Information Center を参照してください。


プリインストールの要件Tivoli Access Manager for WebSphere システムをインストールして構成する前に、以下の要件が以下の順序で満たされていることを確認してください。これらの要件は、使用しようとしているインストール方法に関係なす。

1. Tivoli Access Manager レジストリー・サーバー、ポリシー・サーバー、および許可サーバーがユーザーのセキュア・ドメインにセットアップされていることを確認します。これらのシステムのセットアップの指示については、 59ページの『第 2 部 Base システムのインストール』を参照してください。

注: パフォーマンスを向上させるために、許可サーバーを WebSphere Application

Server と同じシステム上にインストールすることをお勧めします。

2. WebSphere Application Server がこのシステムにインストールされていることを確認します。Tivoli Access Manager for WebSphere は、以下をサポートします。

v IBM WebSphere Application Server、バージョン 4.0.6

v IBM WebSphere Application Server、Advanced Single Server、バージョン 4.0.6


v IBM WebSphere Application Server、バージョン 5.1

3. Tivoli Access Manager が、ユーザーの WebSphere Application Server サーバーを実行しているプラットフォームをサポートしていることを確認します。また、すべての必要なオペレーティング・システム・パッチがインストールされていることを確認します。詳しくは、 36ページの『必須パッチを含む、サポートされるプラットフォーム』を参照してください。

4. サポートされる WebSphere Application Server (Advanced Single Server、バージョン 4.0.6 を除く) の場合、以下を行います。



v Tivoli Access Manager ポリシー・サーバーと WebSphere Application Server

が同じユーザー・レジストリーを使用するように構成されていることを確認します。

v ポリシー・サーバーが WebSphere Security が使用する既存のレジストリーに対して構成された場合、既存の WebSphere ユーザーおよびグループをユーザー・レジストリーから Tivoli Access Manager レジストリー・スキーマにインポートします。 255ページの『既存のユーザーおよびグループをインポートする』に記載されている指示をすべて実行してください。

5. 管理ユーザーを作成して WebSphere Application Server に特有のタスクを実行させます。 256ページの『Tivoli Access Manager アドミニストレーターをWebSphere 用に作成する』に記載されている指示をすべて実行してください。

6. WebSphere Application Server のセキュリティーを使用可能にします。 256ページの『WebSphere security を使用可能にする』に記載されている指示をすべて実行してください。

インストール・ウィザードを使用してインストールする

重要WebSphere Application Server、バージョン 5.1 を使用している場合、インストールは必要ありません。ご使用の特定プラットフォームについては、 248ページの『ネイティブ・ユーティリティーを使用してインストールする』に記載の構成の指示に従ってください。

install_amwas インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、Tivoli Access Manager for WebSphere

システムのセットアップを単純化します。


v Access Manager for WebSphere Application Server、バージョン 5.1


install_amwas ウィザードを使用して Tivoli Access Manager for WebSphere システムをインストールして構成するには、以下のステップに従います。



3. WAS_HOME 環境変数を WebSphere Application Server インストール・ディレクトリーに合わせて設定します。そうするには、WebSphere Application Server がインストールされている bin ディレクトリーに移動して、setupCmdLine.sh

(UNIX) または setupCmdLine.bat (Windows) を実行します。

Tivoli Access Manager for WebSphere をセットアップする


4. UNIX システム上でのみ、PDWAS_HOME 環境変数を Tivoli Access Manager for

WebSphere インストール・ディレクトリーに合わせて設定します。以下に例を示します。

PDWAS_HOME=/opt/amwasexport PDWAS_HOME

注: Windows システムでは、PDWAS_HOME 変数がすでに環境に存在します。


6. WebSphere Application Server を停止します。


v WebSphere Application Server と一緒に出荷される JRE をデフォルトのディレクトリーにインストールする場合、AIX、HP-UX、Solaris、および Windows

の各プラットフォームの IBM Tivoli Access Manager Web Security CD のルート・ディレクトリーに入っている、install_amwas プログラムを実行します。

v WebSphere Application Server と一緒に出荷される JRE がデフォルトのディレクトリーにインストールされなかった場合、次のように、install_amwas ウィザードを実行します。

install_amwls -is:javahome websphere_install_dir/AppServer/java/jre

インストール・ウィザードは、375 ページの『install_amwas』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

注:

1. Tivoli Access Manager コンポーネントのインストールおよび構成を簡素化するために応答ファイルを作成できます。インストール・プロセスでは、ブランクを埋めるためのプロンプトを出す代わりに応答ファイルから情報を読み取ります。詳しくは、 529ページの『第 27 章応答ファイルを使用する』を参照してください。

2. Access Manager Java Runtime Environment の構成オプションを要求するプロンプトが出されるとき、WebSphere Application Server と一緒に出荷されインストールされた JRE のディレクトリーを指定することを確認します。以下に例を示します。v UNIX では:

websphere_install_dir/AppServer/java/jre

v Windows では:

websphere_install_dir¥AppServer¥java¥jre

8. ご使用のシステムに security policy を指定する EAR ファイルを持つ J2EE アプリケーションがある場合、WebSphere Security の設定値をマイグレーションする必要があります。説明については、261 ページを参照してください。

9. WebSphere Application Server を始動します。

これによって Tivoli Access Manager for WebSphere システムのセットアップが完了します。別の Tivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。


第 16 章 Tivoli Access Manager for WebSphere をセットアップする 247

Tivoli Access Manager for WebSphere を使用する前に、保護する必要のあるそれぞれのアプリケーションごとのアプリケーション EAR ファイルをマイグレーションする必要があることに注意してください。指示については、「IBM Tivoli Access

Manager for e-business IBM WebSphere Application Server Integration Guide」に記載のセキュリティー役割のマイグレーションに関する情報を参照してください。








AIX: Tivoli Access Manager for WebSphere をインストールする

次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および pdwascfg ユーティリティーを使用して構成します。

Tivoli Access Manager for WebSphere を AIX にインストールして構成するには、以下のステップに従ってください。



3. WebSphere Application Server、バージョン 5.1 を使用している場合、ステップ8 (249ページ) までスキップして Access Manager Java Runtime Environment を構成します。インストールは不要です。








PDWAS Access Manager for WebSphere Application Server パッケージを指定します。

注: これらのパッケージは、WebSphere Application Server と同じシステムにインストールする必要があります。


7. WAS_HOME 環境変数が IBM WebSphere Application Server ホーム・ディレクトリーに合わせて設定されていることを確認します。そうするには、WebSphere

がインストールされている bin ディレクトリーに入っている、setupCmdLine.sh スクリプトを実行するか、または次のコマンドを入力します。

env | grep WAS_HOME

8. WebSphere Application Server と一緒に出荷されインストールされる JRE 内で使用できるように Access Manager Java Runtime Environment コンポーネントを構成するには、/opt/PolicyDirector/sbin ディレクトリーに移動して、次のコマンドを入力します。

./pdjrtecfg -action config -host policy_server_host -java_home $WAS_HOME/java/jre -port port


9. Access Manager for WebSphere Application Server コンポーネントを構成します。説明については、260 ページを参照してください。





HP-UX: Tivoli Access Manager for WebSphere をインストールする

次の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および pdwascfg ユーティリティーを使用して構成します。

Tivoli Access Manager for WebSphere を HP-UX にインストールして構成するには、以下のステップを完了してください。





3. WebSphere Application Server、バージョン 5.1 を使用している場合、ステップ9 までスキップして Access Manager Java Runtime Environment を構成します。インストールは不要です。

4. IBM Tivoli Access Manager Web Security for HP-UX CD を挿入します。








PDWAS Access Manager for WebSphere Application Server パッケージを指定します。





env | grep WAS_HOME














Linux: Tivoli Access Manager for WebSphere をインストールする

次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および pdwascfg ユーティリティーを使用して構成します。

Tivoli Access Manager for WebSphere を Linux にインストールして構成するには、以下のステップを完了してください。





3. WebSphere Application Server、バージョン 5.1 を使用している場合、ステップ9 (252ページ) までスキップして Access Manager Java Runtime Environment を構成します。インストールは不要です。

4. xSeries または zSeries の IBM Tivoli Access Manager Web Security CD を挿入して、それをマウントします。




rpm -ihv packages


Access Manager Java RuntimeEnvironment

Access Manager forWebSphere Application Server

xSeries 上の Linux PDJrte-PD-5.1.0-0.i386.rpm PDWAS-PD-5.1.0-0.i386.rpm

zSeries 上の Linux PDJrte-PD-5.1.0-0.s390.rpm PDWAS-PD-5.1.0-0.s390.rpm







env | grep WAS_HOME









Solaris: Tivoli Access Manager for WebSphere をインストールする

次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdjrtecfg および pdwascfg ユーティリティーを使用して構成します。

Tivoli Access Manager for WebSphere を Solaris にインストールして構成するには、以下のステップを完了してください。





3. WebSphere Application Server、バージョン 5.1 を使用している場合、ステップ8 までスキップして Access Manager Java Runtime Environment を構成します。インストールは不要です。




ここで、







PDWAS Access Manager WebSphere Application Server パッケージを指定します。





env | grep WAS_HOME











Windows: Tivoli Access Manager for WebSphere をインストールする

次の手順では、setup.exe プログラムを使用してソフトウェア・パッケージをインストールし、pdjrtecfg および pdwascfg ユーティリティーを使用して構成します。

Tivoli Access Manager for WebSphere を Windows にインストールして構成するには、以下のステップに従ってください。



3. WebSphere Application Server、バージョン 5.1 を使用している場合、ステップ15 (255ページ) までスキップして Access Manager Java Runtime Environment

を構成します。インストールは不要です。




for WebSphere Application Server パッケージをインストールします。そうするには、次のディレクトリーに入っている setup.exe ファイルを実行します。







v Access Manager Java Runtime Environment

v Access Manager for WebSphere Application Server





12. 「終了」をクリックしてプログラムを終了します。


14. WAS_HOME 環境変数が IBM WebSphere Application Server ホーム・ディレクトリーに合わせて設定されていることを確認します。

15. WebSphere Application Server と一緒にインストールされる JRE 内で使用できるように Access Manager Java Runtime Environment コンポーネントを構成するには、install_dir¥sbin ディレクトリー (たとえば、C:¥Program


pdjrtecfg -action config -host policy_server_host -java_home %WAS_HOME¥java¥jre -port port







既存のユーザーおよびグループをインポートするサポートされる WebSphere Application Server (Advanced Single Server、バージョン4.0.6 を除く) の場合、ポリシー・サーバーが WebSphere Security が使用する既存のレジストリーに対して構成された場合、既存の WebSphere ユーザーおよびグループをユーザー・レジストリーから Tivoli Access Manager レジストリー・スキーマにインポートする必要があります。これらのユーザーおよびグループが含まれているアプリケーションをマイグレーションする前にこのプロセスを実行します。

ユーザーのインポートでは、ポリシー・サーバーを構成したときに、WebSphere

security がすでに使用していた既存のレジストリーに対してポリシー・サーバーを構成したと想定します。それ以外の場合には、既存ユーザーのインポートは必要ありません。



pdadmin ユーティリティーを使用してユーザーおよびグループを手動でレジストリーにインポートできます。以下に例を示します。

pdadmin sec_master> user import marga "cn=Margaret Averett,o=IBM,c=us,dc=mkt"pdadmin sec_master> group import engineering "cn=engineering,o=IBM,c=US"

注: ユーザーおよびグループのインポートについては、「IBM Tivoli Access

Manager Base 管理者ガイド」を参照してください。

IBM Tivoli Directory Server を使用しており、多数のユーザーおよびグループがある場合には、bulkload ユーティリティーの使用を検討してください。この LDAP ユーティリティーは、「IBM Tivoli Access Manager for e-business パフォーマンス・チューニング・ガイド」に説明があります。

Tivoli Access Manager アドミニストレーターを WebSphere 用に作成する

Tivoli Access Manager ユーザーは、コンソールへのログインなどの、管理タスクを行うために WebSphere によって必要とされます。すでに WebSphere security を使用可能にしてある場合、WebSphere Application Server アドミニストレーターをTivoli Access Manager オブジェクト・スペースにインポートする必要があります。そうでない場合には、Tivoli Access Manager アドミニストレーターを WebSphere

用に作成して、WebSphere security (『WebSphere security を使用可能にする』に説明のある) を使用可能にします。

Web Portal Manager インターフェースまたは pdadmin コマンドを使用してユーザーをインポートまたは作成できます。たとえば、pdadmin を使用して、以下のように、sec_master アドミニストレーターとしてログオンします。

pdadmin -a sec_master -p sec_master_password

wsadmin という名前のユーザーを作成するには、1 行の連続したコマンド行として次のコマンドを入力します。

pdadmin sec_master> user create wsadmin cn=wsadmin,o=organization,c=countrywsadmin wsadmin myPassword

ユーザー・アカウントを有効にするには、次のように、pdadmin user modify コマンドを使用して account-valid フラグを yes に設定します。

pdadmin sec_master> user modify wsadmin account-valid yes

詳しくは、「IBM Tivoli Access Manager Base 管理者ガイド」を参照してください。

WebSphere security を使用可能にするTivoli Access Manager for WebSphere を使用してセキュリティーを使用可能にするためのステップは、ネイティブの WebSphere Application Server セキュリティーを使用可能にする場合と同様です。考慮が必要な項目には、以下が含まれています。

v Tivoli Access Manager for WebSphere のインストールと構成の前に WebSphere

Security を使用可能にします。



v Tivoli Access Manager と WebSphere は、同じユーザー・レジストリーを共用します。したがって、WebSphere は、Tivoli Access Manager と同じユーザー・レジストリーを使用するように構成する必要があります。

v WebSphere Administration Console を使用して、LDAP レジストリーを構成するとき、「Tivoli Access Manager をアカウント・ポリシー用に使用 (Use Tivoli

Access Manager for Account Policies)」チェック・ボックスが選択されることを確認します。

以下のセクションのいずれかでの指示をすべて実行してください。

v 『WebSphere、バージョン 4.0.6 Security を使用可能にする』

v 258ページの『WebSphere、バージョン 5.0.2 または 5.1 Security を使用可能にする』

WebSphere、バージョン 4.0.6 Security を使用可能にするWebSphere Application Server、バージョン 4.0.6 セキュリティーを使用可能にするには、以下のステップに従ってください。

1. 以下のように、WebSphere Administration Server を始動します。

v AIX システムでは:

/usr/WebSphere/AppServer/bin/adminserver

v HP-UX、Linux、および Solaris システムでは:

/opt/WebSphere/AppServer/bin/adminserver


c:¥websphere¥appserver¥bin¥adminserver

2. サーバーが始動したとき、以下のように、WebSphere Administration Client を始動します。


/usr/WebSphere/AppServer/bin/adminclient


/opt/WebSphere/AppServer/bin/adminclient


c:¥websphere¥appserver¥bin¥adminclient

3. 「コンソール (Console)」→「セキュリティー・センター (Security Center)」を選択します。

4. 「一般 (General)」タブを選択します。「セキュリティーを使用可能にする(Enable Security)」ボックスにチェックマークを付けます。

5. 「認証 (Authentication)」タブを選択します。

a. 「LTPA」を選択して、以下の設定値を設定します。

v トークンの有効期限: 120

v ドメイン

たとえば: mydomain.ibm.com

b. ディレクトリー・タイプを選択して、「OK」をクリックします。たとえば、「LDAP」を選択して以下と同様なプロパティーを割り当てます。



6. Right click on 「WebSphere Admin Domain」→「ノード (Nodes)」→「ホスト名 (Hostname)」を右ボタン・クリックします。

7. 「再始動 (Restart)」を選択します。

WebSphere、バージョン 5.0.2 または 5.1 Security を使用可能にする

WebSphere Application Server、バージョン 5.0.2 またはバージョン 5.1 セキュリティーを使用可能にするには、以下のステップに従ってください。

1. WebSphere Administration Server を始動します。

2. サーバーが始動したとき、以下のように、Administrative Console を開きます。

http://localhost:9090/admin/

3. 任意のユーザーとしてログインします。

4. ご使用のユーザー・レジストリーを構成します。たとえば、LDAP サーバーの場合、以下を行います。

a. 「セキュリティー (Security)」→「ユーザー・レジストリー (UserRegistries)」→「LDAP」を選択します。

b. 259ページの表 11に示されているものと同様の LDAP プロパティーを構成して、次に「適用」をクリックします。

表 10. 一般プロパティー

一般プロパティー値

セキュリティー・サーバー ID cn=wsadmin,o=ibm,c=us

セキュリティー・サーバー・パスワード myPassword

ホスト ldapserver.mydomain.ibm.com

ディレクトリー・タイプ SecureWay

基本 DN o=ibm,c=us

バインド DN cn=root

バインド・パスワード myPassword



5. 以下のように、LTPA 認証を構成します。

a. 「認証メカニズム (Authentication Mechanisms)」→「LTPA」を選択します。

b. LTPA キーを暗号化および暗号化解除するためにパスワードを設定します。

c. LTPA 有効期限キー・タイムアウト値を 120 に設定します。

d. 同じウィンドウで、確認のためパスワードを再度入力します。

e. 「適用」をクリックします。

f. 画面の下部の「追加プロパティー (Additional Properties)」セクションで、「シングル・サインオン (Single Signon (SSO))」を選択します。

g. シングル・サインオンを使用可能にして、シングル・サインオン DNS ドメイン名を入力します。

h. 「適用」をクリックします。

6. セキュリティー設定値を構成します。

a. 「セキュリティー (Security)」→「グローバル・セキュリティー (GlobalSecurity)」を選択します。

b. 以下と同様の設定値を構成して、次に「適用」をクリックします。

表 11. 一般プロパティー

一般プロパティー値

サーバー・ユーザー ID cn=wsadmin,o=ibm,c=us

サーバー・ユーザー・パスワード myPassword

タイプ IBM_Directory_Server

ホスト ldapserver.mydomain.ibm.com

ポート 389

基本 DN o=ibm,c=us

バインド DN cn=root

バインド・パスワード myPassword

検索タイムアウト 120

再使用接続 true

大文字小文字を無視 true

SSL が使用可能 false

SSL 構成 cellname/DefaultSSLSetting

Tivoli Access Manager をアカウント・ポリシー用に使用

(WebSphere、バージョン 5.1 上でのみプロンプトが出される)

このチェック・ボックスを選択して、Tivoli

Access Manager までを認証するようにWebSphere、バージョン 5.1 を構成します。



7. 「保管 (Save)」リンクをクリックします。

8. 「保管 (Save)」ボタンをクリックしてマスター構成を保管します。

9. WebSphere Application Server Administration Console からログアウトします。

10. WebSphere Application Server を再始動します。

Tivoli Access Manager for WebSphere を構成するこのセクションでは、WebSphere Application Server のデフォルト・セキュリティー許可プロバイダーに合わせて Access Manager for WebSphere Application Server コンポーネントを構成する方法を説明します。このプロセス中に、このコンポーネントも Tivoli Access Manager ドメインに結合されます。

注: install_amwas ウィザードを使用してユーザーの Tivoli Access Manager for

WebSphere システムをインストールして構成した場合、このセクションの説明をスキップしてください。このインストール・ウィザードは、このコンポーネントを自動的に構成します。

Access Manager for WebSphere Application Server コンポーネントを構成するには、以下のステップに従ってください。

1. WAS_HOME 環境変数が WebSphere Application Server インストール・ディレクトリーに合わせて設定されていることを確認します。

2. UNIX システム上でのみ、PDWAS_HOME 環境変数を Tivoli Access Manager for

WebSphere インストール・ディレクトリーに合わせて設定します。以下に例を示します。

PDWAS_HOME=/opt/amwasexport PDWAS_HOME

注: Windows システムでは、PDWAS_HOME 変数がすでに環境に存在します。

3. 構成を実行するために WAS_HOME¥bin ディレクトリーに入っている pdwascfgユーティリティーを実行します。たとえば、WebSphere Application Server、バージョン 5.0.2 または 5.1 がインストールされている Windows システム上でのみ、以下を入力します。

%WAS_HOME%¥bin¥pdwascfg.bat -action configWAS5-remote_acl_user remote_ACL_user_name-sec_master_pwd sec_master_pwd-pdmgrd_host policy_server_hostname

表 12. セキュリティー設定値

セキュリティー設定値値

使用可能 true

Java 2 セキュリティーを実行する false

ドメイン限定ユーザー ID を使用 true

キャッシュ・タイムアウト 600

許可警告の発行 true

アクティブ・プロトコル CSI および SAS

アクティブ認証メカニズム LTPA

アクティブ・ユーザー・レジストリー LDAP



-pdacld_host authorization_server_hostname-was_home WAS_home-amwas_home WAS_home -embedded true -action_type local

ここで、remote_ACL_user_name は、構成によって作成されたユーザーに対応します。このユーザーは、Tivoli Access Manager サーバーとのすべての通信で使用されます。これは、特別のユーザーで、他の目的には使用しないでください。

注: pdwascfg ユーティリティーは、Tivoli Access Manager for WebSphere を許可ベンダーとして使用するために WebSphere Application Server を構成します。このユーティリティーについては、 508ページの『pdwascfg』を参照してください。

4. pdwascfg コマンドが正常に完了したことを確認するには、PdPerm.properties

ファイルが作成されたことを確認します。たとえば、WebSphere Application

Server をデフォルトのインストール・ディレクトリーにインストールした場合、PdPerm.properties ファイルへのパスは、以下のようになります。


/usr/WebSphere/AppServer/java/jre/PdPerm.properties


/opt/WebSphere/AppServer/java/jre/PdPerm.properties


– WebSphere Application Server、バージョン 4.0.6 の場合:

C:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties

– WebSphere Application Server、バージョン 5.0.2 または 5.1 の場合:

C:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties

注: pdwascfg ユーティリティーによって AMWASConfig.log ファイルが作成され、このファイルは、このユーティリティーを実行したディレクトリーに入ります。

WebSphere Security 設定値をマイグレーションするJ2EE アプリケーションのセキュリティー情報は、Tivoli Access Manager ポリシー・データベースにマイグレーションする必要があります。Tivoli Access Manager

for WebSphere には、この目的のマイグレーション・ユーティリティーがあります。この手順は、セキュリティー・ポリシーを指定する EAR ファイルを持つ J2EE

アプリケーションがあるシステム上でのみ実行する必要があることに注意してください。

以下のセクションのいずれかでの指示をすべて実行してください。

v 262ページの『WebSphere、バージョン 4.0.6 セキュリティー設定値をマイグレーションする』

v 263ページの『WebSphere、バージョン 5.0.2 または 5.1 セキュリティー設定値をマイグレーションする』



WebSphere、バージョン 4.0.6 セキュリティー設定値をマイグレーションする

WebSphere を始動する前に、アプリケーションのセキュリティー・ポリシーをWebSphere admin.ear デプロイメント記述子ファイルから Tivoli Access Manager

ポリシー・データベースにマイグレーションする必要があります。マイグレーション・ユーティリティーは、Tivoli Access Manager オブジェクト・スペースでWebSphere リソースを表すオブジェクトを作成します。

WebSphere Application Server、バージョン 4.0.6 セキュリティー設定値をマイグレーションするには、以下のステップに従ってください。

1. WebSphere が実行中の場合、停止します。


3. migrateEAR4 ユーティリティーが入っているディレクトリーに移動します。


/opt/amwas/bin


C:¥Program Files¥Tivoli¥amwas¥bin

4. admin.EAR に含まれているデータをマイグレーションするためにマイグレーション・ユーティリティーを実行します。 484ページの『migrateEAR4』にリストされているパラメーターの説明を使用してください。たとえば、以下を 1 行の連続したコマンド行として入力します。


migrateEAR4 -j /usr/WebSphere/AppServer/config/admin.ear-a sec_master-p sec_master_password-w wsadmin-d "o=ibm,c=us"-c file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties


migrateEAR4 -j /opt/WebSphere/AppServer/config/admin.ear-a sec_master-p sec_master_password-w wsadmin-d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties


migrateEAR4 -j c:¥WebSphere¥AppServer¥config¥admin.ear-a sec_master-p sec_master_password-w wsadmin-d "o=ibm,c=us"-c file:/c:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties

注: Windows では、ドメイン・サフィックスを引用符で囲む必要があります。

5. admin.ear ファイルをマイグレーションした後で、pdwas-admin グループをアドミニストレーション ACL に追加する必要があります。admin.ear ファイルを



マイグレーションするときはいつでもこのステップを実行します。そうするには、pdadmin ユーティリティーを使用して以下を 1 行の連続したコマンド行として入力します。

pdadmin sec_master> acl modify _WebAppServer_deployedResources_AdminRole_admin_ACLset group pdwas-admin T[WebAppServer]i

ユーザーのセキュア・ドメインに複数の Authorization server が含まれている場合、pdadmin を使用して server replicate コマンドを実行し、ACL の変更ですべての Authorization server が即時に更新されることを確認します。

6. WebSphere Application Server を始動します。

マイグレーションが完了すると、状況メッセージが表示されます。ユーティリティーの出力が pdwas_migrate.log ファイルに記録され、そのファイルはユーティリティーが実行されたディレクトリーに作成されます。ログ・ファイルを検査して、アプリケーションのすべてのポリシーがマイグレーションされたことを確認します。ログ・ファイルにエラーが表示された場合、最後に記録されたトランザクションを検査して、エラーの原因を訂正し、マイグレーション・ユーティリティーを再実行します。マイグレーションが正常に行われなかった場合、-c および -j オプションに値を指定したことを確認します。

マイグレーション・ユーティリティーは、admin.ear ファイルにアクセスすることが必要になります。デフォルトで、アプリケーション・アセンブリー・ツールには、文書タイプ定義 (DTD) 標準のロケーションへの URL 参照が含まれています。したがって、デプロイメント記述子 DTD の検索にはインターネットへの接続が必要になります。ホスト・コンピューターがインターネットに接続されていない場合、DTD のローカル・コピーを使用します。この場合、ローカル DTD を指すようにデプロイメント記述子を更新します。

重要: 最初のインストールを構成した後で、追加の Tivoli Access Manager for

WebSphere インストールをセキュア・ドメインに構成できます。指示については、「IBM Tivoli Access Manager for e-business IBM WebSphere Application Server 統合ガイド」を参照してください。

WebSphere、バージョン 5.0.2 または 5.1 セキュリティー設定値をマイグレーションする

WebSphere を始動する前に、アプリケーションのセキュリティー・ポリシーをWebSphere adminconsole.ear デプロイメント記述子ファイルから Tivoli Access

Manager ポリシー・データベースにマイグレーションする必要があります。マイグレーション・ユーティリティーは、Tivoli Access Manager オブジェクト・スペースで WebSphere リソースを表すオブジェクトを作成します。

WebSphere Application Server、バージョン 5.0.2 または 5.1 セキュリティー設定値をマイグレーションするには、以下のステップに従ってください。

1. WebSphere が実行中の場合、停止します。


3. migrateEAR5 ユーティリティーが入っているディレクトリーに移動します。




/opt/amwas/bin


C:¥Program Files¥Tivoli¥amwas¥bin

4. adminconsole.EAR、admin-authz.xml、および naming-authz.xml の各ファイルに含まれているデータをマイグレーションするためにマイグレーション・ユーティリティーを実行します。 488ページの『migrateEAR5』にリストされているパラメーターの説明を使用してください。たとえば、以下を 1 行の連続したコマンド行として入力します。




注:

1. Windows では、ドメイン・サフィックスを引用符で囲む必要があります。

2. adminconsole.ear ファイルのマイグレーションには -e オプションが必要になります。これは、WebSphere Application Server がデプロイメント時にこのアプリケーションの名前を変更するためです。

migrateEAR5 -j /usr/WebSphere/AppServer/installedApps/cellname/adminconsole.ear-a sec_master -p sec_master_pwd -w wsadmin -d "o=ibm,c=us"-c file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties -e adminconsole

migrateEAR5 -j /usr/WebSphere/AppServer/config/cells/cellname/admin-authz.xml-a sec_master -p sec_master_pwd -w wsadmin -d "o=ibm,c=us"-c file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties

migrateEAR5 -j /usr/WebSphere/AppServer/config/cells/cellname/naming-authz.xml-a sec_master -p sec_master_pwd -w wsadmin -d "o=ibm,c=us"-c file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties

migrateEAR5 -j /opt/WebSphere/AppServer/installedApps/cellname/adminconsole.ear-a sec_master -p sec_master_pwd -w wsadmin -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties -e adminconsole

migrateEAR5 -j /opt/WebSphere/AppServer/config/cells/cellname/admin-authz.xml-a sec_master -p sec_master_pwd -w wsadmin -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties

migrateEAR5 -j /opt/WebSphere/AppServer/config/cells/cellname/naming-authz.xml-a sec_master -p sec_master_pwd -w wsadmin -d "o=ibm,c=us"-c file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties

migrateEAR5 -j "c:¥Program Files¥WebSphere¥AppServer¥installedApps¥cellname¥adminconsole.ear-a sec_master -p sec_master_pwd -w wsadmin -d "o=ibm,c=us"-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties" -e adminconsole

migrateEAR5 -j "c:¥Program Files¥WebSphere¥AppServer¥config¥cells¥cellname¥admin-authz.xml-a sec_master -p sec_master_pwd -w wsadmin -d "o=ibm,c=us"-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"

migrateEAR5 -j "c:¥Program Files¥WebSphere¥AppServer¥config¥cells¥cellname¥naming-authz.xml-a sec_master -p sec_master_pwd -w wsadmin -d "o=ibm,c=us"-c file:/"c:¥Program Files¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties"



マイグレーションが完了すると、状況メッセージが表示されます。ユーティリティーの出力が pdwas_migrate.log ファイルに記録され、そのファイルはユーティリティーが実行されたディレクトリーに作成されます。ログ・ファイルを検査して、アプリケーションのすべてのポリシーがマイグレーションされたことを確認します。ログ・ファイルにエラーが表示された場合、最後に記録されたトランザクションを検査して、エラーの原因を訂正し、マイグレーション・ユーティリティーを再実行します。マイグレーションが正常に行われなかった場合、-c および -j オプションに正しい値を指定したことを確認します。

マイグレーション・ユーティリティーは、adminconsole.ear ファイルにアクセスすることが必要になります。デフォルトで、アプリケーション・アセンブリー・ツールには、文書タイプ定義 (DTD) 標準のロケーションへの URL 参照が含まれています。したがって、デプロイメント記述子 DTD の検索にはインターネットへの接続が必要になります。ホスト・コンピューターがインターネットに接続されていない場合、DTD のローカル・コピーを使用します。この場合、ローカル DTD を指すようにデプロイメント記述子を更新します。

重要: 最初のインストールを構成した後で、追加の Tivoli Access Manager for

WebSphere インストールをセキュア・ドメインに構成できます。指示については、「IBM Tivoli Access Manager for e-business IBM WebSphere Application

Server 統合ガイド」を参照してください。



第 17 章 WebSEAL 開発 (ADK) システムをセットアップする

本章には、Tivoli Access Manager WebSEAL 開発 (ADK) システムのインストールおよび構成に関する情報を記載します。






インストール・ウィザードを使用してインストールするinstall_amwebadk インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、IBM Tivoli Access Manager

WebSEAL 開発 (ADK) システムのセットアップを単純化します。





v Access Manager WebSEAL Server、バージョン 5.1

v Access Manager Application Development Kit、バージョン 5.1

v Access Manager WebSEAL Application Development Kit、バージョン 5.1

注:

1. WebSEAL ADK をレジストリー・サーバーまたはポリシー・サーバーにインストールする場合には、ネイティブなインストール方法を使用する必要があります。説明については、 268ページの『ネイティブ・ユーティリティーを使用してインストールする』を参照してください。

2. ウィザードは、コンポーネントがインストールされているかどうかを検出して、その再インストールは行わないようにします。

install_amwebadk ウィザードを使用して Tivoli Access Manager WebSEAL 開発(ADK) システムをインストールして構成するには、以下のステップに従います。









6. AIX、HP-UX、Linux、Solaris、および Windows の各プラットフォームの IBM

Tivoli Access Manager Web Security CD のルート・ディレクトリーに入っている、install_amwebadk プログラムを実行します。

インストール・ウィザードは、 380ページの『install_amwebadk』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

これによって WebSEAL 開発 (ADK) システムのセットアップが完了します。別のTivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。








AIX: WebSEAL 開発 (ADK) システムをインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager WebSEAL 開発 (ADK) システムを AIX にインストールするには、以下のステップに従ってください。

WebSEAL 開発 (ADK) システムをセットアップする












PDWeb.Web Access Manager WebSEAL Server パッケージを指定します。

PD.AuthADK Access Manager Application Development Kit パッケージを指定します。

PDWeb.ADK Access Manager Web Services Application Development Kit パッケージを指定します。



WebSEAL Server パッケージを構成します。


pdconfig







第 17 章 WebSEAL 開発 (ADK) システムをセットアップする 269


HP-UX: WebSEAL 開発 (ADK) システムをインストールする次の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager WebSEAL 開発 (ADK) システムを HP-UX にインストールするには、以下のステップを完了してください。










am_update_ldap.sh






PDWeb Access Manager WebSEAL Server パッケージを指定します。

PDADK Access Manager Application Development Kit パッケージを指定します。

PDWebADK Access Manager Web Services Application Development Kit パッケージを指定します。







pdconfig










Linux: WebSEAL 開発 (ADK) システムをインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager WebSEAL 開発 (ADK) システムを Linux にインストールするには、以下のステップに従ってください。






Web Security CD を挿入して、それをマウントします。







rpm -ihv packages


xSeries 上の Linux zSeries 上の Linux pSeries および iSeries 上の Linux

PDRTE-PD-5.1.0-0.i386.rpmPDWebRTE-PD-5.1.0-0.i386.rpmPDWeb-PD-5.1.0-0.i386.rpmPDAuthADK-PD-5.1.0-0.i386.rpmPDWebADK-PD-5.1.0-0.i386.rpm

PDRTE-PD-5.1.0-0.s390.rpmPDWebRTE-PD-5.1.0-0.s390.rpmPDWeb-PD-5.1.0-0.s390.rpmPDAuthADK-PD-5.1.0-0.s390.rpmPDWebADK-PD-5.1.0-0.s390.rpm

PDRTE-PD-5.1.0-0.ppc.rpmPDWebRTE-PD-5.1.0-0.ppc.rpmPDWeb-PD-5.1.0-0.ppc.rpmPDAuthADK-PD-5.1.0-0.ppc.rpmPDWebADK-5.1.0-0.ppc.rpm





pdconfig







Solaris: WebSEAL 開発 (ADK) システムをインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager WebSEAL 開発 (ADK) システムを Solaris にインストールするには、以下のステップに従ってください。










ここで、









PDADK Access Manager Application Development Kit パッケージを指定します。

PDWebADK Access Manager Web Services Application Development Kit パッケージを指定します。

「これらを setuid/setgid としてインストールしますか (Do you want to install

these as setuid/setgid)」というメッセージが表示されます。 Y を入力して、Enter を押します。継続するかどうかのプロンプトが出されたら、Y を入力してEnter を押します。







pdconfig









Windows: WebSEAL 開発 (ADK) システムをインストールする次の手順では、setup.exe を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager WebSEAL 開発 (ADK) システムを Windows にインストールして構成するには、以下のステップに従ってください。







6. 次のディレクトリーに入っている setup.exe プログラムを実行します。


オンラインの指示に従って、以下のパッケージのインストールを選択します。



v Access Manager WebSEAL Server

v Access Manager Application Development Kit

v Access Manager Web Services Application Development Kit







pdconfig



c. 「Access Manager WebSEAL Server」パッケージを選択して、「構成」をクリックします。





第 18 章 WebSEAL サーバーをセットアップする

本章には、Tivoli Access Manager WebSEAL サーバー・システムのインストールおよび構成に関する情報を記載します。






インストール・ウィザードを使用してインストールするinstall_amweb インストール・ウィザードは、以下のコンポーネントを適切な順序でインストールして構成することによって、Tivoli Access Manager WebSEAL サーバー・システムのセットアップを単純化します。





v Access Manager WebSEAL Server、バージョン 5.1

注:

1. WebSEAL をレジストリー・サーバーまたはポリシー・サーバー・システムにインストールする場合には、ネイティブなインストール方法を使用する必要があります。説明については、 278ページの『ネイティブ・ユーティリティーを使用してインストールする』を参照してください。

2. ウィザードは、コンポーネントがインストールされているかどうかを検出して、その再インストールは行わないようにします。

install_amweb ウィザードを使用して Tivoli Access Manager WebSEAL サーバー・システムをインストールして構成するには、以下のステップに従います。









6. AIX、HP-UX、Linux、Solaris、および Windows の各プラットフォームの Tivoli

Access Manager Web Security CD のルート・ディレクトリーに入っている、install_amweb プログラムを実行します。

インストール・ウィザードは、 377ページの『install_amweb』に説明のある構成情報を要求するプロンプトを出すことから開始します。この情報を指定 (またはデフォルト値を受け入れる) した後で、コンポーネントは、それ以上の介入なしに、インストールされ構成されます。

これによって WebSEAL サーバー・システムのセットアップが完了します。別のTivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』を参照してください。

注: Tivoli Access Manager WebSEAL は、ホスト・コンピューターごとにWebSEAL サーバーの複数インスタンスをサポートします。 WebSEAL サーバーの複数インスタンスの構成については、「IBM Tivoli Access Manager for



注: 代わりに、pdconfig ユーティリティーによって呼び出される、amwebcfg ユーティリティーを使用して、Access Manager WebSEAL サーバー・コンポーネントを構成できます。このユーティリティーについては、 467ページの『amwebcfg』を参照してください。





WebSEAL サーバーをセットアップする




AIX: WebSEAL サーバーをインストールする次の手順では、installp を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager WebSEAL サーバー・システムを AIX にインストールするには、以下のステップに従ってください。











PDWeb.Web Access Manager WebSEAL Server パッケージを指定します。





pdconfig






第 18 章 WebSEAL サーバーをセットアップする 279





HP-UX: WebSEAL サーバーをインストールする次の手順では、swinstall を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager WebSEAL サーバー・システムを HP-UX にインストールするには、以下のステップを完了してください。










am_update_ldap.sh













pdconfig












Linux: WebSEAL サーバーをインストールする次の手順では、rpm を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager WebSEAL サーバーを Linux にインストールするには、以下のステップに従ってください。





3. xSeries または zSeries 用の IBM Tivoli Access Manager Web Security CD を挿入して、それをマウントします。








rpm -ihv packages



PDRTE-PD-5.1.0-0.i386.rpmPDWebRTE-PD-5.1.0-0.i386.rpmPDWeb-PD-5.1.0-0.i386.rpm

PDRTE-PD-5.1.0-0.s390.rpmPDWebRTE-PD-5.1.0-0.s390.rpmPDWeb-PD-5.1.0-0.s390.rpm





pdconfig






これによって WebSEAL サーバー・システムのセットアップが完了します。別のTivoli Access Manager システムをセットアップするには、 25ページの『インストール・プロセス』に記載のステップに従ってください。





Solaris: WebSEAL サーバーをインストールする次の手順では、pkgadd を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager WebSEAL サーバーを Solaris にインストールするには、以下のステップに従ってください。








ここで、









「これらを setuid/setgid としてインストールしますか (Do you want to install

these as setuid/setgid)」というメッセージが表示されます。 Y を入力して、Enter を押します。継続するかどうかのプロンプトが出されたら、Y を入力してEnter を押します。







pdconfig











Windows: WebSEAL サーバーをインストールする次の手順では、setup.exe を使用してソフトウェア・パッケージをインストールし、pdconfig ユーティリティーを使用して構成します。

Tivoli Access Manager WebSEAL サーバー・システムを Windows にインストールするには、以下のステップに従ってください。







6. 次のディレクトリーに入っている setup.exe プログラムを実行します。


オンラインの指示に従って、以下のパッケージのインストールを選択します。



v Access Manager WebSEAL Server







pdconfig



c. 「Access Manager WebSEAL Server」パッケージを選択して、「構成」をクリックします。







第 4 部参照情報第 19 章前提条件製品をインストールする . . . 291Global Security Kit をインストールする . . . . 291

AIX: Global Security Kit をインストールする 291HP-UX: Global Security Kit をインストールする 292Linux: Global Security Kit をインストールする 292Solaris: Global Security Kit をインストールする 293Windows: Global Security Kit をインストールする . . . . . . . . . . . . . . . . 293GSKit iKeyman ユーティリティーをセットアップする . . . . . . . . . . . . . . . 294

IBM Tivoli Directory Client をインストールする 297AIX: IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . . . 297HP-UX: IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . . 297Linux: IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . . . 298Solaris: IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . . 299Windows: IBM Tivoli Directory Client をインストールする . . . . . . . . . . . . . 299

IBM JRE をインストールする . . . . . . . . 301AIX: IBM JRE、バージョン 1.3.1.5 をインストールする . . . . . . . . . . . . . . 301HP-UX: IBM JRE、バージョン 1.3.1 をインストールする . . . . . . . . . . . . . . 302Linux: IBM JRE、バージョン 1.3.1 をインストールする . . . . . . . . . . . . . . 302Solaris: IBM JRE、バージョン 1.3.1 をインストールする . . . . . . . . . . . . . . 303Windows: IBM JRE、バージョン 1.3.1 をインストールする . . . . . . . . . . . . . 304

WebSphere Application Server をインストールする 305AIX: WebSphere Application Server をインストールする . . . . . . . . . . . . . . 305

AIX: WebSphere Application Server、フィックスパック 2 をインストールする . . . . . 306

HP-UX: WebSphere Application Server をインストールする . . . . . . . . . . . . . 307

HP-UX: WebSphere Application Server、フィックスパック 2 をインストールする . . . 309

Linux: WebSphere Application Server をインストールする . . . . . . . . . . . . . . 310

xSeries 上の Linux: WebSphere ApplicationServer、フィックスパック 2 をインストールする . . . . . . . . . . . . . . 311

Solaris: WebSphere Application Server をインストールする . . . . . . . . . . . . . 312

Solaris: WebSphere Application Server、フィックスパック 2 をインストールする . . . . 313

Windows: WebSphere Application Server をインストールする . . . . . . . . . . . . 314

Windows 2000: WebSphere ApplicationServer、フィックスパック 2 をインストールする . . . . . . . . . . . . . . 316

Web Administration Tool をインストールする . . . 318AIX: Web Administration Tool をインストールする . . . . . . . . . . . . . . . . 318HP-UX: Web Administration Tool をインストールする . . . . . . . . . . . . . . . 319Linux: Web Administration Tool をインストールする . . . . . . . . . . . . . . . 320Solaris: Web Administration Tool をインストールする . . . . . . . . . . . . . . . 321Windows: Web Administration Tool をインストールする . . . . . . . . . . . . . . . 322Web Administration Tool を WebSphere にインストールする . . . . . . . . . . . . . 323

第 20 章コンポーネントをアンインストールする 327Tivoli Access Manager コンポーネントを構成解除する . . . . . . . . . . . . . . . . . 327IBM Tivoli Directory Server を構成解除する . . . 328Tivoli Access Manager for WebSphere を構成解除する . . . . . . . . . . . . . . . . . 329AIX: パッケージを除去する . . . . . . . . 329HP-UX: パッケージを除去する . . . . . . . 330Linux: パッケージを除去する . . . . . . . . 331Solaris: パッケージを除去する . . . . . . . . 332Windows: パッケージを除去する . . . . . . . 333

第 21 章インストール・ウィザードのシナリオ 335install_ldap_server ウィザードを使用する . . . . 336プリインストールの要件 . . . . . . . . . 336install_ldap_server シナリオ . . . . . . . . 338

install_ammgr ウィザードを使用する . . . . . . 347

第 22 章インストール・ウィザードのオプション 357Access Manager Runtime (LDAP) . . . . . . . 358Access Manager Runtime (Active Directory). . . . 361Access Manager Runtime (Domino) . . . . . . 365install_amacld . . . . . . . . . . . . . 367install_amadk . . . . . . . . . . . . . . 369install_amjrte . . . . . . . . . . . . . . 370install_ammgr . . . . . . . . . . . . . 371install_amproxy . . . . . . . . . . . . . 373install_amrte . . . . . . . . . . . . . . 374install_amwas. . . . . . . . . . . . . . 375install_amweb . . . . . . . . . . . . . 377install_amwebadk . . . . . . . . . . . . 380install_amwebars. . . . . . . . . . . . . 383


install_amwls . . . . . . . . . . . . . . 384install_amwpi_apache . . . . . . . . . . . 386install_amwpi_ihs . . . . . . . . . . . . 387install_amwpi_iis . . . . . . . . . . . . 388install_amwpi_iplanet . . . . . . . . . . . 389install_amwpm . . . . . . . . . . . . . 390install_ldap_server . . . . . . . . . . . . 392

第 23 章 pdconfig オプション . . . . . . . 395Access Manager Runtime — LDAP . . . . . . 396Access Manager Runtime — Active Directory . . . 397Access Manager Runtime — Domino . . . . . . 399Access Manager Attribute Retrieval Service . . . . 400Access Manager Authorization Server . . . . . . 401Access Manager Java Runtime Environment . . . . 402Access Manager Plug-in for Edge Server. . . . . 403UNIX 上の Access Manager Plug-in for WebServers. . . . . . . . . . . . . . . . 404Windows 上の Access Manager Plug-in for WebServers. . . . . . . . . . . . . . . . 406Access Manager Policy Server . . . . . . . . 407Access Manager Policy Proxy Server . . . . . . 408Access Manager Web Portal Manager . . . . . . 409Access Manager WebSEAL Server . . . . . . . 410

第 24 章 Secure Sockets Layer を使用可能にする . . . . . . . . . . . . . . . . . 411IBM Tivoli Directory Server を SSL アクセス用に構成する . . . . . . . . . . . . . . . 412鍵データベース・ファイルおよび証明書を作成する . . . . . . . . . . . . . . . . 412個人証明書を認証局から取得する . . . . . . 413自己署名証明書を作成して抽出する . . . . . 414SSL アクセスを使用可能にする . . . . . . 415

IBM z/OS および OS/390 セキュリティー・サーバーを SSL アクセス用に構成する . . . . . . . 417セキュリティー・オプションをセットアップする 418鍵データベース・ファイルを作成する . . . . 419

Microsoft Active Directory を SSL アクセス用に構成する . . . . . . . . . . . . . . . . 420証明書を Active Directory サーバーにエクスポートする . . . . . . . . . . . . . . . 420証明書を LDAP クライアント・システムにインポートする . . . . . . . . . . . . . 421SSL アクセスを使用可能にする . . . . . . 422

Novell eDirectory Server を SSL アクセス用に構成する . . . . . . . . . . . . . . . . 422組織の認証局オブジェクトを作成する . . . . 423自己署名証明書を作成する . . . . . . . . 424LDAP サーバー用のサーバー証明書を作成する 424SSL を使用可能にする . . . . . . . . . 425自己署名 CA 証明書を IBM 鍵格納ファイルに追加する . . . . . . . . . . . . . . 425

Sun ONE Directory Server を SSL アクセス用に構成する . . . . . . . . . . . . . . . . 426サーバー証明書を取得する . . . . . . . . 426

サーバー証明書をインストールする . . . . . 428SSL アクセスを使用可能にする . . . . . . 429

IBM Tivoli Directory Client を SSL アクセス用に構成する . . . . . . . . . . . . . . . . 429鍵データベース・ファイルを作成する . . . . 430署名者証明書を追加する . . . . . . . . . 431SSL アクセスを使用可能にする . . . . . . 432

LDAP サーバーとクライアント認証を構成する . . 433鍵データベース・ファイルを作成する . . . . 433個人証明書を認証局から取得する . . . . . . 434自己署名証明書を作成して抽出する . . . . . 435署名者証明書を追加する . . . . . . . . . 436SSL アクセスを使用可能にする . . . . . . 437

第 25 章 AIX: スタンバイ・ポリシー・サーバーをセットアップする . . . . . . . . . . . 439プリインストールの要件 . . . . . . . . . . 441HACMP 環境のシナリオ. . . . . . . . . . 442

HACMP 構成の例 . . . . . . . . . . . 444第 1 部: 全体の HACMP クラスター・トポロジー . . . . . . . . . . . . . . 446第 2 部: HACMP トポロジー内のクラスター・リソース . . . . . . . . . . . 447第 3 部: HACMP トポロジー内のアプリケーション・サーバー定義 . . . . . . . . 452

スタンバイ・ポリシー・サーバー環境を作成する 452スクリプト: 1 次およびスタンバイの両方のシステム用の UID をセットアップする . . . . . 457スクリプト: 1 次システム上のファイルおよびディレクトリーをリンクする . . . . . . . . 459例: 1 次サーバーのディレクトリー、ソフト・リンク、およびアクセス許可を検証する . . . . 460スクリプト: AIX システム・ファイルからスタンバイ・システム上の共用ディレクトリーにリンクする . . . . . . . . . . . . . . . 462例: スタンバイ・サーバーのディレクトリー、ソフト・リンク、およびアクセス許可を検証する . 463

第 26 章 Tivoli Access Manager ユーティリティー . . . . . . . . . . . . . . . . 465amwebcfg . . . . . . . . . . . . . . . 467AMWLSConfigure -action config . . . . . . . 473AMWLSConfigure -action unconfig . . . . . . 475AMWLSConfigure -action create_realm . . . . . 476AMWLSConfigure -action delete_realm . . . . . 478amwpmcfg . . . . . . . . . . . . . . 479ivrgy_tool . . . . . . . . . . . . . . . 482migrateEAR4 . . . . . . . . . . . . . . 484migrateEAR5 . . . . . . . . . . . . . . 488pdbackup . . . . . . . . . . . . . . . 492pdconfig . . . . . . . . . . . . . . . 501pdjrtecfg . . . . . . . . . . . . . . . 502pd_start . . . . . . . . . . . . . . . 506pdwascfg . . . . . . . . . . . . . . . 508pdweb . . . . . . . . . . . . . . . . 512pdwebpi . . . . . . . . . . . . . . . 515


pdwebpi_start . . . . . . . . . . . . . . 516pdwpi-version . . . . . . . . . . . . . 518pdwpicfg -action config . . . . . . . . . . 519pdwpicfg -action unconfig . . . . . . . . . 522wesosm . . . . . . . . . . . . . . . 524wslstartwte . . . . . . . . . . . . . . 527wslstopwte . . . . . . . . . . . . . . 528

第 27 章応答ファイルを使用する . . . . . . 529応答ファイル・テンプレート . . . . . . . . 530

第 4 部参照情報 289

第 19 章前提条件製品をインストールする

Tivoli Access Manager Base システムおよび Web Security システムのインストール時に指示があった場合には、本書の第 2 部と第 3 部の以下の情報を参照してください。

Global Security Kit をインストールするIBM Global Security Kit (GSKit) は、Tivoli Access Manager システムとサポートされているレジストリー・サーバーとの間の Secure Sockets Layer (SSL) データ暗号化を行います。また、GSKit パッケージは iKeyman 鍵管理ユーティリティー(gsk7ikm) もインストールします。このユーティリティーを使用して、鍵データベース、公開鍵と秘密鍵のペア、および認証要求を作成できます。







AIX: Global Security Kit をインストールするGSKit を AIX にインストールするには、以下のステップに従ってください。


2. AIX の IBM Tivoli Access Manager CD を挿入して、それをマウントします。

3. 以下のコマンドを入力して、32 ビット・ランタイム・パッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images gskta.rte


注: GSKit を IBM Tivoli Directory Server システムにインストールする場合、32

ビットおよび 64 ビットの両方のランタイム・パッケージが必要になります。64 ビット・パッケージをインストールするには、以下のコマンドを入力します。

installp -acgXd cd_mount_point/usr/sys/inst.images gsksa.rte

4. GSKit がインストールされていることを確認するには、次のコマンドを入力します。

lslpp -l | grep gsk

GSKit をインストールした後で、構成は必要ありません。


GSKit と一緒にインストールされたキー管理ユーティリティーをセットアップするには、 294ページの『GSKit iKeyman ユーティリティーをセットアップする』に記載の指示を参照してください。詳しくは、 411ページの『第 24 章 Secure Sockets

Layer を使用可能にする』または「IBM Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。

HP-UX: Global Security Kit をインストールするGSKit を HP-UX にインストールするには、以下のステップに従ってください。


2. HP-UX の IBM Tivoli Access Manager CD を挿入します。





swinstall -s /cd-rom/hp/gsk7bas gsk7bas

ここで、/cd-rom/hp はディレクトリーです。







Linux: Global Security Kit をインストールするGSKit を Linux にインストールするには、以下のステップに従ってください。








Global Security Kit をインストールする


v GSKit をデフォルトのロケーションにインストールするには、次のコマンドを入力します。

rpm -ih package


– xSeries 上の Linux: gsk7bas-7.0-1.9.i386.rpm

– zSeries 上の Linux: gsk7bas-7.0-1.9.s390.rpm

– pSeries および iSeries 上の Linux: gsk7bas-7.0-1.0.ppc32.rpm

v 指定したロケーションにインストールするには、以下のように、ディレクトリーへの書き込みアクセス権限を持っており、--noscripts フラグを使用します。

rpm -ih --prefix new_location package --noscripts

ここで、new_location は、GSKit をインストールしたいパスを指定します。以下に例を示します。

rpm -ihv --prefix /tmp/usr gsk7bas-7.0-1.9.i386.rpm --noscripts




Solaris: Global Security Kit をインストールするGSKit を Solaris にインストールするには、以下のステップに従ってください。


2. Solaris の IBM Tivoli Access Manager CD を挿入します。

3. 次のように、Global Security Kit パッケージをインストールします。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault gsk7bas






Windows: Global Security Kit をインストールするGSKit を Windows にインストールするには、以下のステップに従ってください。



第 19 章前提条件製品をインストールする 293

2. Windows の IBM Tivoli Access Manager CD を挿入します。

3. Global Security Kit (GSKit) をインストールするには、CD がマウントされているドライブ上の ¥windows¥GSKit ディレクトリーに移動して、次のコマンドを入力します。

setup policydirector

4. 「次へ」をクリックします。「宛先位置の選択 (Choose Destination Location)」ダイアログが表示されます。


6. 「次へ」をクリックして GSKit をインストールします。「セットアップ完了(Setup Complete)」ダイアログが表示されます。

7. 「終了」をクリックして、インストール・プログラムを終了します。


GSKit と一緒にインストールされたキー管理ユーティリティーをセットアップするには、『GSKit iKeyman ユーティリティーをセットアップする』に記載の指示を参照してください。詳しくは、 411ページの『第 24 章 Secure Sockets Layer を使用可能にする』または「IBM Global Security Kit Secure Sockets Layer の入門およびiKeyman ユーザーズ・ガイド」を参照してください。

GSKit iKeyman ユーティリティーをセットアップするiKeyman ユーティリティーを実行する前に、Certificate Management System (CMS)

鍵データベース・ファイルをサポートするために GSKit をセットアップする必要があります。そうするには、以下のステップに従ってください。

1. 以下のコンポーネントがご使用のシステムにインストールされていることを確認します。

v GSKit、バージョン 7 (指示については、 291ページの『Global Security Kit

をインストールする』を参照してください。)

v IBM JRE 1.3.1 (指示については、 301ページの『IBM JRE をインストールする』を参照してください。)

v Access Manager Java Runtime Environment コンポーネント

注: このコンポーネントは、構成を必要としません。

パッケージ名およびインストール指示については、 137ページの『第 8 章Java Runtime Environment システムをセットアップする』を参照してください。

2. JRE がインストールされているディレクトリーを指すように JAVA_HOME 変数を設定したことを確認します。JAVA_HOME は、UNIX システム上で $JAVA_HOME であり、Windows 上では %JAVA_HOME% です。

3. Certificate Management System (CMS) 鍵データベースをサポートするためにGSKit をセットアップするには、以下のステップに従います。

a. 以下のファイルを JAVA_HOME/jre/lib/ext ディレクトリーから除去します(存在する場合)。



gskikm.jaribmjcaprovider.jar

b. 以下のファイルを accessmgr_install_dir/java/export/pdjrte からJAVA_HOME/jre/lib/ext にコピーします。

v JDK、バージョン 1.3.1 がインストールされている場合:

– lib/ext/ibmjceprovider.jar

– lib/ext/ibmpkcs.jar

– lib/ext/ibmjcefw.jar

– lib/ext/local_policy.jar

– lib/ext/US_export_policy.jar

– lib/ext/ibmpkcs11.jar

JDK、バージョン 1.4.1 がインストールされている場合:

– lib/ext/ibmjceprovider.jar

– lib/ext/ibmpkcs.jar

– lib/ibmjcefw.jar

– lib/security/local_policy.jar

– lib/ext/US_export_policy.jar

– lib/ext/ibmpkcs11.jar

v IBM CMS および JCE サービス・プロバイダーを登録するには、以下のいずれかを実行します。

注: セキュリティー・プロバイダーを指定する順序が重要です。各プロバイダーは、最初のものから順にテストされます。最初の暗号プロバイダーが同じ暗号化方式を指定して、一致した場合には、このプロバイダーを使用して暗号化を行います。

– GSKit ユーザーが IBM CMS サービス・プロバイダーを登録するには、JAVA_HOME/jre/lib/security/java.security ファイルを編集して以下のプロバイダーを構成します。

security.provider.1=sun.security.provider.Sunsecurity.provider.2=com.ibm.spi.IBMCMSProvider

– GSKit および JSSE ユーザーが IBM CMS および IBM JCE の両方のサービス・プロバイダーを登録するには、JAVA_HOME/jre/lib/security/java.security ファイルを編集して以下のプロバイダーを構成します。

security.provider.1=sun.security.provider.Sunsecurity.provider.2=com.ibm.spi.IBMCMSProvidersecurity.provider.3=com.ibm.crypto.provider.IBMJCE

4. ハードウェア・アクセラレーション・カード・ユーザーのみ: IBM PCI 4758 暗号コプロセッサー・カードなどの、暗号ハードウェアにアクセスする場合には、以下のステップを追加して完了する必要があります。たとえば、WebSEAL は、GSKit 7 API を使用する PKCS#11 を使用して PKCS#11 デバイスにアクセスできます。

a. プラットフォーム固有の共用ライブラリーをGSKIT_HOME/classes/native/native-support.zip からご使用のシステム上のディレクトリーにコピーします。たとえば、native-support.zip ファイルを



AIX 上の /usr/lib に、または Windows 上の C:¥Program

Files¥ibm¥gsk7¥lib にコピーします。

b. zip ファイルの内容を解凍します。たとえば、AIX 上で、共用ライブラリーは以下のようになります。

libjpkcs11.solibpkcslog.solibpseudotoken.so

c. IBMPKCS11 サービス・プロバイダーを登録するには、以下のように、JAVA_HOME/jre/lib/security/java.security ファイルを更新します。

security.provider.1=sun.security.provider.Sunsecurity.provider.2=com.ibm.spi.IBMCMSProvidersecurity.provider.3=com.ibm.crypto.provider.IBMJCEsecurity.provider.4=com.ibm.crypto.pkcs11.provider.IBMPKCS11

d. オプション: gsk7ikm または gsk7cli ユーティリティーを使用しているかどうかに応じて、以下のいずれかを実行します。

v gsk7ikm ユーティリティーを使用して、暗号操作で使用できるようにデフォルトの PKCS#11 共用ライブラリーを構成します。これによって、暗号トークンを開くたびにその入力を必要としなくなります。このデフォルトは、GSKIT_HOME/classes/ikmuser.properties ファイルに設定できます。このファイルが存在しない場合には、そのファイルを例、GSKIT_HOME/classes/ikmuser.sample からコピーします。

PKCS#11 デバイスと一緒に提供された PKCS#11 共用ライブラリーの絶対パスに合わせて DEFAULT_CRYPTOGRAPHIC_MODULE を更新します。たとえば、AIX 5.2 上の /usr/lib/pkcs11/PKCS11_API.so は、IBM Cryptographic

Accelerator 用に使用されます。

gsk7ikm GUI で「開く (Open)」を選択した場合、暗号プロバイダー選択項目が使用可能になります。暗号の最初のダイアログでプロンプトが出されるファイル名は、PKCS#11 デバイスの PKCS#11 共用ライブラリーです。このデフォルトは、DEFAULT_CRYPTOGRAPHIC_MODULE に設定された値です。

v gsk7cli ユーティリティーを使用して、以下のように、gskit_install/classes/ikeycmd.properties ファイルに暗号ハードウェア提供疑似トークン・ライブラリーを指定します。


DEFAULT_CRYPTOGRAPHIC_MODULE=path¥¥pseudotoken.dll


DEFAULT_CRYPTOGRAPHIC_MODULE=path¥¥libpseudotoken.so

これによって iKeyman ユーティリティーのセットアップが完了します。iKeyman

ユーティリティーを使用して、サポートされるレジストリー・サーバーで SSL を使用可能にするには、 411ページの『第 24 章 Secure Sockets Layer を使用可能にする』または「IBM Global Security Kit Secure Sockets Layer の入門および iKeyman

ユーザーズ・ガイド」を参照してください。



IBM Tivoli Directory Client をインストールするIBM Tivoli Directory Client は、IBM Tivoli Directory Server と一緒に、サポートされる AIX、HP-UX、Linux、Solaris、および Windows の各プラットフォームの IBM

Tivoli Access Manager CD に収納されて出荷されます。

以下の場合を除いて、Tivoli Access Manager を実行する各システムに IBM Tivoli

Directory Client をインストールする必要があります。


v Java ランタイム環境または Web Portal Manager システムをセットアップしている場合。

v ユーザーのレジストリー・サーバーとして Lotus Domino を使用する場合。







AIX: IBM Tivoli Directory Client をインストールするIBM Tivoli Directory Client を AIX にインストールするには、以下のステップに従ってください。


2. AIX の IBM Tivoli Access Manager CD を挿入して、それをマウントします。


installp -acgXd cd_mount_point/usr/sys/inst.images ldap.client ldap.max_crypto_client


IBM Tivoli Directory Client をインストールした後で、構成は必要ありません。

HP-UX: IBM Tivoli Directory Client をインストールするIBM Tivoli Directory Client を HP-UX にインストールするには、以下のステップに従ってください。

1. このバージョンをインストールする前に、以前の LDAP クライアント・パッケージがあればそのパッケージが除去されていることを確認します。


3. HP-UX の IBM Tivoli Access Manager CD を挿入します。



IBM Tivoli Directory Client をインストールする




swinstall -s /cd-rom/hp LDAPClient

ここで、 /cd-rom/hp はディレクトリーで、LDAPClient は IBM Tivoli Directory

Client パッケージを指定します。


am_update_ldap.sh





Linux: IBM Tivoli Directory Client をインストールするIBM Tivoli Directory Client を Linux にインストールするには、以下のステップに従ってください。

注: このバージョンをインストールする前に、IBM Tivoli Directory Client の既存のバージョンがあれば、そのバージョンを除去してください。


2. openldap2-client-2.1.4-30 パッケージまたはインストールされる他の矛盾するLDAP パッケージを除去します。

注: IBM Tivoli Directory Client と同じシステムに openldap2-client がインストールされている必要がある場合、/usr/bin にある以下の矛盾するプログラムが、以下のように、IBM LDAP クライアント・バージョンに symlink

されることを確認してください。

/usr/bin/ldapadd → /usr/ldap/bin/ldapmodify/usr/bin/ldapdelete → /usr/ldap/bin/ldapdelete/usr/bin/ldapmodify → /usr/ldap/bin/ldapmodify/usr/bin/ldapmodrdn → /usr/ldap/bin/ldapmodrdn/usr/bin/ldapsearch → /usr/ldap/bin/ldapsearch





rpm -ihv package


v xSeries 上の Linux: ldap-clientd-5.2-1.i386.rpm

v zSeries 上の Linux: ldap-clientd-5.2-1.s390.rpm

v pSeries および iSeries 上の Linux: ldap-client-5.2-1.ppc.rpm




Solaris: IBM Tivoli Directory Client をインストールするIBM Tivoli Directory Client を Solaris にインストールするには、以下のステップに従ってください。



3. /cdrom/cdrom0/solaris ディレクトリーに移動します。


pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldapc



5. インストール時に、ベース・ディレクトリーとして /opt を使用したいかどうかを尋ねられます。スペースに余裕がある場合には、ベース・インストール・ディレクトリーとして /opt を使用します。ベース・ディレクトリーとして /opt を受け入れるには、Enter を押します。


Windows: IBM Tivoli Directory Client をインストールするIBM Tivoli Directory Client を Windows にインストールするには、以下のステップに従ってください。




windows¥Directory




6. 使用許諾契約書をお読みください。条件の受諾を選択して、「次へ」をクリックします。ダイアログによって、すでにインストールされているパッケージおよびアクションが必要かどうかが分かります。必要な場合、要件があれば、その要件を満たして、「次へ」をクリックします。

7. 「次へ」をクリックして、IBM Tivoli Directory Client を指定したデフォルト・ディレクトリーにインストールします。異なるディレクトリーを指定するには、ディレクトリー・パスを入力するかまたは「参照」をクリックして 1 つを選択します。

8. IBM Tivoli Directory Client の言語を選択して「次へ」をクリックします。

9. 「標準 (Typical)」セットアップ・タイプを選択して、「次へ」をクリックして先へ進みます。



10. 「Client SDK 5.2」フィーチャーのインストールを選択して、「次へ」をクリックします。

11. 選択した構成オプションを検討します。選択を変更したい場合は、「戻る」をクリックします。「次へ」をクリックしてインストールを開始します。

インストール・プロセスが開始します。お待ちください。

注: Windows システムで、ご使用のシステムを断続的に再始動するようにプロンプトが出されます。

12. ファイルがインストールされると、README ファイルが表示されます。README ファイルを検討して、「次へ」をクリックして先へ進みます。

13. システムの再始動を即時にまたは後で行うかを選択し、「次へ」をクリックします。




IBM JRE をインストールするAccess Manager Java Runtime Environment のインストール時またはインストール・ウィザードの使用時に、IBM JRE、バージョン 1.3.1 (AIX 上で 1.3.1.5) が必要になります。







AIX: IBM JRE、バージョン 1.3.1.5 をインストールするJRE、バージョン 1.3.1.5 を AIX にインストールするには、以下のステップに従ってください。


2. IBM Tivoli Access Manager for AIX CD を挿入して、マウントします。


installp -acgXd cd_mount_point/usr/sys/inst.images Java131.rte



v 次のように PATH 環境変数を設定します。以下に例を示します。

export PATH=/usr/java131/jre/bin:$PATH

注: IBM JRE 1.3.1.5 がすでにパスにインストールされているかどうかを表示するには、java -version コマンドを使用します。

v JAVA_HOME 環境変数を、JRE 1.3.1 をインストールしたパスに設定します。たとえば、ksh を使用して、以下を入力して JAVA_HOME を定義します。

export JAVA_HOME=/usr/java131/jre

5. IBM Tivoli Directory Server ユーザーのみ:

v JAVA_HOME をシステム・インストールの Java または IBM Tivoli Directory

Server (インストールされている場合) に含まれている Java バージョンのいずれかに設定できます。 IBM Tivoli Directory Server バージョンを使用する場合、以下のように、LIBPATH システム変数を設定することも必要になります。

export LIBPATH=/usr/ldap/java/bin:/usr/ldap/java/bin/classes:$LIBPATH

v IBM Tivoli Directory Server システムで GSKit iKeyman ユーティリティーを使用する場合、次のコマンドを入力することによって /usr/ldap/jre から/usr/ldap/java へのリンクを作成する必要があります。

ln -s /usr/ldap/java /usr/ldap/jre

IBM JRE 1.3.1.5 をインストールした後で、構成は必要ありません。

IBM JRE をインストールする


HP-UX: IBM JRE、バージョン 1.3.1 をインストールするJRE 1.3.1 を HP-UX にインストールするには、以下のステップに従ってください。


2. IBM Tivoli Access Manager for HP-UX CD を挿入します。





swinstall -s /cd_drive/hp rte_13101os11.depot B9789AA

ここで、/cd_drive は CD のマウント・ポイントで、/cd_drive/hp はディレクトリーです。

5. 次のように、PATH 環境変数を設定します。

export PATH=java_path:$PATH

6. GSKit iKeyman ユーティリティーを使用する場合、次のように、次のパスがご使用の環境に設定されていることを確認します。

SHLIB_PATH=/usr/lib


export SHLIB_PATH=/usr/lib;$SHLIB_PATH

注: この変数が設定されていない場合、Tivoli Access Manager 許可サービスがGSKit ライブラリーにアクセスできない場合があります。




IBM JRE 1.3.1 をインストールした後で、構成は必要ありません。

Linux: IBM JRE、バージョン 1.3.1 をインストールするJRE 1.3.1 を Linux にインストールするには、以下のステップに従ってください。





4. 次のように、IBM JRE 1.3.1 パッケージをインストールします。

rpm -ihv package




v xSeries 上の Linux: IBMJava2-JRE-1.3.1-3.0.i386.rpm

v zSeries 上の Linux: IBMJava2-JRE-1.3.1-3.0.s390.rpm

v pSeries および iSeries 上の Linux: IBMJava2-JRE-1.3.1-3.0.ppc.rpm


export PATH=jre_path:$PATH

たとえば、JRE が PATH システム変数を使用してアクセス可能であることを確認するには、次のコマンドを入力します。

export PATH=/opt/IBMJava2-s390-131/jre/bin:$PATH

6. Red Hat Enterprise Linux 2.1 の場合のみ、次のコマンドを入力します。

export LD_PRELOAD=/usr/lib/libstdc++-libc6.2-2.so.3

注: Tivoli Access Manager は、Access Manager Plug-in for Edge Server のみのRed Hat Enterprise Linux 2.1 をサポートします。

7. Red Hat Enterprise Linux 3.0 の場合のみ、Red Hat Linux 3 によってインプリメントされる新しいスレッド化ライブラリー (NPTL) は、Tivoli Access Manager

と一緒に出荷される IBM JDK 1.3.1 とは互換性がなく、インストール障害を引き起こします。これに対するソリューションは、インストール・スクリプトを実行する前に LD_ASSUME_KERNEL 環境変数を JDK 1.3.1 と互換性のある値に設定することです。以下に例を示します。

export LD_ASSUME_KERNEL=2.4.0export LD_ASSUME_KERNEL=2.2.5

代替対応策として、最新の JRE Service Pack をインストールします。これは、次の IBM Web サイトから入手できます。



Solaris: IBM JRE、バージョン 1.3.1 をインストールするJRE 1.3.1 を Solaris にインストールするには、以下のステップに従ってください。



3. 次のように、IBM JRE 1.3.1 パッケージをインストールします。

pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault SUNWj3rt




PATH=/usr/j2se/jre/bin:$PATHexport PATH





Windows: IBM JRE、バージョン 1.3.1 をインストールするIBM JRE 1.3.1 を Windows にインストールするには、以下のステップに従ってください。




cd_drive¥windows¥JRE¥install.exe

オンラインの指示をすべて実行してください。インストールが完了したら、「終了」をクリックします。


set PATH=install_dir;%PATH%

たとえば、デフォルトのインストール・ディレクトリーを使用してインストールした場合、次のコマンドを入力します。

set PATH=c:¥Program Files¥IBM¥Java131¥jre¥bin;%PATH%

5. GSKit iKeyman ユーティリティーを使用する場合、以下を実行します。

a. JAVA_HOME 環境変数をユーザーの Java インストールの絶対パスに設定します。以下に例を示します。

set JAVA_HOME=c:¥Program Files¥IBM¥Java131

b. GSKit bin および lib ディレクトリーを PATH 変数に追加します。以下に例を示します。

set PATH="C:¥Program Files¥ibm¥gsk7¥bin";%PATH%set PATH="C:¥Program Files¥ibm¥gsk7¥lib";%PATH%




WebSphere Application Server をインストールするIBM WebSphere Application Server 5.0.2 は、サポートされるプラットフォームのIBM Tivoli Access Manager Web Administration Interfaces CD および IBM Tivoli

Access Manager Attribute Retrieval Service CD に収納されています。

WebSphere Application Server は、Tivoli Access Manager の管理に使用される Web

Portal Manager interface および IBM Tivoli Directory Server の管理に使用されるWeb Administration Tool の両方のサポートを可能にします。

AIX、HP-UX、xSeries 上の Linux、Solaris、および Windows 2000 の各システムでIBM WebSphere Application Server 用のフィックスパック 2 が必要になります。他のすべてのサポートされるオペレーティング・システムのバージョンは、5.0.2 のレベルです。

IBM WebSphere Application Server に関する情報は、以下の Web サイトを参照してください。








AIX: WebSphere Application Server をインストールするWeb Portal Manager インターフェースまたは Web Administration Tool インターフェースをセットアップするシステムに WebSphere Application Server が必要になります。WebSphere Application Server 5.0.2 を AIX にインストールするには、以下のステップに従ってください。

注: WebSphere の資料は、IBM Tivoli Access Manager Web Administration Interfaces

for AIX CD または IBM Tivoli Access Manager Attribute Retrieval Service for

AIX CD の usr/sys/inst.images/websphere/docs ディレクトリーに収納されています。


2. IBM Tivoli Access Manager Web Administration Interfaces for AIX CD またはIBM Tivoli Access Manager Attribute Retrieval Service for AIX CD を挿入して、マウントします。

3. CD がマウントされているドライブの /usr/sys/inst.images/websphere/aix

ディレクトリーに移動します。


./install

WebSphere Application Server をインストールする





6. 「ようこそ (Welcome)」画面が表示されます。「次へ」をクリックして先へ進みます。

7. 使用許諾契約書を読み、条件を受諾する場合は「はい」をクリックします。

インストール・ウィザードは、システムの前提条件を検査します。お待ちください。

8. 「カスタム (Custom)」セットアップ・タイプを選択して「埋め込みメッセージング (Embedded Messaging)」を選択解除します。これには、Embedded

Messaging および IBM WebSphere MQSeries の JMS テクノロジー互換クライアントが含まれています。「次へ」をクリックして先へ進みます。

9. 以下の製品のデフォルト宛先ディレクトリーを受け入れて、「次へ」をクリックします。また、「参照」をクリックしてローカル・システム上の別のディレクトリーへのパスを選択できます。

v IBM WebSphere Application Server、バージョン 5

v IBM HTTP Server、バージョン 1.3.26

10. ノード名およびホスト名を入力するかまたはこのインストールのデフォルトを受け入れて、「次へ」をクリックします。

注: ノード名は管理に使用され、そのグループのノード (セル) 内で固有でなければなりません。ホスト名は、ユーザーのローカル・システムの DNS 名または IP アドレスです。

11. 選択を検討します。「戻る」をクリックして変更するかまたは「次へ」をクリックしてインストール・プロセスを開始します。

インストールが開始します。お待ちください。

12. 「次へ」をクリックして製品を登録するか、またはチェック・ボックスを選択解除して「次へ」をクリックして後で登録します。

13. 「終了」をクリックして、インストール・ウィザードをクローズします。WebSphere Application Server — 「最初のステップ (First Steps)」ウィンドウが表示されます。このウィンドウを使用してインストールを確認するかまたはトラブルシューティングします。

14. インストールの後、フィックスパック 2 をインストールする必要があります。指示については、『AIX: WebSphere Application Server、フィックスパック 2

をインストールする』を参照してください。

AIX: WebSphere Application Server、フィックスパック 2 をインストールするWebSphere Application Server、フィックスパック 2 を AIX にインストールするには、以下のステップに従ってください。

1. WebSphere Application Server および IBM HTTP Server を停止します。LDAP

レジストリー・サーバーを同じマシンにインストールした場合、LDAP サーバーが停止していることも確認してください。

2. JAVA_HOME システム変数が設定されていることを確認します。以下に例を示します。



export JAVA_HOME=/opt/WebSphere/AppServer/java

3. IBM Tivoli Access Manager WebSphere Fix Pack for AIX CD を挿入して、それをマウントします。

4. CD の内容をハード・ディスク上の一時ディレクトリーにコピーします。

5. aix/websphere_fixpack サブディレクトリー (CD の内容をコピーしたロケーション) に入っている、次のスクリプトを実行します。

./updateWizard.sh




8. 更新したい製品として IBM WebSphere Application Server v5.0.0 を選択して、「次へ」をクリックします。

9. 「フィックスパックのインストール (Install fix packs)」を選択して、「次へ」をクリックします。

10. フィックスパック・ファイルをコピーした一時ディレクトリーを入力します。たとえば、websphere_fixpack ディレクトリーを CD からご使用のシステムのC:¥temp ディレクトリーにコピーした場合、次の行をフィックスパックのディレクトリー・フィールドに入力します。



11. フィックスパックのインストールを選択して、「次へ」をクリックします。

12. IBM HTTP Server の更新を選択して、「次へ」をクリックします。



13. 要約ダイアログで「次へ」をクリックしてインストールを開始します。インストール・プロセスが開始します。お待ちください。

14. インストールが完了したら、「終了」をクリックします。

15. WebSphere Application Server および IBM HTTP Server を再始動します。

HP-UX: WebSphere Application Server をインストールするWeb Portal Manager インターフェースまたは Web Administration Tool インターフェースをセットアップするシステムに WebSphere Application Server が必要になります。WebSphere Application Server 5.0.2 を HP-UX にインストールするには、以下のステップに従ってください。


for HP-UX CD または IBM Tivoli Access Manager Attribute Retrieval Service for

HP-UX CD の hp/websphere/docs ディレクトリーに収納されています。




2. IBM Tivoli Access Manager Web Administration Interfaces for HP-UX CD または IBM Tivoli Access Manager Attribute Retrieval Service for HP-UX CD を挿入します。




4. CD がマウントされているドライブの hp/websphere/hp ディレクトリーに移動します。


./install






















16. インストールの後、フィックスパック 2 をインストールする必要があります。指示については、『HP-UX: WebSphere Application Server、フィックスパック2 をインストールする』を参照してください。

HP-UX: WebSphere Application Server、フィックスパック 2 をインストールするWebSphere Application Server、フィックスパック 2 を HP-UX にインストールするには、以下のステップに従ってください。





3. IBM Tivoli Access Manager WebSphere Fix Pack for HP-UX CD を挿入します。


5. hp/websphere_fixpack サブディレクトリー (CD の内容をコピーしたロケーション) に入っている、次のスクリプトを実行します。

./updateWizard.sh


















Linux: WebSphere Application Server をインストールするWeb Portal Manager インターフェースまたは Web Administration Tool インターフェースをセットアップするシステムに WebSphere Application Server が必要になります。WebSphere Application Server 5.0.2 を Linux にインストールするには、以下のステップに従ってください。

注: WebSphere の資料は、xSeries 上の Linux、zSeries 上の Linux、またはpSeries/iSeries 上の Linux の IBM Tivoli Access Manager Web Administration

Interfaces CD または xSeries または zSeries 上の Linux の IBM Tivoli Access

Manager Attribute Retrieval Service CD の series/websphere/docs ディレクトリーに収納されています。


2. xSeries 上の Linux、zSeries 上の Linux、または pSeries/iSeries 上の Linux のIBM Tivoli Access Manager Web Administration Interfaces CD または xSeries または zSeries 上の Linux の IBM Tivoli Access Manager Attribute Retrieval

Service CD を挿入して、マウントします。

3. CD がマウントされているドライブの以下のディレクトリーのいずれかに移動します。

xSeries 上の Linux: /xSeries/websphere/linuxi386

zSeries 上の Linux: /zSeries/websphere/linuxs390

pSeries および iSeries 上の Linux: /pSeries/websphere/linuxppc


./install



















14. xSeries 上の Linux の場合のみ、フィックスパック 2 をインストールします。指示については、『xSeries 上の Linux: WebSphere Application Server、フィックスパック 2 をインストールする』を参照してください。

xSeries 上の Linux: WebSphere Application Server、フィックスパック 2 をインストールするWebSphere Application Server、フィックスパック 2 を xSeries 上の Linux にインストールするには、以下のステップに従ってください。





3. IBM Tivoli Access Manager WebSphere Fix Pack for Linux on xSeries CD を挿入して、それをマウントします。


5. platform/websphere_fixpack サブディレクトリー (CD の内容をコピーしたロケーション) に入っている、次のスクリプトを実行します。

./updateWizard.sh


















Solaris: WebSphere Application Server をインストールするWeb Portal Manager インターフェースまたは Web Administration Tool インターフェースをセットアップするシステムに WebSphere Application Server が必要になります。WebSphere Application Server 5.0.2 を Solaris にインストールするには、以下のステップに従ってください。


for Solaris CD または IBM Tivoli Access Manager Attribute Retrieval Service for

Solaris CD の solaris/websphere/docs ディレクトリーに収納されています。


2. IBM Tivoli Access Manager Web Administration Interfaces for Solaris CD またはIBM Tivoli Access Manager Attribute Retrieval Service for Solaris CD を挿入します。

3. CD がマウントされているドライブの solaris/websphere/sun ディレクトリーに移動します。


./install



















14. フィックスパック 2 をインストールします。指示については、『Solaris:

WebSphere Application Server、フィックスパック 2 をインストールする』を参照してください。

Solaris: WebSphere Application Server、フィックスパック 2 をインストールするWebSphere Application Server、フィックスパック 2 を Solaris にインストールするには、以下のステップに従ってください。





3. IBM Tivoli Access Manager WebSphere Fix Pack for Solaris CD を挿入します。




5. solaris/websphere_fixpack サブディレクトリー (CD の内容をコピーしたロケーション) に入っている、次のスクリプトを実行します。

./updateWizard.sh
















Windows: WebSphere Application Server をインストールするWeb Portal Manager インターフェースまたは Web Administration Tool インターフェースをセットアップするシステムに WebSphere Application Server が必要になります。WebSphere Application Server 5.0.2 を Windows にインストールするには、以下のステップに従ってください。


CD または IBM Tivoli Access Manager Attribute Retrieval Service CD のディレクトリー (Windows 2000 の場合、windows¥websphere¥docs) または (Windows

2003 の場合、windows2003¥websphere¥docs) に収納されています。


2. 実行中の Windows プログラムはすべてクローズしていることを確認します。




Administration Interfaces CD または IBM Tivoli Access Manager Attribute

Retrieval Service CD を挿入します。

4. CD がマウントされているドライブの以下のディレクトリーのいずれかに移動します。

v Windows 2000 システムでは:

windows¥websphere¥nt

v Windows 2003 システムでは:

windows2003¥websphere¥windows2003

5. 次のプログラムを実行します。

install.exe













12. WebSphere Application Server および IBM HTTP Server を Windows サービスとして実行できます。そうするには、指定したユーザー ID のパスワードを入力して、「次へ」をクリックします。これは、WebSphere のユーザー名とパスワードで、ローカル・システム上のユーザー ID とパスワードでなければなりません。







16. Windows 2000 システムの場合のみ、フィックスパック 2 をインストールします。指示については、『Windows 2000: WebSphere Application Server、フィックスパック 2 をインストールする』を参照してください。

Windows 2000: WebSphere Application Server、フィックスパック 2 をインストールするWebSphere Application Server、フィックスパック 2 を Windows にインストールするには、以下のステップに従ってください。



2. JAVA_HOME システム変数が設定されていることを確認します。そうするには、install_dir¥bin ディレクトリーに入っている、setupCmdLine.bat ファイルを実行します。ここで、install_dir は、WebSphere Application Server をインストールしたインストール・ディレクトリーです。以下に例を示します。

C:¥Program Files¥WebSphere¥AppServer¥bin¥setupCmdLine.bat

3. IBM Tivoli Access Manager WebSphere Fix Pack for Windows 2000 CD を挿入します。


5. windows/websphere_fixpack サブディレクトリー (CD の内容をコピーしたロケーション) に入っている、次のバッチ・ファイルを実行します。

updateWizard













Web Administration Tool をインストールするWeb Administration Tool を使用して IBM Tivoli Directory サーバーをローカルでまたはリモート側で管理します。このインターフェースは、いつでもインストールできます。

Web Administration Tool アプリケーションをインストールするには、ご使用の特定のプラットフォームの手順に従ってください。

注: IBM Tivoli Directory Server、バージョン 4.1 または 5.1 を実行している場合、Web Administration Tool をインストールする前に必ず am_update_ldap.sh

LDAP パッチを実行してください。






注: Tivoli Access Manager と一緒に出荷される、IBM WebSphere Application

Server、バージョン 5.0.2 などの、アプリケーション・サーバーが必要になります。デプロイメント計画に Web Portal Manager インターフェースのインストールが含まれている場合、同じ WebSphere インスタンスを使用して Web

Administration Tool にホストとしてのサービスを提供できます。

AIX: Web Administration Tool をインストールするWeb Administration Tool を AIX にインストールするには、以下のステップに従ってください。


2. Web Administration Tool のシステム要件が満たされていることを確認します。説明については、28 ページを参照してください。

3. 以下のサーバーがユーザーのセキュア・ドメインにセットアップされていることを確認します。



これらのサーバーのインストールの指示については、 62ページの『IBM Tivoli

Directory Server をセットアップする』および 305ページの『WebSphere

Application Server をインストールする』を参照してください。

4. IBM Tivoli Access Manager Web Administration Interfaces for AIX CD を挿入して、それをマウントします。

5. 次のように、Web Administration Tool パッケージをインストールします。

installp -acgXd cd_mount_point/usr/sys/inst.images ldap.webdadmin ldap.max_crypto_webdadmin


Web Administration Tool をインストールする


6. Web Administration Tool をユーザーの WebSphere Application Server 構成にインストールします。説明については、323 ページを参照してください。

これによって Web Administration Tool のセットアップが完了します。Web

Administration Tool を開始するには、WebSphere Application Server をインストールしたディレクトリーに移動して、以下のコマンドのいずれかを発行します。


または


コンソールにログインするには、Web ブラウザーを開き、次のアドレスを入力します。


ここで、localhost は、Web Administration Tool および WebSphere Application

Server がインストールされているホスト・システムの名前または IP アドレスを指定します。Web Administration Tool の使用方法については、次の Web サイトの「IBM Tivoli Directory Server Administration Guide, Version 5.2」を参照してください。


HP-UX: Web Administration Tool をインストールするWeb Administration Tool を HP-UX にインストールするには、以下のステップに従ってください。









4. IBM Tivoli Access Manager Web Administration Interfaces for HP-UX CD を挿入します。








swinstall -s /cd-rom/hp ldapwebadmin

ここで、/cd-rom/hp はディレクトリーです。








または







Linux: Web Administration Tool をインストールするWeb Administration Tool を Linux にインストールするには、以下のステップに従ってください。















Web Administration Interfaces CD を挿入して、それをマウントします。



rpm -ihv package


v xSeries 上の Linux: ldap-webadmind-5.2-1.i386.rpm

v zSeries 上の Linux: ldap-webadmind-5.2-1.s390.rpm

v pSeries および iSeries 上の Linux: ldap-webadmind-5.2-1.ppc.rpm





または







Solaris: Web Administration Tool をインストールするWeb Administration Tool を Solaris にインストールするには、以下のステップに従ってください。












4. IBM Tivoli Access Manager Web Administration Interfaces for Solaris CD を挿入します。


pkgadd -d /cdrom/cdrom0/solaris -a /cdrom/cdrom0/solaris/pddefault IBMldapw







または







Windows: Web Administration Tool をインストールするWeb Administration Tool を Windows にインストールするには、以下のステップに従ってください。













Administration Interfaces CD を挿入します。

5. 次のように、Web Administration Tool パッケージをインストールします。そうするには、次のディレクトリーに入っている setup.exe プログラムを実行します。

¥windows¥Directory

オンラインの指示に従ってインストールを完了してください。 WebAdministration Tool 5.2 を選択し、他のすべてのインストール・フィーチャーを選択解除することを確認します。



Administration Tool を開始するには、WebSphere Application Server をインストールしたディレクトリーに移動して、以下のコマンドを発行します。

C:¥Program Files¥WebSphere¥AppServer¥bin¥startServer.bat server1






Web Administration Tool を WebSphere にインストールするWeb Administration Tool パッケージをインストールした後で、Web Administration

Tool を WebSphere Application Server にインストールする必要があります。そうするには、以下の指示をガイドとして使用してください。

アプリケーションを WebSphere 構成にインストールする場合のすべての情報については、次の Web サイトの IBM WebSphere Application Server 5.0 資料を参照してください。


http://publib7b.boulder.ibm.com/wasinfo1/en/info/ae/ae/trun_app_instwiz.html

Web Administration Tool をユーザーの WebSphere Application Server 構成にインストールするには、以下を実行してください。





http://publib7b.boulder.ibm.com/wasinfo1/en/info/ae/ae/trun_app_instwiz.html

1. WebSphere Application Server Administrative Console にログインします。たとえば、サポートされる Web ブラウザーから以下を入力します。

http://hostname:9090/admin/

ここで、hostname は、IBM WebSphere Application Server がインストールされているシステムの名前または IP アドレスを指定します。

2. コンソール・ナビゲーション・ツリーで「アプリケーション (Applications)」→「新規アプリケーションのインストール (Install New Applications)」をクリックします。2 ページの「アプリケーション・インストールの準備 (Preparing

for application install)」ページの最初のページが表示されます。

3. 最初の「アプリケーション・インストールの準備 (Preparing for application

install)」ページで:

a. 次のように、Web Administration Tool アプリケーションのスタンドアロンIDSWebApp.war ファイルの絶対パスを指定します。

1) UNIX システムでは:

install_dir/idstools/IDSWebApp.war

2) Windows システムでは:

install_dir¥idstools¥IDSWebApp.war

ここで、install_dir は、Web Administration Tool のインストール時に指定したインストール・ディレクトリーです。たとえば、次のようになります。C:¥Program Files¥IBM¥LDAP¥idstools¥IDSWebApp.war

注: ファイルは、クライアント・マシン (Web ブラウザーを実行するマシン)

またはサーバー・マシン (クライアントが接続される) のいずれにあってもかまいません。

b. 「コンテキスト・ルート (Context Root)」フィールドで、次を指定します。

/IDSWebApp

c. 「次へ」をクリックします。

4. デフォルト・バインディングを生成するかまたはデフォルトを受け入れるかどうかを選択して、「次へ」をクリックします。デフォルト・バインディングを使用すると、アプリケーションに不完全なバインディングがあってもデフォルト値で埋められます。既存のバインディングは変更されません。デフォルト・バインディングを生成する際に使用されるデフォルト値をカスタマイズできます。

「新規アプリケーションのインストール (Install New Applications)」ページが表示されます。

5. (ステップ 1: インストールを実行するためのオプションを提供します) 「アプリケーション名 (Ensure that the Application Name)」フィールドに IDSWebApp_war

があることを確認し、デフォルト値を受け入れて「次へ」をクリックします。

6. (ステップ 2: Web モジュールの仮想ホストをマップします) Web モジュールとして「IBM Tivoli Directory Server Web Application v2.0」を、仮想ホストとして「default_host」を選択して、「次へをクリックします。

7. (ステップ 3: モジュールをアプリケーション・サーバーにマップします) 「IBMTivoli Directory Server Web Application v2.0」を選択して、「次へ」をクリックします。



8. (ステップ 4: 要約) インストール・オプションを検討して、「終了をクリックします。

9. 「マスター構成に保管 (Save to Master Configuration)」ページが表示されたとき、「保管」をクリックして変更内容をユーザーの構成に保管します。アプリケーションは、アドミニストレーター権限で登録されます。



第 20 章コンポーネントをアンインストールする

Tivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。コンポーネントを構成解除してから、Tivoli Access Manager パッケージを除去する必要があります。

本章には、以下のセクションがあります。

v 『Tivoli Access Manager コンポーネントを構成解除する』

v 328ページの『IBM Tivoli Directory Server を構成解除する』

v 329ページの『Tivoli Access Manager for WebSphere を構成解除する』

v パッケージの除去については:

– AIX (329 ページ)

– HP-UX (330 ページ)

– Linux (331 ページ)

– Solaris (332 ページ)

– Windows (333 ページ)

始める前に

v Access Manager Policy Server または Access Manager Runtime コンポーネントを構成解除する前に、WebSEAL などの、Tivoli Access Manager アプリケーションを構成解除します。

v ポリシー・サーバー・システムを最後に構成解除して除去します。

Tivoli Access Manager コンポーネントを構成解除するTivoli Access Manager パッケージを除去する前に、コンポーネントが構成解除されている (必要な場合) ことを確認する必要があります。そうするには、以下のステップに従ってください。

1. UNIX で、root としてログインします。Windows で、Windows アドミニストレーター特権を持つユーザーとしてログオンします。

2. 構成ユーティリティーを開始するには、次のコマンドを入力します。

pdconfig

注: Windows システムで、「スタート」→「すべてのプログラム」→「AccessManager」→「構成 (Configuration)」を選択することもできます。

「Access Manager for e-business セットアップ・メニュー」が表示されます。

3. コンポーネントを次の順序で構成解除します。UNIX 上のコンポーネントを構成解除するには、Tivoli Access Manager コンポーネントのメニュー項目の番号を入力します。コンポーネントを Windows に構成解除するには、コンポーネント


を選択して、次に「構成解除」をクリックします。構成解除したいそれぞれのパッケージごとにこの手順を繰り返します。

a. Access Manager Web Portal Manager、Access Manager WebSEAL

Server、Access Manager Plug-in for Edge Server、または Access Manager

Plug-in for Web Servers

b. Access Manager Authorization Server

c. Access Manager Policy Proxy Server

d. Access Manager Policy Server

e. Access Manager Runtime and Access Manager Java Runtime Environment

注:

v コンポーネントを構成しない場合、そのコンポーネントは単に除去できます。

v ポリシー・サーバーまたはポリシー・プロキシー・サーバーを構成解除する場合、識別名 (cn=root) および LDAP アドミニストレーターのパスワードを要求するプロンプトが出されます。

v ポリシー・サーバーを構成解除する場合、管理ドメインにインストールされているすべての Tivoli Access Manager サーバーとアプリケーションに関する構成と許可の情報が除去されることで警告が出されます。先に進むには、「y」を入力します。

LDAP アドミニストレーター DN とパスワードを入力した後で、ドメイン情報をレジストリーから永久に除去するようにプロンプトが出されます。ユーザーおよびグループ情報を含む、すべてのドメイン情報を除去するためには yを入力します。ドメイン情報を除去するが、必要な場合、ドメインを後で再作成できるようにユーザーおよびグループ情報を保持するためには n を入力します。

v Access Manager Java Runtime Environment がインストールされているが、Access Manager Runtime はインストールされていない場合、次のように、/opt/PolicyDirector/sbin/pdjrtecfg ユーティリティーを使用してこのコンポーネントを構成解除します。

./pdjrtecfg -action unconfig -interactive

IBM Tivoli Directory Server を構成解除するIBM Tivoli Directory Server を構成解除するには、以下のステップに従ってください。この手順を開始する前にユーザーのディレクトリーおよび既存のスキーマ・ファイルがあればそれらのファイルのバックアップをとることをお勧めします。

1. UNIX で、root としてログインします。Windows で、Windows アドミニストレーター特権を持つユーザーとしてログオンします。

2. ibmslapd サーバーを停止します。

3. ldapucfg ユーティリティーを使用して DB2 構成情報を IBM Tivoli Directory

Server から除去します。そうするには、以下のコマンドを入力します。

ldapucfg -d -i

構成解除を確認するためには 1 を入力するようにプロンプトが出されます。デフォルト・データベースを構成した場合、ldapucfg ユーティリティーはこのス

コンポーネントをアンインストールする


テップによってデータベースをシステムから削除します。カスタム・データベースを構成した場合、データベースはシステムに残ります。

注: カスタム・データベースを除去するには、インスタンス所有者としてログインして、以下のコマンドを入力します。

db2stopdb2ilistdb2idrop instance_name

Tivoli Access Manager for WebSphere を構成解除するPDWAS パッケージを除去する前に、以下のように、Tivoli Access Manager for

WebSphere コンポーネントを構成解除する必要があります。


2. WebSphere Application Server を停止します。

3. 以下のように、-action [unconfigWAS4 | unconfigWAS5] オプションを使用して pdwascfg ユーティリティーを実行します。

pdwascfg -action unconfig version_number-remote_acl_user user_CN-sec_master_pwd password-was_home home_directory_of_WebSphere_Application_Server-pdmgrd_host policy_server_host_name-pdacld_host authorization_server_host_name

このユーティリティーについては、 508ページの『pdwascfg』を参照してください。

AIX: パッケージを除去するTivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。コンポーネントを構成解除して、アップグレード・プロセス中などの、特に何かをするように指示されない限り、それらのコンポーネントを除去します。

注: パッケージを除去する前に、すべての Tivoli Access Manager サービスとアプリケーションを停止していることを確認してください。

コンポーネントを AIX システムから除去するには、以下のステップに従ってください。

1. コンポーネントが構成解除されていることを確認します (必要な場合)。327 ページの『Tivoli Access Manager コンポーネントを構成解除する』に記載されている指示に従ってください。


installp -u -g packages

ここで、packages は、以下の 1 つ以上を指定します。

注: -g オプションは、除去された指定のパッケージの従属ソフトウェアを必要とする場合のみ使用してください。

IBM Global Security Kit gsksa.rte および gskta.rte


第 20 章コンポーネントをアンインストールする 329

IBM Tivoli Directory Client ldap.client およびldap.max_crypto_client

IBM Tivoli Directory Server ldap.server およびldap.max_crypto_server

Access Manager Application Development Kit PD.AuthADK

Access Manager Attribute Retrieval Service PDWeb.ARS

Access Manager Authorization Server PD.Acld

Access Manager Java Runtime Environment PDJ.rte

Access Manager Plug-in for IBM HTTP Server PD.WPIIHS

Access Manager Plug-in for Sun ONE Web Server PD.WPIiPlanet

Access Manager Plug-in for Web Servers PD.WPI

Access Manager Policy Server PD.Mgr

Access Manager Policy Proxy Server PD.MgrPrxy

Access Manager Runtime PD.RTE

Access Manager for WebLogic Server PDWLS

Access Manager for WebSphere Application Server PDWAS

Access Manager Web Portal Manager PD.WPM

Access Manager Web Security Runtime PDWeb.RTE

Access Manager WebSEAL Server PDWeb.Web

Access Manager WebSEAL Development (ADK) PDWeb.ADK

HP-UX: パッケージを除去するTivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。コンポーネントを構成解除して、アップグレード・プロセス中などの、特に何かをするように指示されない限り、それらのコンポーネントを除去します。


コンポーネントを HP-UX システムから除去するには、以下のステップに従ってください。

1. コンポーネントが構成解除されていることを確認します。 327ページの『Tivoli

Access Manager コンポーネントを構成解除する』に記載されている指示に従ってください。


swremove packages


IBM Global Security Kit gsk7bas および gsk7ikm

IBM Tivoli Directory Client LDAPClient

IBM Tivoli Directory Server LDAPServer

Access Manager Application Development Kit PDAuthADK

Access Manager Attribute Retrieval Service PDWebARS



Access Manager Authorization Server PDAcld

Access Manager Java Runtime Environment PDJrte

Access Manager Policy Server PDMgr

Access Manager Policy Proxy Server PDMgrPrxy

Access Manager Runtime PDRTE



Access Manager Web Portal Manager PDWPM

Access Manager Web Security Runtime PDWebRTE

Access Manager WebSEAL Server PDWeb

Access Manager WebSEAL Development (ADK) PDWebADK

除去前のスクリプトが実行されることを示すプロンプトが表示されます。各ファイルは、除去されるときにリストされます。

Linux: パッケージを除去するTivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。コンポーネントを構成解除してから、Tivoli Access Manager パッケージを除去する必要があります。


コンポーネントを Linux システムから除去するには、以下のステップに従ってください。

1. コンポーネントを構成解除したことを確認します。 327ページの『Tivoli Access

Manager コンポーネントを構成解除する』に記載されている指示に従ってください。

2. インストール済みのパッケージ名をリストするには、以下のコマンドを入力します。

v LDAP パッケージの場合:

rpm -qa | grep ldap

v GSKit パッケージの場合:

rpm -qa | grep gsk

v Tivoli Access Manager パッケージの場合:

rpm -qa | grep PD


rpm -e packages


IBM Global Security Kit gsk7bas-7-0-1.9

IBM Tivoli Directory Client ldap-clientd-5.2-1

IBM Tivoli Directory Server ldap-serverd-5.2-1



Access Manager Application Development Kit PDAuthADK-PD-5.1.0-0

Access Manager Attribute Retrieval Service PDWebARS-PD-5.1.0-0

Access Manager Authorization Server PDAcld-PD-5.1.0-0

Access Manager Java Runtime Environment PDJrte-PD-5.1.0-0

Access Manager Plug-in for Apache Web Server PDWPI-Apache-5.1.0-0

Access Manager Plug-in for IBM HTTP Server PDWPI-IHS-5.1.0-0

Access Manager Plug-in for Web Servers PDWPI-PD-5.1.0-0

Access Manager Policy Server PDMgr-PD-5.1.0-0

Access Manager Policy Proxy Server PDMgrPrxy-PD-5.1.0-0

Access Manager Runtime PDRTE-PD-5.1.0-0

Access Manager for WebLogic Server PDWLS-PD-5.1.0-0

Access Manager for WebSphere Application Server PDWAS-PD-5.1.0-0

Access Manager Web Portal Manager PDWPM-PD-5.1.0-0

Access Manager Web Security Runtime PDWebRTE-PD-5.1.0-0

Access Manager WebSEAL Server PDWeb-PD-5.1.0-0

Access Manager WebSEAL Development (ADK) PDWebADK-PD-5.1.0-0

Solaris: パッケージを除去するTivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。コンポーネントを構成解除して、アップグレード・プロセス中などの、特に何かをするように指示されない限り、それらのコンポーネントを除去します。


コンポーネントを Solaris システムから除去するには、以下のステップに従ってください。

1. コンポーネントが構成解除されていることを確認します。コンポーネントを構成解除するには、 327ページの『Tivoli Access Manager コンポーネントを構成解除する』に記載されている指示に従ってください。

2. パッケージを除去するには、以下のコマンドを入力します。

pkgrm package

ここで、package は、以下のいずれかを指定します。

IBM Global Security Kit gsk7bas および gsk7ikm

IBM Tivoli Directory Client IBMldapc

IBM Tivoli Directory Server IBMldaps

Access Manager Application Development Kit PDAuthADK

Access Manager Attribute Retrieval Service PDWebARS

Access Manager Authorization Server PDAcld

Access Manager Java Runtime Environment PDJrte

Access Manager Plug-in for Apache Web Server PDWPIihs



Access Manager Plug-in for IBM HTTP Server PDWPIapa

Access Manager Plug-in for Sun ONE Web Server PDWPIipl

Access Manager Plug-in for Web Servers PDWPI

Access Manager Policy Server PDMgr

Access Manager Policy Proxy Server PDMgrPrxy

Access Manager Runtime PDRTE



Access Manager Web Portal Manager PDWPM

Access Manager Web Security Runtime PDWebRTE

Access Manager WebSEAL Server PDWeb

Access Manager WebSEAL Development (ADK) PDWebRTE

3. これらのコンポーネントの除去を確認するためのプロンプトが出された場合、y

を入力します。

除去前のスクリプトが実行されることを示すプロンプトが表示されます。各ファイルは、除去されるときにリストされます。

Windows: パッケージを除去するTivoli Access Manager のアンインストールは、2 つの部分からなるプロセスです。コンポーネントを構成解除して、アップグレード・プロセス中などの、特に何かをするように指示されない限り、それらのコンポーネントを除去します。


コンポーネントを Windows システムから除去するには、以下のステップに従ってください。


2. 「スタート」→「設定」→「コントロールパネル」を選択して、「プログラムの追加と削除」をクリックします。

3. インストール済みコンポーネントのいずれかを選択して、次に「除去」をクリックします。

4. 別のコンポーネントをリストから選択するかまたは「OK」をクリックしてプログラムを終了します。

5. GSKit をご使用のシステムから除去するには、次のコマンドを入力します。

isuninst -f"c:¥program files¥ibm¥gsk7¥gsk7bui.isu"

ここで、c:¥program files¥ibm¥gsk7 は、gsk7BUI.isu ファイルが入っている完全修飾パスです。

注: その他の Tivoli Access Manager コンポーネントと同様に、「プログラムの追加と削除」アイコンを使用して GSKit をアンインストールできません。



第 21 章インストール・ウィザードのシナリオ

本章には、インストール・ウィザードを使用して以下の Tivoli Access Manager システムをインストールして構成する方法に関してステップバイステップの指示を画面とともに記載します。

v 336ページの『install_ldap_server ウィザードを使用する』

v 347ページの『install_ammgr ウィザードを使用する』

プロンプトが出される構成オプションの説明については、 357ページの『第 22 章インストール・ウィザードのオプション』を参照してください。


install_ldap_server ウィザードを使用する次のシナリオでは、install_ldap_server ウィザードを使用して、IBM Tivoli

Directory Server を Tivoli Access Manager レジストリーとしてインストールして構成します。このプログラムは、前提条件製品、Tivoli Access Manager コンポーネント、および関連パッチを含む、必要なすべてのソフトウェアをご使用のシステムにインストールして構成します。

プリインストールの要件IBM Tivoli Directory Server をインストールして構成する前に、以下のプリインストール作業 (必要に応じて) を実行する必要があります。これらの要件は、使用しようとしているインストール方法に関係なす。

v DB2 データベース所有者 ID、たとえば、ldapdb2 (UNIX) または db2admin(Windows) を作成します。指定するユーザー ID は、DB2 データベースが存在する場所でデータベース・インスタンスを所有します。構成時にこの ID とパスワードの入力を要求するプロンプトが出されます。

注: Windows ユーザーのみ — install_ldap_server インストール・ウィザードを実行する場合、作成する ID は DB2 Administrator ID および DB2 データベース所有者 ID の両方に使用されます。ネイティブ・インストール・ユーティリティーを使用する場合には、別々の ID を作成し、使用することをお勧めします。たとえば、DB2 データベース所有者 ID に ldapdb2 を、DB2 Administrator ID にdb2admin を指定します。

– ユーザー ID は 8 文字以下にします。

– Windows プラットフォームでは、ユーザーはアドミニストレーター・グループのメンバーでなければならず、アドミニストレーター ID と同じドメインになければならない。

– UNIX プラットフォームでは、ユーザーはホーム・ディレクトリーを持たなければならず、ホーム・ディレクトリーの所有者でなければならない。

– DB2 データベースが入るロケーションのディレクトリーを選択します。インストール・ウィザードは、Directory Server のデータベース・ホームの下のこのディレクトリーを指定するようにプロンプトを出します。

- DB2 データベース・ディレクトリーのグループ所有権は、DB2 をインストールしたときに作成された DB2 グループである必要があります。AIX および Solaris では、このグループは、通常 dbsysadm という名前にします。zSeries 上の Linux の場合、このグループは、通常 db2iadm1 という名前にします。たとえば、ldapdb2 という名前のユーザーの場合、AIX およびSolaris でのデータベース・ディレクトリーは、ldapdb2:dbsysadm によって所有され、または zSeries 上の Linux の場合 ldapdb2:db2iadm1 によって所有される必要があります。

データベースを構成するときにユーザーの 1 次グループとして正しく機能しないグループが一部ある可能性があります。たとえば、Linux でユーザーの 1

次グループが users である場合、問題が発生する可能性があります。 Linux

で、1 次グループが確実に正しく機能するようにしたい場合には、other を使用する必要があります。

インストール・ウィザードのシナリオ


– ユーザー root は、DB2 データベース・ディレクトリーを所有するために選ばれたグループのメンバーでなければならない。root がこのグループのメンバー出ない場合、このグループのメンバーとして root を追加してください。

– 最高の結果を得るためには、ユーザーのログイン・シェルを Korn シェル(/usr/bin/ksh) にする必要があります。

– ユーザーのパスワードを正しく設定して、使用できる状態にしておく必要があります。たとえば、パスワードを有効期限切れにしたり、いかなる種類の最初の検証を待つようにすることはできません。(パスワードが正しく設定されていることを確認する最善の方法は、同じコンピューターに telnet して、そのユーザー ID とパスワードを使用して正常にログインすることです。)

– データベースを構成するとき、データベース・ロケーションとしてユーザーID のホーム・ディレクトリーを指定することは必要ではないが、習慣になっている。しかし、他のロケーションを指定した場合でも、ユーザーのホーム・ディレクトリーには 3 MB から 4 MB の使用可能なスペースがなければなりません。これは、DB2 がリンクを作成し、データベース自体が他のどこにあっても、ファイルをインスタンス所有者 (すなわち、ユーザー) のホーム・ディレクトリーに追加するためです。ホーム・ディレクトリーに十分なスペースがない場合には、十分なスペースを作成するかまたはホーム・ディレクトリーとして別のディレクトリーを指定することができます。

v AIX システムのみで、IBM Tivoli Directory Server、バージョン 5.2 は 64 ビット・ハードウェアおよび 64 ビット・カーネルを必要とします。システムが正しくセットアップされていることを確認するには、以下を検討してください。

– ユーザーの AIX ハードウェアが 64 ビットであることを検証するには、次を入力します。

bootinfo -y

結果が 64 と表示された場合、ハードウェアは 64 ビットです。さらに、コマンド lsattr —El proc0 を入力した場合、コマンドの出力はユーザーのサーバーのプロセッサーのタイプを戻します。以下のいずれかを持っている場合、それは 64 ビットハードウェアです。RS64 I、II、III、IV、POWER3、POWER3 II

または POWER4

– 64 ビット・ハードウェアは、32 または 64 ビット・カーネルのいずれかにすることができます。64 ビット・カーネル (/usr/lib/boot/unix_64) がインストールされて実行していることを検証するには、次のコマンドを入力します。

bootinfo -K

結果が 64 と表示された場合、カーネルは 64 ビットです。しかし、結果が32 と表示された場合、32 ビット・カーネルから 64 ビット・カーネルに切り替える必要があります。そうするには、以下のステップに従ってください。

1. 以下の 64 ビット・パッケージを持っていることを確認します。

bos.64bitbos.mp64

2. 64 ビット・カーネルに切り替えるには、以下のコマンドを入力します。

ln -sf /usr/lib/boot/unix_64 /unixln -sf /usr/lib/boot/unix_64 /usr/lib/boot/unixlslv -m hd5bosboot -ad /dev/ipldeviceshutdown -Fr


第 21 章インストール・ウィザードのシナリオ 337

– 非同期入出力が使用可能になっていることを確認します。そうするには、以下のコマンドを入力します。

/usr/sbin/mkdev -l aio0/usr/sbin/chdev -l aio0 -P/usr/sbin/chdev -l aio0 -P -a autoconfig=available

install_ldap_server シナリオIBM Tivoli Directory Server およびその前提条件ソフトウェアをインストールして構成するには、以下のステップに従ってください。


2. ユーザー特定のプラットフォームの IBM Tivoli Access Manager Directory

Server CD を挿入します。

3. サポートされる JVM がインストールされており、JVM にパスが設定されていることを確認します。それ以外の場合、インストール時に次のメッセージが表示されます。

A suitable JVM could not be found.Please run the installer again using the option -is:javahome <JAVA HOME DIR>

Tivoli Access Manager と一緒に出荷される、サポートされる JRE パッケージをインストールするには、 301ページの『IBM JRE をインストールする』を参照してください。

4. SSL を使用可能にする場合、使用する予定の SSL 鍵格納ファイルをユーザーのローカル・システム上の任意のディレクトリーに手動でコピーします。インストール・ウィザードは、ユーザーに代わってサンプルの鍵格納ファイル(am_key.kdb) をユーザーの CD の common ディレクトリーからinstall_dir¥lib ディレクトリーにコピーします。

5. インストール・ウィザードを開始するには、CD がマウントされているドライブのルート・ディレクトリーに移動して、次のコマンドを入力します。

install_ldap_server

6. インストールで使用したい言語を選択して、「了解」をクリックします。



8. 使用許諾契約書を読み、条件に合意する場合は「受諾」を選択します。「次へ」をクリックして先へ進みます。


v Windows システム: 次の 3 つのパネルは、GSKit、IBM DB2、および IBM

Tivoli Directory Server のインストール・ディレクトリーを指定するようにプロンプトを出します。デフォルトのディレクトリーを受け入れるか「参照」をクリックして別のディレクトリーを選択します。「次へ」をクリックして先へ進みます。

v UNIX システム: ステップ 10 (341ページ) までスキップします。インストール・ウィザードは、GSKit、IBM DB2、および IBM Tivoli Directory Server

を以下のディレクトリーに自動的にインストールします。

– GSKit インストール・ディレクトリー

AIX: /usr/opt/ibm/gsksa および /usr/opt/ibm/gskta

HP-UX および Solaris: /opt/ibm/gsk7

Linux: /usr/local/ibm/gsk7

– IBM DB2 インストール・ディレクトリー

AIX および Linux: /usr/ldap/db2

HP-UX および Solaris: /opt/IBM/db2

– IBM Tivoli Directory Server インストール・ディレクトリー

AIX および Linux: /usr/ldap

HP-UX および Solaris: /opt/IBMldaps



10. 336ページの『プリインストールの要件』で作成した DB2 データベース所有者 ID 用のユーザー ID およびパスワードを入力します。「次へ」をクリックして先へ進みます。

11. 以下のフィールドを埋めてから「次へ」をクリックして先へ進みます。

a. アドミニストレーター ID—有効な DN を入力するかまたはデフォルト DN

(cn=root) を受け入れます。これは、ディレクトリーのすべてのデータに対して全アクセス権限を持つアドミニストレーターによって使用される DN

です。

注: DN では大文字小文字が区別されません。X.500 形式に精通していないか、または他の理由で新しい DN を定義したくない場合には、デフォルトの DN を受け入れてください。

b. アドミニストレーター・パスワード—アドミニストレーター ID のパスワードを作成します。パスワードは大文字小文字が区別されることを注意してください。

c. パスワードの確認—確認のため再度パスワードを入力します。

d. ユーザー定義サフィックス— サフィックスを入力してユーザーおよびグループ・データを保持します。たとえば、次のようになります。o=ibm,c=us

e. ローカル・ホスト名— LDAP サーバーが常駐するホスト・システムの完全修飾名を入力します。



12. 以下のフィールドを埋めてから「次へ」をクリックして先へ進みます。

注: am_key.kdb を使用しない場合、それに従って、SSL 鍵格納ファイルのパス、パスワード、および証明書ラベルの値を変更します。

a. SSL 鍵格納ファイルに関連したパスワードを入力します。デフォルトの鍵key4ssl (小文字) です。

b. LDAP サーバーに送信される SSL 鍵格納ファイル証明書に関連するラベルを入力します。デフォルトの鍵格納ファイル証明書は、PDLDAP です。

注: ポリシー・サーバーまたは許可サーバーの構成時にはこのラベルは必要ありません。この値が必要となるのは、SSL の確立時にサーバーとクライアントの両方の認証を実行するようにサーバーを構成する場合またはユーザーの鍵格納ファイルにあるデフォルトではない証明書を使用した場合のみです。典型的に、LDAP サーバーは、クライアントの .kdb

ファイルの作成時に指定されたサーバー・サイドの証明書のみを必要とします。



注: Windows システムで、ご使用のシステムを断続的に再始動するようにプロンプトが出されます。



14. IBM Tivoli Directory Server およびその前提条件製品のインストールと構成をモニターします。

再始動パネルが表示されたら、ご使用のコンピューターの再始動を選択して、「終了をクリックします。再始動後、Configuration Tool が実行して、サーバーの構成を完了するために必要な情報を要求するプロンプトを出します。引き続き構成プロセスをモニターして、構成が完了したら「終了」をクリックします。

注: インストール・プロセスで問題を検出した場合、以下のディレクトリーに入っているインストール・ログ・ファイル、msg__ldaps_install.log ファイルを調べます。


/tmp


C:¥Documents and Settings¥Administrator¥Local Settings¥Temp

15. Optional: IBM Tivoli Directory サーバーをローカルでまたはリモート側で管理できる、Web Administration Tool をインストールします。このインターフェースは、いつでもインストールできます。 IBM WebSphere Application Server、バージョン 5.0.2 (Tivoli Access Manager と一緒に出荷される) などの、アプリケーション・サーバーが必要になることに注意してください。デプロイメント計画に Web Portal Manager インターフェースのインストールが含まれている場合、同じ WebSphere インスタンスを使用して Web Administration Tool にホストとしてのサービスを提供できます。

この GUI をインストールするには、318 ページを参照してください。



注: IBM Tivoli Directory Server、バージョン 4.1 または 5.1 を実行している場合、Web Administration Tool をインストールする前に必ずam_update_ldap.bat LDAP パッチを実行してください。

16. デフォルトの am_key.kdb 鍵格納ファイルを使用して SSL を使用可能にした場合、ユーザー自身の鍵格納ファイルを作成して SSL を使用可能にするか、またはこの鍵格納ファイルのデフォルトのパスワードを変更することが最後に必要になります。そうするには、GSKit と一緒にインストールされている、iKeyman

鍵管理ユーティリティーを使用できます。説明については、 291ページの『Global Security Kit をインストールする』の GSKit iKeyman ユーティリティーのセットアップに関する情報を参照してください。



install_ammgr ウィザードを使用するユーザーのユーザー・レジストリーを正常にインストールした後、次のステップはTivoli Access Manager ポリシー・サーバーをセットアップすることです。次のシナリオでは、install_ammgr ウィザードを使用して、LDAP レジストリーを使用するポリシー・サーバーをインストールして構成します。このプログラムは、Tivoli

Access Manager コンポーネント、関連製品、および関連パッチを含む、必要なすべてのソフトウェアをご使用のシステムにインストールして構成します。

注: このレジストリー・サーバーとは別のシステムにポリシー・サーバーをセットアップすることをお勧めします。

install_ammgr ウィザードを使用して Tivoli Access Manager ポリシー・サーバーをインストールして構成するには、以下のステップに従います。


2. 実行しているプログラムがあれば、そのプログラムを停止して、すべてのウィンドウをクローズします。開いているウィンドウがあれば、「initial

InstallShield Wizard」ウィンドウが他のウィンドウの後ろに隠れていることがあります。


4. ご使用の特定のプラットフォームの IBM Tivoli Access Manager Base CD を挿入します。

5. IBM Tivoli Directory Server と同じシステムにポリシー・サーバーをインストールする場合には、ステップ 6 までスキップします。それ以外の場合には、IBM

Tivoli Directory Server を構成するために使用した SSL 鍵格納ファイルをこのシステム上のディレクトリーに手動でコピーします。たとえば、サンプルのam_key.kdb ファイルを使用した場合、このファイルを IBM Tivoli Directory

Server システムからこのシステムにコピーします。

6. インストール・ウィザードを開始するには、CD がマウントされているドライブのルート・ディレクトリーに移動して、次のコマンドを入力します。

install_ammgr

7. インストールで使用したい言語を選択して、「了解」をクリックします。



9. 使用許諾契約書を読み、条件に合意する場合は「受諾」を選択します。「次へ」をクリックして先へ進みます。



10. Tivoli Access Manager で使用するユーザー・レジストリーのタイプを選択します。「次へ」をクリックして先へ進みます。

11. Tivoli Common Directory をロギングで使用可能にするかどうかを選択します。これは、トレース・ログおよびメッセージ・ログなどの、ファイルの保管のために Tivoli ソフトウェアを実行するシステム上のセントラル・ロケーションを表します。

このフィーチャーを最初に構成するときに、ログ・ファイルを常駐させたいディレクトリーを指定できます。後で、このディレクトリーを使用するためのTivoli ソフトウェアを構成できます。




v Windows システム: 次の 3 つのパネルは、GSKit、IBM DB2、および IBM

Tivoli Directory Client のインストール・ディレクトリーを指定するようにプロンプトを出します。デフォルトのディレクトリーを受け入れるか「参照」をクリックして別のディレクトリーを選択します。「次へ」をクリックして先へ進みます。

v UNIX システム: ステップ 13 までスキップします。インストール・ウィザードは、GSKit、IBM DB2、および IBM Tivoli Directory Client を以下のディレクトリーに自動的にインストールします。

– GSKit インストール・ディレクトリー

AIX: /usr/opt/ibm/gsksa および /usr/opt/ibm/gskta

HP-UX および Solaris: /opt/ibm/gsk7

Linux: /usr/local/ibm/gsk7

– IBM DB2 インストール・ディレクトリー

AIX および Linux: /usr/ldap/db2

HP-UX および Solaris: /opt/IBM/db2

– IBM Tivoli Directory Client インストール・ディレクトリー

AIX および Linux: /usr/ldap

HP-UX および Solaris: /opt/IBMldapc

13. 以下のフィールドを埋めてから「次へ」をクリックします。



v LDAP サーバー・ホスト名—LDAP サーバー・システムのホスト名を入力します。

v LDAP サーバー・ポート—LDAP サーバー・ポートはすでに用意されています (389)。LDAP サーバーの構成時にこのポート番号を変更した場合、それに応じてこの値を変更します。

v Windows システムの場合のみ、IBM Tivoli Directory Server を使用してSecure Sockets Layer (SSL) を使用可能にするようにプロンプトが出されます—セキュリティー上の目的のため、レジストリー・サーバーで SSL を使用可能にすることをお勧めします。そうするには、このチェック・ボックスを選択して、ステップ 15 にリストされている SSL オプションについてプロンプトが出されるようにします。それ以外の場合には、ステップ16 (353ページ) までスキップします。

14. UNIX システムの場合のみ、IBM Tivoli Directory Server を使用して Secure

Sockets Layer (SSL) を使用可能にするようにプロンプトが出されます。セキュリティー上の目的のため、LDAP サーバーで SSL を使用可能にすることをお勧めします。そうするには、このチェック・ボックスを選択し、「次へ」をクリックして、ステップ 15 にリストされている SSL オプションについてプロンプトが出されるようにします。

15. IBM Tivoli Directory Server を使用して SSL を使用可能にすることを選択した場合、以下のフィールドを埋めて「次へ」を選択します。

v 絶対パスを使用した SSL 鍵格納ファイル—LDAP SSL クライアントの鍵格納ファイルが入っている完全修飾パスを入力します。たとえば、am_key.kdb



ファイルを c:¥keytabs ディレクトリーにコピーした場合、c:¥keytabs¥am_key.kdb を入力します。

v 鍵格納ファイルのパスワード—鍵格納ファイルに関連したパスワードを入力します。am_key.kdb ファイルのデフォルトのパスワードは、key4ssl です。将来、gsk7ikm ユーティリティーを使用してこのパスワードを変更した場合、このデフォルトのパスワードを思い出さなければなりません。

v SSL 鍵格納ファイル DN—インストール・ウィザードのデフォルトの鍵格納ファイル、am_key.kdb を使用している場合、SSL 証明書ラベルは必要ありません。

v SSL ポート—SSL ポート番号はすでに用意されています (636)。必要な場合、ポート番号を変更します。

16. 以下のフィールドを埋めてから「次へ」をクリックします。

v アドミニストレーター・パスワード—セキュリティー・マスター ID

(sec_master) のためのアドミニストレーター・パスワードを作成します。sec_master ID を使用して、ユーザーのアドミニストレーター ID、グループ、およびそれらの機能を定義できます。

v Policy server SSL ポート—SSL ポート番号はすでに用意されています(7135)。必要な場合、ポート番号を変更します。

v SSL 証明書存続期間 (日数)—SSL 証明書ファイルが有効な日数を入力します。デフォルトの日数は、365 です。

v SSL 接続タイムアウト (秒数)—SSL 接続がタイムアウトする前に待機する期間 (秒単位) を入力します。デフォルトの秒数は、7200 です。



v LDAP アドミニストレーター DN—LDAP アドミニストレーター DN を入力するかまたはデフォルト値 (cn=root) を受け入れます。

v LDAP アドミニストレーター・パスワード—LDAP アドミニストレーターDN に関連したパスワードを入力します。






18. ポリシー・サーバーおよびその前提条件製品のインストールと構成をモニターします。

Windows システムご使用のシステムを再始動するようにプロンプトが出されたら、「次へ」をクリックします。システムの再始動後、インストール・ウィザードが表示されます。ご使用の言語を指定して、「次へ」をクリックします。ポリシー・サーバーの構成が完了したら、「終了」をクリックして、インストール・ウィザードを終了します。

ポリシー・サーバーを構成した後で、管理ドメインにあるその他の Tivoli Access

Manager システムをセットアップできます。Tivoli Access Manager システムのリストについては、 13ページの『Tivoli Access Manager システムのタイプ』を参照してください。



第 22 章インストール・ウィザードのオプション

本章では、インストール・ウィザードを使用するようにプロンプトが出される構成オプションを説明します。以下に関する構成オプションが含まれています。

v 358ページの『Access Manager Runtime (LDAP)』

v 361ページの『Access Manager Runtime (Active Directory)』

v 365ページの『Access Manager Runtime (Domino)』

v 367ページの『install_amacld』

v 369ページの『install_amadk』

v 370ページの『install_amjrte』

v 371ページの『install_ammgr』

v 373ページの『install_amproxy』

v 374ページの『install_amrte』

v 375ページの『install_amwas』

v 377ページの『install_amweb』

v 380ページの『install_amwebadk』

v 383ページの『install_amwebars』

v 384ページの『install_amwls』

v 386ページの『install_amwpi_apache』

v 387ページの『install_amwpi_ihs』

v 388ページの『install_amwpi_iis』

v 389ページの『install_amwpi_iplanet』

v 390ページの『install_amwpm』

v 392ページの『install_ldap_server』


Access Manager Runtime (LDAP)表 13 には、LDAP レジストリーの使用時の Access Manager Runtime パッケージの構成オプションをリストします。このインストール・コンポーネントを必要とするTivoli Access Manager システムの構成時にこれらのオプションについてプロンプトが出されます。 153ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amrte インストール・ウィザードの使用時にもこれらのオプションについてプロンプトが出されます。

注: install_ammgr ウィザードを使用してポリシー・サーバーのインストール時にポリシー・サーバーのオプションについてはプロンプトが出されません。

表 13. Access Manager Runtime オプション — LDAP： * は必須オプションを示します。

構成オプションデフォルト値

レジストリー *

Tivoli Access Manager 用にセットアップされていたレジストリー・サーバーのタイプを指定することを選択します。デフォルト値は LDAP です。

IBM Global Security Kit のディレクトリー名(Windows の場合のみプロンプトが出される)

GSKit のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v AIX: /usr/opt/ibm/gsksa および/usr/opt/ibm/gskta

v HP-UX および Solaris: /opt/ibm/gsk7

v Linux: /usr/local/ibm/gsk7

v Windows: C:¥Program Files¥ibm¥gsk7

IBM Tivoli Directory Client のディレクトリー名(Windows の場合のみプロンプトが出される)

IBM Tivoli Directory Client のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v AIX および Linux: /usr/ldap

v HP-UX および Solaris: /opt/IBMldapc

v Windows: C:¥Program Files¥ibm¥LDAP

Access Manager Runtime のディレクトリー名(Windows の場合のみプロンプトが出される)

Access Manager Runtime のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v UNIX :/opt/PolicyDirector

v Windows: C:¥Program Files¥Tivoli¥Policy

Director

Tivoli Common Directory をロギングで使用可能にする

Tivoli Common Directory を使用可能にすることを選択します—トレース・ログおよびメッセージ・ログなどの、ファイルの保管のために Tivoli ソフトウェアを実行するシステム上のセントラル・ロケーション。

インストール・ウィザードのオプション


表 13. Access Manager Runtime オプション — LDAP (続き)： * は必須オプションを示します。

ディレクトリー名 *

インストールされた最初の Tivoli ソフトウェア製品のログ・ディレクトリーを指定します。

Tivoli Common Directory を最初に構成するときに、ログ・ファイルを常駐させたいディレクトリーを指定できます。後で、このディレクトリーを使用するための Tivoli ソフトウェアを構成できます。

Policy server ホスト名 *

ポリシー・サーバーの完全修飾ホスト名を指定します。以下に例を示します。

pdmgr.tivoli.com

Policy server SSL ポート *

ポリシー・サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、7135 です。

Policy server CA 証明書ファイルファイルは、ポリシー・サーバーから自動的にダウンロードまたはコピーできます。

ドメイン *ドメイン名を指定します。デフォルトは、Defaultで、管理ドメインを示します。

LDAP サーバーのホスト名 *LDAP サーバーが listen するポート番号を指定します。デフォルトのポート番号は、389 です。

LDAP サーバーのポート *

LDAP サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、636です。

レジストリー・サーバーを使用してSecure Sockets Layer (SSL) を使用可能にします。(Windows でのみプロンプトが出される)

SSL を使用可能にする必要があるかどうかを指定します。このオプションをお勧めします。

Windows でのみ、LDAP サーバーを使用して SSL を使用可能にできます。選択された場合、以下の 4 つの値についてプロンプトが出されます。

絶対パス付き SSL 鍵格納ファイル * ランタイム・システム上でクライアント LDAP 鍵データベース・ファイルが入っている完全修飾パス名を指定します。この鍵格納ファイルは、LDAP サーバーから入手する必要があります。注: SSL 証明書の署名者は、クライアントの鍵データベース内のトラステッド認証局として認識される必要があります。


第 22 章インストール・ウィザードのオプション 359

表 13. Access Manager Runtime オプション — LDAP (続き)： * は必須オプションを示します。

SSL 鍵格納ファイル・パスワード * クライアント LDAP 鍵データベース・ファイルのパスワードを指定します。

Tivoli Access Manager と一緒に出荷されるam_key.kdb ファイルには、key4ssl のデフォルトのパスワードがあります。

これらのデフォルトは、install_ldap_server プログラムを使用して IBM Tivoli Directory Server をインストールして構成する場合に、使用可能です。gsk7ikm ユーティリティーを使用してこのパスワードの変更を決定した場合、このデフォルトのパスワードを思い出さなければなりません。

証明書ラベルサーバーに送信されるクライアント証明書の、クライアント LDAP 鍵データベース・ファイル内のラベルを指定します。

このラベルが必要となるのは、SSL の確立時にクライアントの認証を要求するようにサーバーを構成する場合またはユーザーの鍵格納ファイルにあるデフォルトではない証明書を使用したい場合のみです。

典型的に、LDAP サーバーは、クライアントの .kdb

ファイルの作成時に指定されたサーバー・サイドの証明書のみを必要とします。SSL クライアント鍵格納ファイル・ラベルを必要としない場合、このフィールドはブランクのままにしておいてください。

SSL ポート * LDAP サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、636です。



Access Manager Runtime (Active Directory)表 14 には、Active Directory レジストリーの使用時の Access Manager Runtime コンポーネントの構成オプションをリストします。このインストール・コンポーネントを必要とする Tivoli Access Manager システムの構成時にこれらのオプションについてプロンプトが出されます。 153ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amrte インストール・ウィザードの使用時にもこれらのオプションについてプロンプトが出されます。

Active Directory ユーザーは、Tivoli Access Manager 製品で現在サポートされているすべての Windows および UNIX プラットフォーム (Windows NT を除く) でTivoli Access Manager を実行できます。

UNIX プラットフォームは、IBM Tivoli Directory Client を使用して Active

Directory と情報を受け渡します。ポリシー・サーバー・ドメインがローカル・ホスト名のドメインと異なる場合には、この LDAP クライアントも使用されます。

表 14. Access Manager Runtime オプション — Active Directory： * は必須オプションを示します。



Tivoli Access Manager 用にセットアップされていたレジストリー・サーバーのタイプを指定することを選択します — Active Directory。デフォルト値は LDAP です。

IBM Global Security Kit のディレクトリー名(Windows の場合のみプロンプトが出される)






IBM Tivoli Directory Client のディレクトリー名(Windows の場合のみプロンプトが出される)

IBM Tivoli Directory Client のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v AIX および Linux: /usr/ldap

v HP-UX および Solaris: /opt/IBMldapc

v Windows: C:¥Program Files¥ibm¥LDAP

Access Manager Runtime のディレクトリー名(Windows の場合のみプロンプトが出される)

Web Security Runtime のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v UNIX: /opt/PolicyDirector

v Windows: C:¥Program Files¥Tivoli¥Policy

Director



表 14. Access Manager Runtime オプション — Active Directory (続き)： * は必須オプションを示します。








pdmgr.tivoli.com




ドメイン *ドメイン名を指定します。デフォルトは、Defaultで、管理ドメインを示します。

ローカル・ホスト名 *プラグインが常駐するホスト・システムの完全修飾名を指定します。

Active Directory ホスト名 *

Active Directory ドメイン・コントローラー・サーバー名を指定します。以下に例を示します。

adserver.tivoli.com

Active Directory ドメイン *Active Directory ドメイン名を指定します。たとえば、次のようになります。dc=ibm,dc=com

複数の Active Directory ドメインに合わせて構成します。(Windows でのみプロンプトが出される)

使用可能ではありません

複数のドメインに合わせて構成することを選択します。そうでない場合、Tivoli Access Manager

は、単一ドメインに合わせて構成されます。(デフォルト値)

暗号化された接続を使用可能にします。(Windows でのみプロンプトが出される)


Active Directory サーバーへの接続でデータを暗号化するために Active Directory Service Interface

(ADSI) に Kerberos を使用することを指定します。この設定は、非 Windows 環境で SSL 接続を使用可能にすることと同等です。




Active Directory サーバーを使用してSecure Sockets Layer (SSL) を使用可能にします。(UNIX システム上にまたはポリシー・サーバーが構成されている Active

Directory ドメインに属しないシステム上にインストールする場合のみプロンプトが出されます)

暗号化された接続を使用可能にするかどうかを指定します。Tivoli Access Manager を UNIX システムにインストールする場合、このオプションをお勧めします。

この UNIX システムと Active Directory サーバーとの間の SSL 通信を使用可能にすることを選択する場合、以下の 4 つの値についてプロンプトが出されます。

絶対パス付き SSL 鍵格納ファイル * クライアント LDAP 鍵データベース・ファイルが入っている完全修飾パス名を指定します。この鍵格納ファイルは、LDAP サーバーから入手する必要があります。注: SSL 証明書の署名者は、クライアントの鍵データベース内のトラステッド認証局として認識される必要があります。






典型的に、LDAP サーバーは、クライアントの.kdb ファイルの作成時に指定されたサーバー・サイドの証明書のみを必要とします。SSL クライアント鍵格納ファイル・ラベルを必要としない場合、このフィールドはブランクのままにしておいてください。

SSL ポート LDAP サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、636 です。




Access Manager データ・ロケーションの識別名 *

Tivoli Access Manager データを保管したい識別名を指定します。たとえば、次のようになります。dc=ibm,dc=com デフォルト値は、Active Directory

ドメイン名です。



Access Manager Runtime (Domino)表 15 には、Domino レジストリー (Windows のみ) の使用時の Access Manager

Runtime コンポーネントの構成オプションをリストします。このインストール・コンポーネントを必要とする Tivoli Access Manager システムの構成時にこれらのオプションについてプロンプトが出されます。 153ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amrte インストール・ウィザードの使用時にもこれらのオプションについてプロンプトが出されます。

表 15. Access Manager Runtime オプション — Domino： * は必須オプションを示します。



Tivoli Access Manager 用にセットアップされていたレジストリー・サーバーのタイプを指定することを選択します —

Domino。デフォルト値は LDAP です。

IBM Global Security Kit のディレクトリー名

GSKit のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは次のとおりです。

C:¥Program Files¥ibm¥gsk7

Access Manager Runtime のディレクトリー名

Access Manager Runtime のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは次のとおりです。

C:¥Program Files¥Tivoli¥Policy Director








pdmgr.tivoli.com


ポリシー・サーバーが SSL 要求を listen

するポート番号を指定します。デフォルトのポート番号は、7135 です。


ドメイン *ドメイン名を指定します。デフォルトは、Default で、管理ドメインを示します。



表 15. Access Manager Runtime オプション — Domino (続き)： * は必須オプションを示します。

Domino Server 名 *

Domino Server の完全修飾名を指定します。以下に例を示します。

Domino/tivoli

Notes クライアント・パスワード *

このマシン上にあるアドミニストレーターの Notes ID ファイルに関連するパスワードを指定します。

Notes アドレス帳データベース名 * デフォルト値は、names.nsf です。

Tivoli Access Manager データベース名 *

Tivoli Access Manager のデータに関連するデータベース名を指定します。デフォルト値は、PDMdata.nsf です。



install_amacldTivoli Access Manager 許可サーバー・インストール・ウィザード (install_amacld)

は、最初にレジストリー・サーバーのタイプに基づいて、Access Manager Runtime

の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。




表 16 には、 121ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amacld ウィザードを使用してのインストール時にプロンプトが出されるその他のオプションをリストします。

表 16. install_amacld 構成オプション： * は必須オプションを示します。




pdmgr.tivoli.com




ドメイン *ドメイン名を指定します。デフォルトは、Default で、管理ドメインを示します。

アドミニストレーター ID *

管理ドメインのアドミニストレーターを指定します。デフォルトは、sec_master です。

Tivoli Access Manager アドミニストレーター・パスワード *

Tivoli Access Manager sec_master アドミニストレーターのためのパスワードを指定します。

ローカル・ホスト名 *許可サーバーが常駐するホスト・システムの完全修飾名を指定します。

管理要求ポート *管理要求ポートを指定します。デフォルトのポート番号は、7137 です。

許可要求ポート *許可要求ポート番号を指定します。デフォルトのポート番号は、7136 です。

UNIX でのみ、レジストリー・サーバーを使用して SSL を使用可能にできます。選択された場合、以下の 4 つの値についてプロンプトが出されます。

絶対パス付き SSL 鍵格納ファイル * ポリシー・プロキシー・サーバー上でクライアント LDAP 鍵データベース・ファイルが入っている完全修飾パス名を指定します。この鍵格納ファイルは、LDAP サーバーから入手する必要があります。注: SSL 証明書の署名者は、クライアントの鍵データベース内のトラステッド認証局として認識される必要があります。



表 16. install_amacld 構成オプション (続き)： * は必須オプションを示します。



これらのデフォルトは、install_ldap_server プログラムを使用してIBM Tivoli Directory Server をインストールして構成する場合に、使用可能です。gsk7ikm ユーティリティーを使用してこのパスワードの変更を決定した場合、このデフォルトのパスワードを思い出さなければなりません。



典型的に、LDAP サーバーは、クライアントの .kdb ファイルの作成時に指定されたサーバー・サイドの証明書のみを必要とします。SSL クライアント鍵格納ファイル・ラベルを必要としない場合、このフィールドはブランクのままにしておいてください。

SSL ポート * LDAP サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、636 です。



install_amadkTivoli Access Manager 開発 (ADK) システム・ウィザード (install_amadk) は、レジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。




ADK 固有の構成オプションはありません。



install_amjrte表 17 には、Tivoli Access Manager Java Runtime Environment システムに関する構成オプションの説明をリストします。 153ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amjrte インストール・ウィザードを使用しての構成時にこれらのオプションについてプロンプトが出されます。

表 17. install_amjrte 構成オプション： * は必須オプションを示します。









pdmgr.tivoli.com



JRE ディレクトリー *

Tivoli Access Manager 用に構成される Java

Runtime Environment のディレクトリーを指定します。



install_ammgrTivoli Access Manager ポリシー・サーバー・インストール・ウィザード(install_ammgr) は、最初にレジストリー・サーバーのタイプに基づいて、Access

Manager Runtime の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。




表 18 には、 111ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_ammgr ウィザードを使用してのインストール時にプロンプトが出されるその他のオプションをリストします。

注: UNIX または Windows プラットフォームにインストールするかどうかに応じて、リストされている順序とは異なる順序でこれらのオプションについてプロンプトが出されることがあります。

表 18. install_ammgr 構成オプション： * は必須オプションを示します。


Tivoli Access Manager アドミニストレーター・パスワード * (for sec_master)


パスワードの確認 *確認のため再度 sec_master パスワードを指定します。




SSL 証明書存続期間 (日数) *SSL 証明書ファイルが有効な日数を指定します。デフォルトの日数は、365 です。

SSL 接続タイムアウト (秒数) *

SSL 接続がタイムアウトする前に待機する期間 (秒単位) を指定します。デフォルトの秒数は、7200 です。

レジストリー・サーバーを使用して SSL を使用可能にできます。選択された場合、以下の4 つの値についてプロンプトが出されます。




表 18. install_ammgr 構成オプション (続き)： * は必須オプションを示します。








LDAP サーバーを使用して SSL を使用可能にする場合、以下の値についてもプロンプトが出されます。

LDAP アドミニストレーター DN * LDAP アドミニストレーターの識別名を指定します。デフォルトの名前は、cn=rootです。

LDAP アドミニストレーター・パスワード * LDAP アドミニストレーター DN に関連したパスワードを指定します。



install_amproxyTivoli Access Manager policy proxy server インストール・ウィザード(install_amproxy) は、最初にレジストリー・サーバーのタイプに基づいて、Access

Manager Runtime の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。




表 19 には、 145ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amproxy ウィザードを使用してのインストール時にプロンプトが出されるその他のオプションをリストします。

表 19. install_amproxy 構成オプション： * は必須オプションを示します。


アドミニストレーター ID *




ローカル・ホスト名 *

ポリシー・プロキシー・サーバーが常駐するホスト・システムの完全修飾名を指定します。

管理要求ポート *管理要求ポートを指定します。デフォルトのポート番号は、7137 です。

プロキシー要求ポート *許可要求ポート番号を指定します。デフォルトのポート番号は、7138 です。



install_amrteTivoli Access Manager ランタイム・システム・ウィザード (install_amrte) は、レジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。






install_amwas表 20 には、Tivoli Access Manager for WebSphere システムに関する構成オプションの説明をリストします。 153ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amwas インストール・ウィザードを使用しての構成時にこれらのオプションについてプロンプトが出されます。

注: インストール・ウィザードは、必須製品をインストールすると、検出して、再インストールしないようにします。

表 20. install_amwas 構成オプション： * は必須オプションを示します。

構成オプション説明:



pdmgr.tivoli.com




IBM WebSphere Application Server と一緒にインストールされ出荷された JRE のパスを指定します。-is:java_home オプションを使用してこのウィザードを実行する場合、java_home パスがデフォルトの JRE ディレクトリーになります。

Tivoli Access Manager for WebSphere

Application Server インストール・ディレクトリー

Tivoli Access Manager for WebSphere のインストール・ディレクトリーを指定します。デフォルトのディレクトリーを受け入れます。

リモート ACL ユーザー *

Tivoli Access Manager for WebSphere が許可検査を実行するために使用する Access Manager

Application ID を作成するために使用された名前を指定します。たとえば、次のようになります。pdpermadmin

sec_master パスワード *




pdmgr.tivoli.com

Policy Server ポート *


Authorization server ホスト名 *

Tivoli Access Manager for WebSphere が使用する許可サーバーのホスト名を指定します。このホスト名を WebSphere ホスト名と同じにすることをお勧めします。

Authorization server ポート番号 *

許可サーバーが SSL 要求を listen するポート番号を指定します。デフォルト値は 7136 です。



表 20. install_amwas 構成オプション (続き)： * は必須オプションを示します。

実行する構成のタイプ。構成のタイプを指定します。オプションは、all、local、または remote です。デフォルト値は all です。

この製品が WebSphere とパッケージングされている場合は、true に設定します。

インストール・ウィザードを使用してインストールする場合は、この値を必ず false に設定します。デフォルト値は false です。

インストールされている WebSphere

Application Server のバージョン。*

インストールされている WebSphere

Application Server のバージョンを指定します。選択できるのは、WAS5 および WAS4です。デフォルト値は WAS5 です。


Application Server インストール・ディレクトリー。

Tivoli Access Manager for WebSphere をインストールしたいディレクトリーを指定します。値がすでに入力済みです。

WebSphere Application Server インストール・ディレクトリー。*

WebSphere Application Server がインストールされるディレクトリーを指定します。この値は、WAS_HOME 環境変数と同じに設定する必要があります。

構成される JRTE プロパティー・ファイルへの URL。

Access Manager Java Runtime Environment

PdPerm.properties ファイルへの URL パスを指定します。

AMJRTE 鍵ストア・ファイルの URL。

ポリシー・サーバーおよび許可サーバーとの通信に内部的に使用される、Access Manager Java

Runtime Environment 鍵ストアへの URL パスを指定します。



install_amwebTivoli Access Manager WebSEAL インストール・ウィザード (install_amweb) は、最初にレジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。




表 21 には、 277ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amweb ウィザードを使用してのインストール時にプロンプトが出されるその他のオプションをリストします。

表 21. install_amweb 構成オプション： * は必須オプションを示します。


Web Security RTE ディレクトリー名(Windows でのみプロンプトが出される)


v Windows:

C:¥Program Files¥Tivoli¥PDWebRTE

v UNIX:

/opt/pdwebrte

WebSEAL ディレクトリー名(Windows でのみプロンプトが出される)

WebSEAL サーバーのインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v Windows:

C:¥Program Files¥Tivoli¥PDWeb

v UNIX:

/opt/pdweb

WebSEAL インスタンス名 *

この WebSEAL サーバーに接続するためにポリシー・サーバーが使用する完全修飾ホスト名を指定します。

論理ネットワーク・インターフェースの使用 *

論理ネットワーク・インターフェースを使用することを指定します。yes の場合、論理ネットワーク・インターフェースの IP

アドレスについてプロンプトが出されます。

WebSEAL ホスト名 *WebSEAL サーバーのホスト名を指定します。

Listening ポート *

WebSEAL サーバーが要求を listen するポート番号を指定します。デフォルトのポート番号は、7234 です。



表 21. install_amweb 構成オプション (続き)： * は必須オプションを示します。

アドミニストレーター Id *


アドミニストレーター・パスワード *












表 21. install_amweb 構成オプション (続き)： * は必須オプションを示します。


HTTP アクセス許可

HTTP アクセスを使用可能にするかどうかを指定します。選択した場合、HTTP ポート番号を指定する必要があります。HTTP

アクセスは、デフォルトでは使用可能になります。

HTTP ポート *HTTP ポートを指定します。デフォルトのポート番号は、80 です。

HTTPS アクセス許可

HTTPS アクセスを使用可能にするかどうかを指定します。選択した場合、HTTPS ポート番号を指定する必要があります。HTTPS

アクセスは、デフォルトでは使用可能になります。

HTTPS ポートHTTPS ポートを指定します。デフォルトのポート番号は、443 です。

Web 文書ルート・ディレクトリー *

デフォルトのディレクトリーは以下のとおりです。

v UNIX: /opt/pdweb/www-default/docs

v Windows: C:¥Progam

Files¥Tivoli¥PolicyDirector

¥PDWeb¥www-default¥docs



install_amwebadkTivoli Access Manager WebSEAL 開発 (ADK) システム・ウィザード(install_amwebadk) は、最初にレジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。




表 22 には、 267ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amwebadk ウィザードを使用してのインストール時にプロンプトが出されるその他のオプションをリストします。

表 22. install_amwebadk 構成オプション： * は必須オプションを示します。


Web Security RTE ディレクトリー名(Windows でのみプロンプトが出される)


v Windows:


v UNIX:

/opt/pdwebrte

WebSEAL ディレクトリー名(Windows でのみプロンプトが出される)

WebSEAL サーバーのインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v Windows:

C:¥Program Files¥Tivoli¥PDWeb

v UNIX:

/opt/pdweb

WebSEAL インスタンス名デフォルト

論理ネットワーク・インターフェースの使用 *

論理ネットワーク・インターフェースを使用するかどうかを指定します。yes の場合、論理ネットワーク・インターフェースの IP アドレスについてプロンプトが出されます。

WebSEAL ホスト名 * WebSEAL サーバーのホスト名を指定します。

Listening ポート *

WebSEAL サーバーが要求を listen するポート番号を指定します。デフォルトのポート番号は、7234 です。

アドミニストレーター Id *管理ドメインのアドミニストレーターを指定します。デフォルトは、sec_master です。



表 22. install_amwebadk 構成オプション (続き)： * は必須オプションを示します。

アドミニストレーター・パスワード *






これらのデフォルトは、install_ldap_serverプログラムを使用して IBM Tivoli Directory

Server をインストールして構成する場合に、使用可能です。gsk7ikm ユーティリティーを使用してこのパスワードの変更を決定した場合、このデフォルトのパスワードを思い出さなければなりません。



典型的に、LDAP サーバーは、クライアントの.kdb ファイルの作成時に指定されたサーバー・サイドの証明書のみを必要とします。SSL

クライアント鍵格納ファイル・ラベルを必要としない場合、このフィールドはブランクのままにしておいてください。


HTTP アクセス許可

HTTP アクセスを使用可能にするかどうかを指定します。選択した場合、HTTP ポート番号を指定する必要があります。HTTP アクセスは、デフォルトでは使用可能になります。



表 22. install_amwebadk 構成オプション (続き)： * は必須オプションを示します。

HTTP ポート番号 *HTTP ポートを指定します。デフォルトのポート番号は、80 です。

HTTPS アクセス許可

HTTPS アクセスを使用可能にするかどうかを指定します。選択した場合、HTTPS ポート番号を指定する必要があります。HTTPS アクセスは、デフォルトでは使用可能になります。

HTTPS ポート番号HTTPS ポートを指定します。デフォルトのポート番号は、443 です。

Web 文書ルート・ディレクトリー *








install_amwebars表 23 には、Tivoli Access Manager Attribute Retrieval Service システムに関する構成オプションの説明をリストします。 179ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amwebars インストール・ウィザードを使用しての構成時にこれらのオプションについてプロンプトが出されます。

表 23. install_amwebars 構成オプション： * は必須オプションを示します。

構成オプション説明:

IBM HTTP Server のディレクトリーIBM HTTP Server のインストール・ディレクトリーを指定します。たとえば、次のようになります。 C:¥Program Files¥IBMHTTPServer

WebSphere Application Server のディレクトリー

WebSphere Application のインストール・ディレクトリーを指定します。たとえば、次のようになります。c:¥Program

Files¥WebSphere¥AppServer

ノード名

管理に使用される WebSphere ノード名を指定します。この名前は、そのグループのノード(セル) 内で固有でなければなりません。ホスト名は、ユーザーのローカル・システムのDNS 名または IP アドレスです。

ローカル・ホスト名attribute retrieval service が常駐するホスト・システムの完全修飾名を指定します。

ローカル・アドミニストレーター ID

アドミニストレーター ID を指定します。これを使用してログオンします。(UNIX では、これは、cn=root です。)

ローカル・アドミニストレーター・パスワード

ローカル・アドミニストレーターのパスワードを指定します。

AM ARS のディレクトリー

Access Manager Attribute Retrieval Service のインストール・ディレクトリーを指定します。たとえば、次のようになります。c:¥Program Files¥Tivoli¥PDWebARS



install_amwls表 24 には、Tivoli Access Manager for WebLogic システムに関する構成オプションの説明をリストします。 221ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amwls インストール・ウィザードを使用しての構成時にこれらのオプションについてプロンプトが出されます。

表 24. install_amwls 構成オプション： * は必須オプションを示します。




pdmgr.tivoli.com

Policy server ポート番号 *

ポリシー・サーバーが要求を listen するポート番号を指定します。デフォルトのポート番号は、7135 です。

ディレクトリー名(Windows でのみプロンプトが出される)

Tivoli Access Manager for WebLogic のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v UNIX:

/opt/pdwls

v Windows:

c:¥Program Files¥Tivoli¥pdwls

リモート ACL ユーザー *

Tivoli Access Manager ユーザーを指定します。このユーザーは許可サーバー用に作成されます。

sec_master パスワード *




pdmgr.tivoli.com

Policy server ポート番号 *

ポリシー・サーバーが要求を listen するポート番号を指定します。デフォルトのポート番号は、7135 です。

Authorization server ホスト名 *Tivoli Access Manager 許可サーバー・ホスト名を指定します。

Authorization server ポート番号 *許可要求ポート番号を指定します。デフォルトのポート番号は、7136 です。

true に設定された場合、AMWLS5.1 コンソール拡張をデプロイします。

AMWLS5.1 コンソール拡張をデプロイするかどうかを指定します。デフォルト値はtrue です。



表 24. install_amwls 構成オプション (続き)： * は必須オプションを示します。

WebLogic ドメイン・アドミニストレーター*

WebLogic ドメインのアドミニストレーターを指定します。これに対して Tivoli Access

Manager は構成します。このユーザーは、WebLogic ドメインを作成すると、設定されます。

WebLogic ドメイン・アドミニストレーター・パスワード *

WebLogic ドメイン・アドミニストレーター・パスワードを指定します。

Access Manager for WebLogic Server インストール・ディレクトリーへのパス *

WebLogic Server インストール・ディレクトリーへのパスを指定します。デフォルトのディレクトリーは以下のとおりです。

v Windows:

c:¥Program Files¥Tivoli¥pdwls

v UNIX:

/opt/pdwls

WebLogic Admin Server の URL。

WebLogic Administration Server の URL を指定します。デフォルトの URL は次のとおりです。

t3://localhost:7001



install_amwpi_apachePlug-in for Apache Web Server のインストール・ウィザード(install_amwpi_apache) は、最初にレジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。



表 25 には、 204ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amwpi_apach ウィザードを使用してのインストール時にプロンプトが出されるその他のオプションをリストします。

表 25. install_amwpi_apache 構成オプション： * は必須オプションを示します。


Tivoli Access Manager アドミニストレーターID *




Apache Web Server 構成ファイルが含まれているディレクトリーへの絶対パス名 *

Web Server 構成ファイルが含まれているディレクトリーを指定します。たとえば、次のようになります。/usr/local/apache/conf



install_amwpi_ihsPlug-in for IBM HTTP Server のインストール・ウィザード (install_amwpi_ihs)

は、最初にレジストリー・サーバーのタイプに基づいて、Access Manager Runtime

の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。



表 26 には、 204ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amwpi_ihs ウィザードを使用してのインストール時にプロンプトが出されるその他のオプションをリストします。

表 26. install_amwpi_ihs 構成オプション： * は必須オプションを示します。






IBM HTTP Server 構成ファイルが含まれているディレクトリーへの絶対パス名 *

Web Server 構成ファイルが含まれているディレクトリーを指定します。たとえば、次のようになります。/usr/HTTPServer/conf



install_amwpi_iisPlug-in for Internet Information Services のインストール・ウィザード(install_amwpi_iis) は、最初にレジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。




表 27 には、 204ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amwpi_iis ウィザードを使用してのインストール時にプロンプトが出されるその他のオプションをリストします。

表 27. install_amwpi_iis 構成オプション： * は必須オプションを示します。


ディレクトリー名

Access Manager Web Security Runtime がインストールされるディレクトリー名を指定します。デフォルトのインストール・ディレクトリーは次のとおりです。


ディレクトリー名

Access Manager Web server plug-in for IIS

がインストールされるディレクトリー名を指定します。デフォルトのインストール・ディレクトリーは次のとおりです。

C:¥Program Files¥Tivoli¥PDWebPI







install_amwpi_iplanetPlug-in for Sun ONE Web Server のインストール・ウィザード(install_amwpi_iplanet) は、最初にレジストリー・サーバーのタイプに基づいて、Access Manager Runtime の構成オプションについてプロンプトを出します。これらの構成オプションの説明については、以下のいずれかを参照してください。



表 28 には、 204ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amwpi_iplanet ウィザードを使用してのインストール時にプロンプトが出されるその他のオプションをリストします。

表 28. install_amwpi_iplanet 構成オプション： * は必須オプションを示します。






Sun ONE Web Server 構成ファイルが含まれているディレクトリーへの絶対パス *

Web Server 構成ファイルが含まれているディレクトリーを指定します。たとえば、次のようになります。/usr/iplanet/servers



install_amwpm表 29 には、Tivoli Access Manager Web Portal Manager システムに関する構成オプションの説明をリストします。 161ページの『インストール・ウィザードを使用してインストールする』の指示のとおり、install_amwpm インストール・ウィザードを使用しての構成時にこれらのオプションについてプロンプトが出されます。

表 29. install_amwpm 構成オプション： * は必須オプションを示します。


IBM HTTP Server のディレクトリー名(Windows の場合のみプロンプトが出される)

IBM HTTP Server のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v AIX: /usr/HTTPServer

v Linux および Solaris: /opt/IBMHTTPServer

v Windows: c:¥Program Files¥IBMHttpServer

IBM WebSphere Application Server のディレクトリー名(Windows の場合のみプロンプトが出される)

IBM WebSphere Application Server のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v AIX: /usr/WebSphere/AppServer

v Linux および Solaris:

/opt/WebSphere/AppServer

v Windows: c:¥Program

Files¥WebSphere¥AppServer

ノード名 *

管理に使用される WebSphere ノード名を指定します。この名前は、そのグループのノード (セル) 内で固有でなければなりません。ホスト名は、ユーザーのローカル・システムの DNS 名または IP アドレスです。

ローカル・ホスト名 *Web Portal Manager が常駐するホスト・システムの完全修飾名を指定します。

ローカル・アドミニストレーター ID *

アドミニストレーター ID を指定します。これを使用してログオンします。(UNIX では、これは、cn=root です。)

ローカル・アドミニストレーター・パスワード *




pdmgr.tivoli.com

注: 構成時に二度このオプションを要求するプロンプトが出されます。


ポリシー・サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、7135 です。注: 構成時に二度このオプションを要求するプロンプトが出されます。



表 29. install_amwpm 構成オプション (続き)： * は必須オプションを示します。


Tivoli Access Manager 用に構成される Java

Runtime Environment のディレクトリーを指定します。

Policy server アドミニストレーター ID *管理ドメインのアドミニストレーターを指定します。デフォルトは、sec_master です。

Policy server アドミニストレーター・パスワード *




install_ldap_server表 30 には、IBM Tivoli Directory Server およびその前提条件ソフトウェアの構成オプションをリストします。UNIX または Windows プラットフォームにインストールするかどうかに応じて、リストされている順序とは異なる順序でこれらのオプションについてプロンプトが出されることがあります。

表 30. IBM Tivoli Directory Server のインストール


Global Security Kit ディレクトリー名(Windows でのみプロンプトが出される)






IBM DB2 ディレクトリー名(Windows でのみプロンプトが出される)

IBM DB2 インストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v AIX および Linux:

/usr/ldap/db2

v Solaris:

/opt/IBM/db2

v Windows:

C:¥Program Files¥IBM¥SQLLIB

IBM Tivoli Directory Server ディレクトリー名(Windows でのみプロンプトが出される)

IBM Tivoli Directory Server のインストール・ディレクトリーを指定します。デフォルトのディレクトリーは以下のとおりです。

v AIX および Linux:

/usr/ldap

v Solaris:

/opt/IBMldaps

v Windows:

C:¥Program Files¥IBM¥LDAP

DB2 アドミニストレーター ID *

インストール前に、DB2 データベース所有者 ID、たとえば、ldapdb2 (UNIX) またはdb2admin (Windows) を作成する必要があります。ガイドラインについては、 62ページの『プリインストールの要件』を参照してください。



表 30. IBM Tivoli Directory Server のインストール (続き)

DB2 アドミニストレーター・パスワード *DB2 アドミニストレーター ID のパスワードを指定します。

Directory server データベース・ホーム *

Windows では C:

UNIX では ldapdb2 ユーザーのホーム・ディレクトリー

DB2 データベース名 * amdb

アドミニストレーター ID * cn=root

アドミニストレーター・パスワード *アドミニストレーター ID のパスワードを作成します。

パスワードの確認 *

(Windows でのみプロンプトが出される)

確認のため再度アドミニストレーター ID

パスワードを指定します。

ユーザー定義サフィックス

ユーザーおよびグループ・データを保持するためのサフィックスを指定します。以下に例を示します。o=ibm,c=us

ローカル・ホスト名 *

(Windows でのみプロンプトが出される)

インストール・ウィザードは、ご使用のシステムのホスト名を検出して入力します。

LDAP server が常駐するホスト・システムの完全修飾名を指定します。

非 SSL ポート番号 *

LDAP サーバーが listen するポート番号を指定します。デフォルトのポート番号は、389 です。

SSL ポート番号 *

LDAP サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、636 です。

絶対パス付き SSL 鍵格納ファイル *

ハード・ディスクに自動的にコピーされます。プラットフォームに基づいた鍵格納ファイル・ロケーションがパネルに表示されます。このロケーションを受け入れることもまたは参照して異なる鍵格納ファイルのロケーションを指定することもできます。

SSL 証明書の署名者は、クライアントの鍵データベース内のトラステッド認証局として認識される必要があります。

SSL 鍵格納ファイル・パスワード *

SSL 鍵格納ファイルに関連したパスワードを指定します。key4ssl は、am_key.kdb

ファイルに関連したパスワードです。

SSL 鍵格納ファイル証明書ラベル

LDAP サーバーに送信される SSL 鍵格納ファイル証明書に関連するラベルを指定します。デフォルトの鍵格納ファイル証明書は、PDLDAP (am_key.kdb ファイルに関連する) です。



第 23 章 pdconfig オプション

このセクションでは、pdconfig ユーティリティーを使用する Tivoli Access

Manager コンポーネントの構成時にプロンプトが出されるオプションについて説明をリストします。 UNIX または Windows プラットフォームにインストールするかどうかに応じて、リストされている順序とは異なる順序でこれらのオプションについてプロンプトが出されることがあります。

構成を必要とする Tivoli Access Manager パッケージは、以下のとおりです。

v 396ページの『Access Manager Runtime — LDAP』

v 397ページの『Access Manager Runtime — Active Directory』

v 399ページの『Access Manager Runtime — Domino』

v 400ページの『Access Manager Attribute Retrieval Service』

v 401ページの『Access Manager Authorization Server』

v 402ページの『Access Manager Java Runtime Environment』

v 403ページの『Access Manager Plug-in for Edge Server』

v 404ページの『UNIX 上の Access Manager Plug-in for Web Servers』

v 406ページの『Windows 上の Access Manager Plug-in for Web Servers』

v 407ページの『Access Manager Policy Server』

v 408ページの『Access Manager Policy Proxy Server』

v 409ページの『Access Manager Web Portal Manager』

v 410ページの『Access Manager WebSEAL Server』


Access Manager Runtime — LDAP表 31 には、LDAP レジストリーを使用しての Access Manager Runtime パッケージの構成時にプロンプトが出されるオプションをリストします。

表 31. Access Manager Runtime 構成オプション - LDAP


ポリシー・サーバーはこのマシンにインストールされます

ポリシー・サーバーを同じマシンにインストールするかどうかを示します



レジストリー LDAP の選択項目を選択します。

LDAP サーバー・ホスト名 LDAP サーバーの完全修飾ホスト名を指定します。以下に例を示します。

ldapserver.tivoli.com

LDAP サーバー・ポート LDAP サーバーが listen するポート番号を指定します。デフォルトのポート番号は、389 です。

Tivoli Access Manager ポリシー・サーバーが Access Manager Runtime と同じシステムにインストールされていない場合、以下の 2 つの値についてプロンプトが出されます。

Policy server ホスト名ポリシー・サーバーの完全修飾ホスト名を指定します。以下に例を示します。

pdmgr.tivoli.com

Policy server SSL ポートポリシー・サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、7135 です。

ドメインドメイン名を指定します。デフォルトは、Defaultで、管理ドメインを示します。

pdcacert.b64 ファイルをポリシー・サーバーから自動的にダウンロードしますか?

Tivoli Access Manager ポリシー・サーバーを構成すると、pdcacert.b64 という名前のデフォルトのSSL 認証局ファイルが作成されます。Access

Manager Policy Server コンポーネントを正常に構成した後で、このファイルをユーザーのセキュア・ドメインの各マシンに配布する必要があります。

Tivoli Access Manager ランタイム・システムがTivoli Access Manager サーバーに認証するには、各ランタイム・システムにはこのファイルのコピーが必要になります。このファイルを入手するには、以下のいずれかをします。

v Access Manager Runtime パッケージの構成時に、pdcacert.b64 ファイルを自動的にダウンロードすることを選択します。

v Access Manager Runtime コンポーネントを構成する前に pdcacert.b64 ファイルを Tivoli

Access Manager システムに手動でコピーします。

pdconfig オプション


Access Manager Runtime — Active Directory表 32 には、Active Directory レジストリーを使用しての Access Manager Runtime

パッケージの構成時にプロンプトが出されるオプションをリストします。

表 32. Access Manager Runtime 構成オプション - Active Directory


Access Manager Policy Server のロケーションを指定します。「Access Manager PolicyServer は別のマシンにインストールされています」を選択した場合、以下の 2 つの値についてプロンプトが出されます。

ホスト名ポリシー・サーバーの完全修飾ホスト名を指定します。以下に例を示します。

pdmgr.tivoli.com

Listen ポートポリシー・サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、7135 です。

レジストリー Tivoli Access Manager レジストリーのタイプを指定します: Active Directory

複数の Active Directory ドメインに合わせて構成します


複数のドメインに合わせて構成することを選択します。そうでない場合、Tivoli Access Manager は、単一ドメインに合わせて構成されます。(デフォルト値)

Active Directory ホスト名 * Active Directory ドメイン・コントローラー・サーバー名を指定します。以下に例を示します。

adserver.tivoli.com

Active Directory ドメイン Active Directory ドメイン名を指定します。たとえば、次のようになります。dc=tivoli,dc=com

暗号化された接続を使用可能にします使用可能ではありません

Active Directory サーバーへの接続でデータを暗号化するために Active Directory Service Interface (ADSI)

に Kerberos を使用することを指定します。この設定は、非 Windows 環境で SSL 接続を使用可能にすることと同等です。

Windows 以外のシステムでは、この Tivoli Access Manager ランタイム・システムとActive Directory サーバーとの間で SSL 接続を使用可能にすることを選択できます。選択された場合、以下の 4 つの値についてプロンプトが出されます。

ポート番号 LDAP サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、636です。

絶対パス付き鍵格納ファイル暗号化された通信を使用可能にするときに作成したLDAP クライアント鍵格納ファイルを指定します。

証明書ラベル SSL クライアント証明ラベルを指定します。このフィールドには、任意の文字を入力する必要があります。クライアント・サイドの証明書認証をセットアップする必要がないため、指定する文字は無視されます。


第 23 章 pdconfig オプション 397

表 32. Access Manager Runtime 構成オプション - Active Directory (続き)


鍵格納ファイルのパスワードクライアント LDAP 鍵データベース・ファイルのパスワードを指定します。



Active Directory アドミニストレーター ID

100ページの『Active Directory 管理ユーザーを作成する』で作成したアドミニストレーター ID を指定します。

Active Directory アドミニストレーター・パスワード

Active Directory アドミニストレーター ID に関連するパスワードを指定します。

Access Manager データ・ロケーション識別名

Tivoli Access Manager データを保管したい識別名を指定します。たとえば、次のようになります。dc=tivoli,dc=com デフォルト値は、Active Directory

ドメイン名です。



ディレクトリー名インストールされた最初の Tivoli ソフトウェア製品のログ・ディレクトリーを指定します。


Active Directory をユーザーのレジストリーとして使用する場合、activedir.conf

ファイルが次のディレクトリーに作成されます。

%PD_INSTALL_DIR%¥etc

ここで、PD_INSTALL_DIR は、Tivoli Access Manager がインストールされるディレクトリーで、C:¥Program Files¥Tivoli¥Policy Director は、デフォルト・ディレクトリーです。



Access Manager Runtime — Domino表 33 には、Lotus Domino レジストリーを使用しての Access Manager Runtime パッケージの構成時にプロンプトが出されるオプションをリストします。

表 33. Access Manager Runtime 構成オプション - Domino 構成オプション


Access Manager Policy Server のロケーションを指定します。「Access Manager PolicyServer は別のマシンにインストールされています」を選択した場合、以下の 2 つの値についてプロンプトが出されます。

ホスト名ポリシー・サーバーの完全修飾ホスト名を指定します。以下に例を示します。

pdmgr.tivoli.com

Listen ポートポリシー・サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、7135 です。

レジストリー Tivoli Access Manager レジストリーのタイプを指定します: Domino

Domino Server 名 Domino Server の完全修飾名を指定します。以下に例を示します。

Domino/tivoli

レジストリー・サーバーを使用してSSL を使用可能にします

パネルの選択項目は、アクセス不能です。「次へ」をクリックして先へ進みます。

Notes クライアント・パスワードこのマシン上にあるアドミニストレーターの Notes

ID ファイルに関連するパスワードを指定します。

Access Manager データベース名 Tivoli Access Manager のデータに関連するデータベース名を指定します。デフォルト値は、PDMdata.nsf です。







Access Manager Attribute Retrieval Service表 34 には、Access Manager Attribute パッケージの構成時にプロンプトが出されるオプションをリストします。

表 34. Access Manager Attribute Retrieval Service


ノード名管理に使用される WebSphere ノード名を指定します。この名前は、そのグループのノード (セル) 内で固有でなければなりません。ホスト名は、ユーザーのローカル・システムの DNS 名または IP アドレスです。

ローカル・ホスト名 attribute retrieval service が常駐するホスト・システムの完全修飾名を指定します。

ローカル・アドミニストレーター ID アドミニストレーター ID を指定します。これを使用してログオンします。(UNIX では、これは、cn=root です。)

ローカル・アドミニストレーター・パスワード




Access Manager Authorization Server表 35 には、Access Manager Authorization Server パッケージの構成時にプロンプトが出されるオプションをリストします。

注: Access Manager Authorization Server パッケージを構成する前に Access

Manager Runtime パッケージを構成してください。

表 35. Access Manager Authorization Server 構成オプション


ドメインドメイン名を指定します。デフォルトは、Defaultで、管理ドメインを示します。この値を変更しないでください。

Policy server ホスト名このサーバーに接続するためにポリシー・サーバーが使用するホスト名を指定します。デフォルトは、ローカル・システムのホスト名です。

Policy server ポートポリシー・サーバーが要求を listen するポート番号を指定します。デフォルトのポート番号は、7135です。

Tivoli Access Manager アドミニストレーター (またはドメイン Default のアドミニストレーター ID)

管理ドメインのアドミニストレーターを指定します。デフォルトは、sec_master です。この値を変更しないでください。

パスワード Tivoli Access Manager アドミニストレーター(sec_master) パスワードを指定します。

ローカル・ホスト名許可サーバーが常駐するホスト・システムの完全修飾名を指定します。

管理要求ポート管理要求ポートを指定します。デフォルトのポートは、7137 です。

許可要求ポート許可要求ポート番号を指定します。デフォルトのポート番号は、7136 です。



Access Manager Java Runtime Environment表 36 には、Access Manager Java Runtime Environment パッケージの構成時にプロンプトが出されるオプションをリストします。

表 36. Access Manager Java Runtime Environment 構成オプション


構成タイプ現行 JRE 内で使用できるように Access Manager

Java Runtime Environment を構成するには、次の構成タイプを選択します。

Full: Select if Web Portal Manager を構成するかまたは Tivoli Access Manager セキュリティーを管理し使用するために Java アプリケーションを使用可能にする場合に選択します。

Stand-alone: Java ランタイム環境クラスを使用する開発者である場合選択します。ポリシー・サーバーの情報についてはプロンプトが出されません。

Tivoli Access Manager 用に構成するための Java Runtime Environment

(JRE) の絶対パス

IBM JRE 1.3.1 へのパスを指定します。以下に例を示します。

/usr/java131/jre

Web Portal Manager システムをインストールする場合、WebSphere Application Server と一緒にインストールした JRE を指定することを確認します。以下に例を示します。


Access Manager ポリシー・サーバー・マシンのホスト名


pdmgr.tivoli.com

Access Manager ポリシー・サーバー・マシンのポート番号


Access Manager Policy Server ドメイン情報

NULL







Access Manager Plug-in for Edge Server表 37 には、Access Manager Plug-in for Edge Server パッケージの構成時にプロンプトが出されるオプションをリストします。インストール・ウィザードは使用可能ではありません。

表 37. Access Manager plug-in for Edge Server 構成オプション


Web Traffic Express のポート Edge Server キャッシング・プロキシーのポート番号を指定します。デフォルトのポートは、80 です。

Tivoli Access Manager アドミニストレーター・ユーザー ID


Tivoli Access Manager アドミニストレーター・ユーザー ID パスワード


注: Windows システムで、この plug-in for an Active Directory レジストリー・サーバーの構成には、構成ツールが正常に実行するためにアドミニストレーター・パスワードを必要とします。



UNIX 上の Access Manager Plug-in for Web Servers表 38 には、UNIX プラットフォーム上の plug-in for Web Servers の構成オプションをリストします。

表 38. UNIX 上の Plug-in for Web Servers


Web server 構成ファイルが含まれているディレクトリーへの絶対パス名

(Sun ONE Web サーバーの場合、Sun

ONE Web サーバーのルート・インストール・ディレクトリーについてプロンプトが出されます。)

Web サーバーのデフォルトのインストール・パスが表示されます。このパスを受け入れるかまたは新しいパスを入力します。

保護される仮想ホストメニュー選択を入力するかまたは x を入力して終了します。

次の 3 つのオプションがあります。

v プラグインによって保護された仮想ホストを 1

つのみ必要とする場合には、表示されたリストの仮想ホストに関連する数値を入力します。

v 複数の仮想ホストを保護するには、表示されたリストの仮想ホストの位置に関連する値を入力します。入力した数値をスペースで区切ります。

v サーバー上の分かっているすべての仮想ホストをプラグインに保護させるためには all を入力します。

Tivoli Access Manager アドミニストレーター ID

管理ドメインのアドミニストレーターを指定します。デフォルトは、sec_master です。Active

Directory マルチ・ドメインの場合、これはsec_master@domain_name です。

Tivoli Access Manager アドミニストレーター ID パスワード


許可ポリシー更新を listen するポート番号

許可更新は、アプリケーション操作時に許可ポリシー・サーバーからのポリシー情報デルタ・パケットの転送です。許可更新を listen するためのポート番号を入力するかまたはデフォルト値 7237 を受け入れます。

UNIX 上の LDAP レジストリーの場合のみ、SSL 通信を使用可能にするかどうかについてプロンプトが出されます。

Tivoli Access Manager Plug-in for

Web Servers 許可サーバーと LDAP

サーバーとの間の SSL 通信を使用可能にします

Web サーバーとレジストリー・サーバーが同じセキュア・ネットワークにある環境では、SSL を使用可能にする必要はありません。Web サーバーとユーザーのレジストリーとの間で送信されたデータの保全性とセキュリティーが信頼できる場合には、SSL を使用しないことを選択すると、セキュリティー・オーバーヘッドを除去することによってネットワーク帯域幅が改善されます。

Tivoli Access Manager Plug-in for Web Servers 許可サーバーと LDAP サーバーとの間でSSL を使用可能にする場合、以下の 4 つの値についてプロンプトが出されます。



表 38. UNIX 上の Plug-in for Web Servers (続き)


LDAP SSL クライアント鍵格納ファイルのロケーション

/usr/ldap/lib/ldapkey.kdb

注: Tivoli Access Manager Plug-in for Web Servers

がポリシー・サーバーと同じマシンにインストールされ、SSL から LDAP で構成された場合、LDAP

クライアント・ファイルは共用できません。 UNIX

ファイルのアクセス許可は、無許可アクセスからファイルを保護する場合重要です。LDAP クライアント鍵格納ファイルは、アクセス許可がプラグイン・ユーザーがファイルへのアクセスを許す場合共用できます。

SSL クライアント証明ラベルサーバーに送信されるクライアント証明書の、クライアント LDAP 鍵データベース・ファイル内のラベルを指定します。


典型的に、LDAP サーバーは、クライアントの.kdb ファイルの作成時に指定されたサーバー・サイドの証明書のみを必要とします。SSL クライアント鍵格納ファイル・ラベルを必要としない場合、このフィールドはブランクのままにしておいてください。

LDAP SSL クライアント鍵格納ファイル・パスワード

クライアント LDAP 鍵データベース・ファイルのパスワードを指定します。



LDAP サーバー SSL ポート番号 LDAP サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、636です。



Windows 上の Access Manager Plug-in for Web Servers表 39 には、Windows プラットフォーム上の plug-in for Web Servers の構成オプションをリストします。

表 39. Windows 上の Plug-in for Web Servers


保護される仮想ホストリストから、保護される仮想ホストを示すことを選択します。

Tivoli Access Manager アドミニストレーター ID



Tivoli Access Manager アドミニストレーター ID パスワード


許可ポリシー更新を listen するポート番号

許可更新は、アプリケーション操作時に許可ポリシー・サーバーからのポリシー情報デルタ・パケットの転送です。許可更新を listen するためのポート番号を入力するかまたはデフォルト値 7237 を受け入れます。



Access Manager Policy Server注:

1. Access Manager Policy Server パッケージを構成する前に Access Manager

Runtime パッケージを構成するようにプロンプトが出されます。

2. ポリシー・サーバーは、Active Directory または Domino レジストリー・サーバーの場合 UNIX プラットフォーム上でサポートされません。

表 40. Access Manager Policy Server 構成オプション


Access Manager アドミニストレーター ID



Access Manager アドミニストレーター・パスワード

Tivoli Access Manager アドミニストレーター ID のパスワードを指定します。

確認パスワード確認のため再度 sec_master パスワードを指定します。

Policy server SSL ポートポリシー・サーバーが SSL 要求を listen するポート番号を指定します。デフォルトのポート番号は、7135 です。

SSL 証明書存続期間 SSL 証明書ファイルが有効な日数を指定します。デフォルトの日数は、365 です。

SSL 接続タイムアウト SSL 接続がタイムアウトする前に待機する期間 (秒単位) を指定します。デフォルトの秒数は、7200です。



Access Manager Policy Proxy Server表 41 には、Access Manager Policy Proxy Server パッケージの構成時にプロンプトが出されるオプションをリストします。

注: Access Manager Policy Proxy Server パッケージを構成する前に Access Manager

Runtime パッケージを構成してください。.

表 41. Access Manager Policy Proxy Server 構成オプション


Policy server ホスト名 * ポリシー・サーバーの完全修飾ホスト名を指定します。以下に例を示します。

pdmgr.tivoli.com

Policy Server ポート * ポリシー・サーバーが要求を listen するポート番号を指定します。デフォルトのポート番号は、7135です。

アドミニストレーター ID * 管理ドメインのアドミニストレーターを指定します。デフォルトは、sec_master です。Active


パスワード * Tivoli Access Manager アドミニストレーター ID のパスワードを指定します。

ローカル・ホスト名 * ポリシー・プロキシー・サーバーが常駐するホスト・システムの完全修飾名を指定します。以下に例を示します。

pdproxy.tivoli.com

管理要求ポート * 管理要求ポートを指定します。デフォルトのポートは、7139 です。

プロキシー要求ポート * プロキシー要求ポートを指定します。デフォルトのポートは、7138 です。



Access Manager Web Portal Manager表 42 には、Access Manager Web Portal Manager パッケージの構成時にプロンプトが出されるオプションをリストします。

表 42. Access Manager Web Portal Manager 構成オプション


Tivoli Access Manager アドミニストレーター


Tivoli Access Manager アドミニストレーターのパスワード




Access Manager WebSEAL Server表 43 には、Access Manager WebSEAL Server パッケージの構成時にプロンプトが出されるオプションをリストします。

注: Access Manager WebSEAL Server パッケージを構成する前に Access Manager

Runtime パッケージを構成してください。

表 43. Access Manager WebSEAL Server 構成オプション


WebSEAL インスタンス名この WebSEAL サーバーに接続するためにポリシー・サーバーが使用する完全修飾ホスト名を指定します。

論理ネットワーク・インターフェースの使用

論理ネットワーク・インターフェースを使用することを指定します。yes の場合、論理ネットワーク・インターフェースの IP アドレスについてプロンプトが出されます。

WebSEAL ホスト名 WebSEAL サーバーのホスト名を指定します。

WebSEAL listen ポート WebSEAL サーバーが要求を listen するポート番号を指定します。デフォルトのポート番号は、7234です。

アドミニストレーター ID 管理ドメインのアドミニストレーターを指定します。デフォルトは、sec_master です。

アドミニストレーターのパスワード Tivoli Access Manager sec_master アドミニストレーターのためのパスワードを指定します。

HTTP アクセス許可 (y/n) HTTP アクセスを使用可能にするかどうかを指定します。選択した場合、HTTP ポート番号を指定する必要があります。HTTP アクセスは、デフォルトでは使用可能になります。

HTTP ポート [80] HTTP ポートを指定します。デフォルトのポート番号は、80 です。ポートとの競合がある場合、構成がその競合を検出し、ポート番号を増分します。

セキュア HTTPS アクセス許可 (y/n) HTTPS アクセスを使用可能にするかどうかを指定します。選択した場合、HTTPS ポート番号を指定する必要があります。HTTPS アクセスは、デフォルトでは使用可能になります。

HTTPS ポート [443] HTTPS ポートを指定します。デフォルトのポート番号は、443 です。ポートとの競合がある場合、構成がその競合を検出し、ポート番号を増分します。

Web 文書ルート・ディレクトリー[opt/pdweb/www-default/docs]








第 24 章 Secure Sockets Layer を使用可能にする

ユーザーの LDAP サーバーと IBM Tivoli Access Manager ソフトウェアをサポートする IBM Tivoli Directory Clients との間で Secure Sockets Layer (SSL) 通信を使用可能にすることをお勧めします。

注: インストール・ウィザードを使用して IBM Tivoli Directory Server をインストールした場合、この章の説明をスキップしてもかまいません。install_ldap_server プログラムは、SSL を使用可能にするプロセスをステップ順に導きますが、同時に LDAP サーバーとその前提条件をインストールして構成します。

SSL 通信を使用可能にするには、最初に SSL をサーバーに構成して、次に SSL をIBM Tivoli Directory Client に構成します。SSL の構成時に、以下の認証タイプのいずれかを選択するようにプロンプトが出されます。

サーバー認証サーバーはその証明書をクライアントに送信し、クライアントはサーバーを認証します。

サーバーおよびクライアントの認証サーバーがその証明書をクライアントに送信してクライアントによって認証された後で、サーバーはクライアントの証明書を要求します。この場合、クライアント・システムのみならずサーバーについても証明書を確立する必要があります。

サーバー認証のみをインプリメントすることを選択した場合、ユーザーのサーバーおよび IBM Tivoli Directory Clients を SSL アクセス用に構成する必要があります。しかし、サーバーとクライアントの認証をインプリメントすることを選択した場合、SSL をサーバーに構成し、SSL をクライアントに構成して、次に 433ページの『LDAP サーバーとクライアント認証を構成する』の指示に従ってください。

本章に含まれる主なセクションは、以下のとおりです。

v 412ページの『IBM Tivoli Directory Server を SSL アクセス用に構成する』

v 417ページの『IBM z/OS および OS/390 セキュリティー・サーバーを SSL アクセス用に構成する』

v 420ページの『Microsoft Active Directory を SSL アクセス用に構成する』

v 422ページの『Novell eDirectory Server を SSL アクセス用に構成する』

v 426ページの『Sun ONE Directory Server を SSL アクセス用に構成する』

v 429ページの『IBM Tivoli Directory Client を SSL アクセス用に構成する』

v 433ページの『LDAP サーバーとクライアント認証を構成する』


IBM Tivoli Directory Server を SSL アクセス用に構成するTivoli Access Manager サーバーと LDAP サーバーとの間の通信を保護するためにSSL の使用を使用可能にできます。このステップは、LDAP サーバーと IBM Tivoli

Directory Client との間で最初に SSL 通信をセットアップしたときのみ実行する必要があります。

LDAP サーバーの構成時に LDAP サーバーへの SSL アクセスをすでに使用可能にした場合、クライアントとサーバーの鍵リング・ペアを SSL アクセスを使用するその他の各 Tivoli Access Manager システムにコピーする必要があります。

SSL アクセスがユーザーの LDAP サーバーによって必要とされる場合、GSKit を使用して SSL 鍵管理を実行します。GSKit には、gsk7ikm という名前のグラフィカル鍵管理ユーティリティーがあります。SSL を使用可能にするための gsk7ikmユーティリティーの使用方法のすべての指示については、「SSL Introduction and

iKeyman User’s Guide」を参照してください。

IBM Tivoli Directory Server で SSL アクセスを使用可能にするには、以下のセクションの指示をすべて実行してください。

v 412 ページの『鍵データベース・ファイルおよび証明書を作成する』

v 413 ページの『個人証明書を認証局から取得する』または 414ページの『自己署名証明書を作成して抽出する』

v 415ページの『SSL アクセスを使用可能にする』

鍵データベース・ファイルおよび証明書を作成するLDAP サーバーで SSL サポートを使用可能にするには、サーバーにはそれを識別する証明書があり、それを個人証明書として使用できなければなりません。この個人証明書は、クライアントがサーバーを認証できるようにするためにサーバーがクライアントに送信する証明書です。証明書および公開鍵と秘密鍵のペアは鍵データベース・ファイルに保管されています。ユーザーは、典型的に VeriSign などの、認証局から署名入り証明書を取得します。

その代わりに、ユーザーは自己署名入りの証明書を使用できます。ユーザーが自己署名入りの証明書を使用する場合、証明書を生成するシステムが認証局となります。

gsk7ikm ユーティリティーを使用して鍵データベース・ファイルと証明書を作成します。鍵データベース・ファイルと証明書 (自己署名または署名入りの) を作成するには、以下のステップに従ってください。

1. GSKit のサポートされるバージョンと gsk7ikm が、SSL を使用する LDAP

サーバーと任意の IBM Tivoli Directory Clients の両方にインストールされることを確認します。

2. 認証局 (CA) からの証明書または GSKit iKeyman ユーティリティーを使用してサポートされるレジストリー・サーバーと IBM Tivoli Directory Clients との間の SSL 通信を使用可能にすることをお勧めします。そうするには、以下のステップに従ってください。

SSL — IBM Tivoli Directory Server






3. 以下のデフォルトのディレクトリーのいずれかに入っている、gsk7ikm ユーティリティーを開始します。

システムパス

AIX /usr/lpp/ibm/gsk7/bin/gsk7ikm

HP-UX /opt/ibm/gsk7/bin/gsk7ikm

Linux /usr/local/ibm/gsk7/bin/gsk7ikm

Solaris /opt/IBM/GSK7/bin/gsk7ikm

Windows C:¥Program Files¥IBM¥gsk7¥bin¥gsk7ikm.exe

4. 新しい鍵データベース・ファイルを作成するには、「鍵データベース・ファイル」→「新規 (New)」を選択します。

5. CMS は選択した鍵データベース・タイプであることを確認します。

6. 鍵データベース・ファイルの場所の指定をしたい「ファイル名 (File Name)」フィールドおよび「ロケーション (Location)」フィールドに情報を入力して、「OK」をクリックします。鍵データベース・ファイルの拡張子は、.kdb です。

7. 鍵データベース・ファイルのパスワードを入力して、それを確認します。鍵データベース・ファイルを編集するときにこのパスワードが必要になるため、記憶しておいてください。

8. デフォルトの有効期限を受け入れるか、またはそれをユーザーの組織の要件に合わせて変更します。

9. パスワードをマスクして stash ファイルに保管したい場合には、「パスワードをファイルに隠す (Stash the password to a file)」を選択します。

鍵データベース・ファイルを使用するためにアプリケーションがパスワードを知る必要がないようにするために stash ファイルを一部のアプリケーションが使用できます。stash ファイルには、鍵データベース・ファイルと同じ場所と名前があって、拡張子 .sth を持っています。

10. 「OK」をクリックします。これによって鍵データベース・ファイルの作成が完了します。デフォルトの一連の署名者証明書があります。これらの署名者証明書は、デフォルトの認証局として認識されます。

個人証明書を認証局から取得する自己署名証明書の代わりに認証局からの証明書を使用する場合、証明書を認証局に要求して、完了後に受け取る必要があります。


第 24 章 SSL を使用可能にする 413

自己署名証明書を使用する場合、このセクションをスキップして、『自己署名証明書を作成して抽出する』に進みます。

証明書を要求して受け取るには、以下のステップに従ってください。

1. gsk7ikm を使用して証明書を認証局に要求し、次に新しい証明書を受け取ってユーザーの鍵データベース・ファイルに入れます。

2. 鍵データベース・ファイルの「個人証明書要求 (Personal CertificateRequests)」セクションをクリックします。

3. 「新規 (New)」をクリックします。

4. 認証局に送信できる要求を作成するには、情報をすべて入力して「OK」をクリックします。

5. 認証局から証明書が戻された後で、それをユーザーの鍵データベース・ファイルにインストールするには、「個人証明書 (Personal Certificates)」セクションをクリックして、次に「受け取る (Receive)」をクリックします。

6. LDAP サーバーの証明書が鍵データベース・ファイルに入った後で、SSL を使用可能にするように LDAP サーバーを構成します。

415ページの『SSL アクセスを使用可能にする』に進みます。

自己署名証明書を作成して抽出する413ページの『個人証明書を認証局から取得する』に説明したとおり、既知の認証局から証明書を取得した場合、このセクションをスキップして、 415ページの『SSL

アクセスを使用可能にする』に進んでください。

新しい自己署名証明書を作成して、それを鍵データベース・ファイルに保管するには、以下のステップに従ってください。

1. 「作成 (Create)」→「新規自己署名証明書 (New Self-Signed Certificate)」を選択します。

2. 鍵データベースでこの新しい証明書を識別するために GSKit が使用できる「鍵ラベル (Key Label)」フィールドに名前を入力します。たとえば、ラベルはLDAP サーバーのシステム名でもかまいません。

3. 「バージョン (Version)」フィールド (X509 V3) のデフォルトおよび「鍵サイズ (Key Size)」フィールドのデフォルトを受け入れます。

4. デフォルトのシステム名を受け入れるかまたはこの証明書の「共通名(Common Name)」フィールドに異なる識別名を入力します。

5. 会社名を「組織 (Organization)」フィールドに入力します。

6. オプションのフィールドがあればそのフィールドに入力するかまたはブランクのままにします。

7. 「国 (Country)」フィールドのデフォルトおよび for the 「有効期間 (ValidityPeriod)」の 365 を受け入れるかまたはユーザーの組織の要件に合わせてそれらを変更します。

8. 「OK」をクリックします。 GSKit は新しい公開鍵と秘密鍵のペアを生成して、証明書を作成します。

鍵データベース・ファイルに複数の個人証明書がある場合、GSKit は鍵をデータベースのデフォルトの鍵にしたいかどうかを照会します。いずれかの鍵をデ



フォルトとして受け入れることができます。デフォルトの証明書は、使用する証明書を選択するためのラベルが付いていないときの実行時に使用されます。

これによって LDAP サーバーの個人証明書の作成が完了します。これは、鍵データベース・ファイルの「個人証明書 (Personal Certificates)」セクションに表示されます。鍵管理ユーティリティーの中間のバーを使用して、鍵データベース・ファイルに保持された証明書のタイプ間で選択します。

また証明書は、鍵データベース・ファイルの「署名者証明書 (Signer

Certificates)」セクションに表示されます。鍵データベースの「署名者証明書(Signer Certificates)」セクションが表示されている場合、新しい証明書が入っていることを確認します。

次に、ユーザーの LDAP サーバーの証明書を Base64 エンコード ASCII データ・ファイルに抽出しなければなりません。

9. gsk7ikm を使用してユーザーの LDAP サーバーの証明書を Base64 エンコード ASCII データ・ファイルに抽出します。このファイルは、431 ページの『署名者証明書を追加する』で使用されます。

10. 作成したばかりの自己署名証明書を強調表示します。

11. 「証明書の抽出 (Extract Certificate)」をクリックします。

12. データ・タイプとして「Base64 エンコード ASCII データ (Base64-encodedASCII data)」をクリックします。

13. 新しく抽出した証明書の証明書ファイル名を入力します。証明書ファイルの拡張子は、通常 .arm です。

14. 抽出した証明書を保管したい場所を入力します。

15. 「OK」をクリックします。

16. この抽出した証明書を IBM Tivoli Directory Client システムにコピーします。

ここで、SSL を使用可能にするように LDAP サーバーを構成できます。『SSL アクセスを使用可能にする』に進みます。

SSL アクセスを使用可能にするSSL を使用可能にするように IBM Tivoli Directory Server を構成するには、以下のステップに従ってください。

1. IBM Tivoli Directory Server および管理デーモンが実行していることを確認します。サーバーを始動するには、以下のいずれかをします。

v UNIX システムで、ibmdirctl コマンドを使用します。

v Windows システムの場合、ibmdirctl コマンドを使用するか、または以下を行います。

a. 「スタート」→「設定」→「コントロールパネル」をクリックします。

b. 以下のいずれかをします。

– Windows NT システムで、「サービス」をクリックします。「IBMTivoli Directory V5.2」を選択して、「スタート」をクリックします。IBM Tivoli Directory Admin Daemon サービスの場合このステップを繰り返します。

– Windows 2000 システムで、「管理ツール」→「Services」をクリックします。「IBM Tivoli Directory V5.1」を右マウス・ボタン・クリックし



て、「スタート」をクリックします。IBM Tivoli Directory AdminDaemon サービスの場合このステップを繰り返します。


v SSL 通信を構成するには、次のコマンドを入力します。

ldapmodify -D Admin_DN -w admin_password -i filename

ここで、filename には以下が含まれます。

dn:cn=SSL,cn=Configurationchangetype:modifyreplace:ibm-slapdSecurityibm-slapdSecurity:SSL | none | SSLOnly-replace:ibm-slapdSslAuthibm-slapdSslAuth:serverauth | serverClientAuth-replace:ibm-slapdSslCertificateibm-slapdSslCertificate: ldapserv-replace:ibm-slapdSslKeyDatabaseibm-slapdSslKeyDatabase: /usr/ldap/etc/key.kdb

v ibmsladp.conf ファイルを編集して、以下を、次で始まるスタンザに追加します。

dn:cn=SSL,cn=Configuration

ibm-slapdSecurity:SSL | none | SSLOnlyibm-slapdSslAuth:serverauth | serverClientAuthibm-slapdSslCertificate: ldapservibm-slapdSslKeyDatabase: /usr/ldap/etc/key.kdb

3. 以下のように、IBM Tivoli Directory Server と管理デーモンの両方を停止します。


ibmdirctl -D ldap_admin -w ldap_pwd stopps -ef | grep ibmdiradmkill -9 pid_obtained_by_previous_command

v Windows システムでは、「スタート」→「設定」→「コントロールパネル」→「管理ツール」→「サービス」をクリックします。「IBM Tivoli DirectoryV5.2」右マウス・ボタン・クリックして、「停止」をクリックします。IBMTivoli Directory Admin Daemon サービスの場合このステップを繰り返します。

4. 以下のように、IBM Tivoli Directory Server と管理デーモンの両方を始動します。

v UNIX システムでは、次のように、ibmdirctl コマンドを使用して管理デーモンを始動し、次に ibmdirctl コマンドを使用してディレクトリー・サーバーを始動します。

ibmdiradmibmdirctl -D ldap_admin -w ldap_pwd start

v Windows システムでは、ibmdirctl コマンドを使用するか、または「スタート」→「設定」→「コントロールパネル」→「管理ツール」→「サービス」をクリックします。「IBM Tivoli Directory V5.2」右マウス・ボタン・クリックして、「スタート」をクリックします。IBM Tivoli Directory AdminDaemon サービスの場合このステップを繰り返します。



5. SSL が使用可能になっていることをテストするには、LDAP サーバーのコマンド行から次のコマンドを入力します。

ldapsearch -h ldaphost -Z -K keyfile -P key_pw -b "" -s base objectclass=*

ここで、

ldaphost

LDAP サーバーの DNS ホスト名を指定します。

keyfile_pwd

SSL 鍵データベース・ファイル (デフォルトの拡張子 .kdb を付けて)

の名前を指定します。鍵データベース・ファイルが現行のディレクトリーにない場合、完全修飾の鍵データベース・ファイル名を指定します。

key_pw 鍵格納ファイル・パスワードを指定します。このパスワードは、鍵データベース・ファイル内の暗号化された情報 (1 つ以上の秘密鍵を含んでいる場合があります) にアクセスする場合に必要になります。パスワード stash ファイルが鍵データベース・ファイルに関連している場合、そのパスワードはパスワード stash ファイルから取得され、-P オプションは必要ではありません。このオプションは、-Z または -K のいずれも指定されない場合には、無視されます。

ldapsearch コマンドは、LDAP ベース情報を戻します。これには、LDAP サーバーでのサフィックスが含まれます。

LDAP サーバー SSL のセットアップが完了です。

6. 次に、IBM Tivoli Directory Client を SSL アクセス用にセットアップします。429ページの『IBM Tivoli Directory Client を SSL アクセス用に構成する』に進みます。

IBM z/OS および OS/390 セキュリティー・サーバーを SSL アクセス用に構成する

Tivoli Access Manager および LDAP サービスが同じ保護ネットワーク上にない場合、LDAP サーバーと Tivoli Access Manager ソフトウェアをサポートするクライアントとの間の SSL 通信を使用可能にすることをお勧めします。このプロトコルには、各サーバーとクライアントとの間のセキュアで、暗号化された通信があります。Tivoli Access Manager は、認証と許可の決定を行う場合のプロセスの一部としてこれらの通信チャネルを使用します。

LDAP サーバーを用 OS/390 または z/OS で SSL 通信用に構成するには、OS/390

または z/OS のご使用の特定のリリースの「LDAP Server Administration and Use」マニュアルを参照してください。この資料は、次の Web アドレスにあります。


SSL サポートを LDAP 用に z/OS リリース 1.2 ～ 1.4 で使用可能にするのに以下のステップが必要になります。これらのステップでは、LDAP ディレクトリー・サーバーをインストールして構成し、z/OS Cryptographic Services System SSL をインストールし、STEPLIB、LPALIB、または LINKLIST を設定していることを想定しております。




1. サーバー認証のためにおよび、オプションとして、クライアント認証のためにSSL ポートで LDAP 要求を listen するように LDAP サーバーを構成します。『セキュリティー・オプションをセットアップする』を参照してください。

2. LDAP サーバーの秘密鍵およびサーバー証明書を生成し、それを鍵データベースでのデフォルトとしてマークと付けるかまたはそのラベルを sslCertificate 構成ファイル・オプションで使用します。鍵データベース・ファイルを作成するための gskkyman ユーティリティーの使用方法の例については、 419ページの『鍵データベース・ファイルを作成する』を参照してください。

3. LDAP サーバーを再始動します。

セキュリティー・オプションをセットアップするSSL の以下のオプションは、slapd.conf ファイルに設定できます。

listen ldap_URL

LDAP URL 形式で、IP アドレス (またはホスト名) および LDAP サーバーが着信クライアント要求を listen するポート番号を指定します。構成ファイルにこのパラメーターを複数回指定できます。

sslAuth {serverAuth | serverClientAuth}

SSL 認証方式を指定します。serverAuth 方式を使用すると、LDAP クライアントはクライアントとサーバー間の最初の接続で LDAP サーバーを検証できます。serverAuth 方式がデフォルトです。

sslCertificate {certificateLabel | none}

サーバー認証に使用される証明書のラベルを指定します。これは、鍵データベース・ファイルに保管されます。このファイルは、gskkyman ツールを使用して作成され、管理されます。

sslCipherSpecs int

クライアントから受け取る SSL 暗号仕様を指定します。

表 44. サポートされる暗号

暗号 16 進値 10 進値

SLAPD_SSL_RC4_MD5_US 0x0800 2048

SLAPD_SSL_RC4_SHA_US 0x0400 1024

SLAPD_SSL_TRIPLE_DES_SHA_US 0x0100 256

SLAPD_SSL_DES_SHA_EXPORT 0x0200 512

SLAPD_SSL_RC2_MD5_EXPORT 0x1000 4096

SLAPD_SSL_RC4_MD5_EXPORT 0x2000 8192

sslCipherSpecs キーワードで使用される整数値は、表 44 にある 16 進値によって定義される ORed ビット・マスクの 10 進表記です。たとえば、すべての使用可能な暗号を米国で使用する場合は、その値は 15104 にする必要があります。(売国以外では、すべての有効な暗号仕様は、12288 です。) この場合、これらの暗号のいずれかをサポートするクライアントは、サーバーとの SSL 接続を確立できるようになります。

SSL — z/OS および OS/390 サーバー


sslKeyRingFile filename

サーバーの SSL 鍵データベース・ファイルのパスとファイル名を指定します。gskkyman ツールを使用して、ファイル名は鍵データベース・ファイル名に一致する必要があります。

sslKeyRingFilePW string

SSL 鍵データベース・ファイルへのアクセスを保護するパスワードを指定します。パスワード・ストリングは、gskkyman ツールを使用して作成された鍵データベース・ファイルへのパスワードに一致する必要があります。

注: sslKeyRingFilePW 構成オプションはできるだけ使用しないようにしてください。代替として、RACF 鍵リング・サポートまたはsslKeyRingPWStashFile 構成オプションのいずれかを使用してください。これによって、構成ファイルからこのパスワードを除去します。

sslKeyRingPWStashFile filename

サーバーの鍵データベース・ファイルのパスワードが stash されるファイル名を指定します。このオプションがある場合には、この stash ファイルからのパスワードは、sslKeyRingFilePW 構成オプションがある場合には、このオプションを指定変更します。-s オプションを指定して gskkyman ユーティリティーを使用して、鍵データベース・パスワード stash ファイルを作成します。

鍵データベース・ファイルを作成する次の例では、gskkyman ユーティリティーを使用して鍵データベース・ファイルを作成する方法を示します。

1. 次のように、シェル・プロンプト (OMVS または rlogin セッション) からgskkyman ユーティリティーを開始します。

$ gskkyman

gskkyman ユーティリティーには、メニュー・ベースのインターフェースがあります。機能を実行するには、コマンド・プロンプトに実行したいオプションの番号を入力することによって、オプションを選択します。構成オプションを要求するプロンプトが出されます。続く各プロンプトの後で Enter を押します。

2. オプション 1 を入力して新しい鍵データベース・ファイルを作成します。

3. 鍵データベース名を入力するかまたはデフォルトを受け入れて (key.kdb)、Enterを押します。

4. 鍵データベースを保護するためのパスワードを作成します。

5. 確認のため、データベース・パスワードを再入力します。

6. パスワードの有効期限間隔を日数で入力するかまたはデフォルト (有効期限はありません) を受け入れます。

7. データベースのレコード長を入力するかまたはデフォルト (2500) を受け入れます。

鍵データベースが作成され、この操作の成否を示すメッセージが表示されます。

8. 「鍵管理 (Key Management)」メニューで、オプション 6 を選択して自己署名証明書を作成して、プロンプトに従います。



9. 証明書が作成された後で、LDAP クライアント・システムに送信しトラステッドCA 証明書として追加できるようにこの証明書を抽出する必要があります。そうするには、以下のステップに従ってください。

a. オプション 1 を選択して、鍵と証明書を管理します。

b. 「鍵および証明書 (Key and Certificate)」リストで、ラベル番号を入力します。

c. 「鍵および証明書 (Key and Certificate)」メニューで、オプション 6 を入力して証明書をファイルにエクスポートします。

d. 「ファイル形式のエクスポート (Export File Format)」ダイアログで、エクスポート形式を選択します。たとえば、オプション 1 を選択して、Binary

ASN.1 DER にエクスポートします。

証明書はエクスポートされます。ここで、エクスポートされたファイルをLDAP クライアント・システムに転送でき、トラステッド CA 証明書として追加できるようになります。binary DER のファイル形式がエクスポートで指定されたため、「追加 (Add)」操作を行うときに、この同じファイル・タイプを LDAP クライアント・システムで gsk7ikm ユーティリティーに指定する必要があります。

Microsoft Active Directory を SSL アクセス用に構成するActive Directory ドメインがセットアップされており、Tivoli Access Manager ポリシー・サーバーが Windows 2000 システムにインストールされ構成されていることを確認します。

証明書を Active Directory サーバーにエクスポートするCA 証明書を Active Directory サーバーにエクスポートするには、以下のステップに従ってください。

1. 独立したコンピューターのローカル・アドミニストレーター・セキュリティー・グループのメンバーとしてまたはドメインに接続されたコンピューターのドメイン・アドミニストレーターのセキュリティー・グループのメンバーのいずれかとしてログオンします。

2. 認証局 (CA) を Windows Server にインストールし、これがサーバー証明書をActive Directory サーバーにインストールします。そうするには、以下のステップに従ってください。

a. 「スタート」→「管理ツール」→「Certificate Authority」をクリックして「CA Microsoft 管理コンソール (MMC) GUI」を開きます。

b. CA マシンを強調表示し、右マウス・ボタン・クリックして CA の「プロパティー (Properties)」を選択します。

c. 「一般 (General)」メニューで、「証明書のビュー (View Certificate)」をクリックします。

d. 「詳細 (Details)」ビューを選択して、ウィンドウの右下隅の「ファイルへのコピー... (Copy to File...)」ボタンをクリックします。

e. Certificate Export Wizard を使用して CA 証明書をファイルに保管します。



注: CA 証明書を DER Encoded Binary X-509 形式または Based-64 Encoded

X-509 形式のいずれかで保管できます。

3. SSL が Active Directory サーバー (Windows 2000 または Windows 2003) で使用可能になっていることを確認するには、以下のステップに従ってください。

a. Windows 2000 サポート・ツール (Windows 2003 では Windows サポート・ツール) が Active Directory マシンにインストールされていることを確認します。suptools.msi セットアップ・プログラムは、ご使用の Windows CD の¥Support¥Tools¥ ディレクトリーにあります。

b. 以下のいずれかを選択します。

v Windows 2000 システムでは、「スタート」→「Windows 2000 SupportTools」→「Tools」→「Active Directory Administration Tool」を選択して、「ldp」ツールを開始します。

v Windows 2003 システムで、「スタート」→「Windows SupportTools」」→ Tools」→「Command Prompt」を選択して、「ldp」ツールを開始します。

c. 「ldp」ウィンドウで、「接続 (Connection)」→「接続 (Connect)」を選択して、ホスト名とポート番号 (636) を入力します。

注: Active Directory ドメイン・サーバー名を正しく入力することを確認します。

正常に行われている場合、Active Directory SSL 接続に関連する情報をリストするウィンドウが表示されます。接続が正常に行われていない場合、ご使用のシステムを再始動してこの手順を繰り返してください。

証明書を LDAP クライアント・システムにインポートする証明書を Active Directory サーバーにエクスポートした後で、暗号化された通信をセットアップする予定の Windows 以外の各 Tivoli Access Manager システムにその証明書をインポートする必要があります。そうするには、以下のステップに従ってください。

1. 以下のコンポーネントがご使用の Tivoli Access Manager システムにインストールされていることを確認します。

重要: この時点で Access Manager Runtime コンポーネントを構成しないでください。

v Global Security Kit (GSKit)

v IBM Tivoli Directory Client (LDAP クライアント)


2. iKeyman 鍵管理ユーティリティーをセットアップしたことを確認します。このユーティリティーは GSKit と一緒にインストールされます。説明については、291ページの『Global Security Kit をインストールする』の GSKit iKeyman ユーティリティーのセットアップに関する情報を参照してください。

3. 抽出した CA 証明書を Tivoli Access Manager システムにインストールします。

4. GSKit iKeyman ユーティリティーを使用して、鍵データベース・ファイルを作成して、Active Directory サーバーの CA 証明書をこの鍵格納ファイルにインポートします。インポートされた CA 証明書が、Active Directory サーバー・システムから抽出された CA 証明書ファイルを指していることを確認します。指示に

SSL — Microsoft Active Directory


ついては、 429ページの『IBM Tivoli Directory Client を SSL アクセス用に構成する』または「SSL Introduction and iKeyman User’s Guide」を参照してください。

5. 作成したばかりの鍵ファイルを持つ Active Directory サーバーへの SSL 接続をテストするには、Tivoli Access Manager システムで ldapsearch コマンドを使用します。説明については、『SSL アクセスを使用可能にする』を参照してください。

6. Tivoli Access Manager pdconfig ユーティリティーを使用して、Access Manager

Runtime コンポーネントを構成します。暗号化された接続を使用可能にするようにプロンプトが出されたら、「Yes」を選択します。構成オプションの説明については、 397ページの『Access Manager Runtime — Active Directory』を参照してください。

7. その他の Tivoli Access Manager コンポーネントが、Access Manager

Authorization Server または Web Portal Manager などの、このシステムにインストールされている場合、これらのコンポーネントをこの時点で構成してください。

SSL セットアップが完了しました。

SSL アクセスを使用可能にするクライアントの個人証明書を作成した認証局を Active Directory サーバーが認識した後で、LDAP クライアントで次のコマンドを使用して SSL アクセスをテストします。

ldapsearch -h AD_servername -s base -Z -K client_keyfile -P keyfile_pwd objectclass=*

コマンド変数は、以下のとおりです。

変数説明

AD_servername Active Directory サーバーの DNS ホスト名を指定します。

client_keyfile 生成したクライアント鍵格納ファイルの完全修飾パス名を指定します。

keyfile_pwd 生成した鍵格納ファイルのパスワードを指定します。

正常に行われている場合、Active Directory サーバー情報をリストするウィンドウが表示されます。接続が正常に行われていない場合、ご使用のシステムを再始動してこの手順を繰り返してください。

Novell eDirectory Server を SSL アクセス用に構成するSecure Socket Layer (SSL) によって、Tivoli Access Manager サービスと NDS

eDirectory との間で転送される、データが暗号化されてデータのプライバシーおよび保全性が提供されます。アドミニストレーターが SSL を使用可能にして、ユーザーのパスワードや専用データなどの、情報を保護することをお勧めします。しかし、

SSL — Microsoft Active Directory


Tivoli Access Manager が操作する場合、SSL は必要ありません。ユーザーの Tivoli

Access Manager 環境で、SSL が必要でない場合、このセクションをスキップしてください。

Tivoli Access Manager は、Novell eDirectory のみでサーバー・サイド認証をサポートします。Novell eDirectory サーバーを SSL 用に構成するには、ConsoleOne ツールがインストールされて以下のセクションが完了していることを確認します。

v 『組織の認証局オブジェクトを作成する』

v 424ページの『自己署名証明書を作成する』

v 424ページの『LDAP サーバー用のサーバー証明書を作成する』

v 425ページの『SSL を使用可能にする』

v 425ページの『自己署名 CA 証明書を IBM 鍵格納ファイルに追加する』

注: 詳しくは、次の Web アドレスにある Novell の製品資料を参照してください。

Novell eDirectory、バージョン 8.6.2 については、次の Web サイトを参照してください。


Novell eDirectory、バージョン 8.7 については、次の Web サイトを参照してください。


組織の認証局オブジェクトを作成するeDirectory のインストール時に、NDSPKI: 認証局オブジェクトがデフォルトで作成されます (ネットワークにまだ存在しない場合)。サブジェクト名 (オブジェクト名ではない) を有効な名前にすることが重要です。サブジェクト名には、Tivoli Access

Manager が有効と認識するための組織フィールドと国フィールドがなければなりません。デフォルトのサブジェクト名は、以下のとおりです。

0=organizational_entry_name.OU=Organizational CD

これは、有効な名前ではありません。それを変更するには、有効なサブジェクト名を使用して認証局オブジェクトを再作成する必要があります。そうするには、以下のステップに従ってください。

1. ConsoleOne を始動します。

2. 「セキュリティー (Security)」コンテナー・オブジェクトを選択します。ウィンドウの右側のペインにオブジェクトが表示されます。

3. 「組織上の CA (Organization CA)」オブジェクトを選択して、それを削除します。

4. 「セキュリティー (Security)」コンテナー・オブジェクトを再度右マウス・ボタン・クリックして、「新規 (New))」→「オブジェクト (Object)」をクリックします。

5. 「新規オブジェクト (New Object)」ダイアログのリスト・ボックスで、「NDSPKI: Certificate Authority」をダブルクリックします。「組織上の認証

SSL — Novell eDirectory Server




局オブジェクトの作成 (Create an Organizational Certificate Authority Object)」ダイアログが表示されます。オンラインの指示に従ってください。

6. ターゲット・サーバーを選択して、eDirectory オブジェクト名を入力します。以下に例を示します。

Host Server Field = C22Knt_NDS.AM

Object Name Field = C22KNT-CA

7. 「作成方式 (Creation Method)」で、「カスタム (Custom)」を選択して「次へ」をクリックします。

Novell eDirectory のインストールしたバージョンに応じて、2 つの追加の画面が表示されることがあります。「次へ」を二度クリックして先へ進みます。

8. デフォルトのサブジェクト名を受け入れるかまたは定義される認証局の有効な識別名を入力します。認証局によって生成されたすべての証明書はこの場所に入れられます。

9. 「組織上の認証局 (Organizational Certificate Authority)」が ConsoleOne にC22KNT-CA として表示されます。

自己署名証明書を作成する自己署名証明書を作成するには、以下をします。

1. 「組織上の認証局 (Organizational Certificate Authority)」(C22KNT-CA) のプロパティーに移動します。「プロパティ」ウィンドウが表示されます。

2. 「証明書 (Certificate)」タブを選択して、次にドロップダウン・メニューから「自己署名証明書 (Self Signed Certificate)」を選択します。

3. 証明書を検証します。

4. 証明書をエクスポートします。「証明書のエクスポート (Export a Certificate)」ウィンドウが表示されます。

5. デフォルト値を受け入れて、自己署名証明書を保管する場所を書き留めます。以下に例を示します。

c:¥c22knt¥CA-SelfSignedCert.der

6. Tivoli Access Manager ホスト・ディレクトリーにファイルを転送 (FTP) します。以下に例を示します。

c:¥Program Files¥Tivoli¥Policy Directory¥keytab

これはバイナリー・ファイルであることに注意してください。

LDAP サーバー用のサーバー証明書を作成するNovell eDirectory サーバー用のサーバー証明書を作成するには、以下のステップに従ってください。

1. LDAP サーバー用のサーバー証明書を作成するには、「組織 (Organization)」エントリーを右マウス・ボタン・クリックして、「新規 (New)」→「オブジェクト(Object)」をクリックします。「新規オブジェクト (New Object)」ウィンドウが表示されます。

2. 「NDSPKI: Key Material」を選択して、次に「OK」をクリックします。「サーバー証明書の作成 (Create Server Certificate)(Key Material)」ウィンドウが表示されます。



3. 証明書名 (たとえば、AM) を入力して、作成方式として「カスタム (Custom)」を選択して、「次へ」をクリックします。

4. 「認証局の指定 (Specify the Certificate Authority)」オプション (これは証明書に署名する) のデフォルト値を使用して、「次へ」をクリックします。

5. 鍵のサイズを指定し、他のすべてのオプションのデフォルト値を受け入れて、「次へ」をクリックします。

注: Novell eDirectory Version 8.6.2 のデフォルトの鍵のサイズは、1024 ビットです。バージョン 8.7 の場合は、2048 ビットです。

6. 「証明書パラメーターの指定 (Specify the Certificate Parameters)」ウィンドウで、「サブジェクト名 (Subject name)」フィールドの横の「編集 (Edit)」ボタンをクリックします。「サブジェクトの編集 (Edit Subject)」ウィンドウが表示されます。

7. サブジェクト名を入力して、「OK」をクリックします。「サーバー証明書の作成 (Create Server Certificate)(Key Material)」ウィンドウの「サブジェクト名(Subject name)」フィールドが更新されて表示されます。「次へ」をクリックして先へ進みます。

8. 以下のウィンドウのデフォルト値を受け入れて、「次へ」を二度クリックして「終了」をクリックして鍵データを作成します。

「証明書の作成 (Creating Certificate)」ウィンドウが一時的に表示されます。それを消去すると、 ConsoleOne の右ペインの AM という名前の「鍵データ (Key

Material)」エントリーが更新されます。これはサーバー証明書です。

SSL を使用可能にするSSL を Novell LDAP サーバー用に使用可能にするには、以下を行います。

1. ConsoleOne の右側ペインで、LDAP Server - hostname という名前のエントリーを見付けて、それを右マウス・ボタン・クリックします。

2. ドロップダウン・メニューで、「プロパティー」をクリックします。「プロパティー (Properties)」ノートブックで、「SSL 構成 (SSL Configuration)」タブを選択します。

3. 「SSL 証明書 (SSL Certificate)」フィールドの横の「ツリー検索 (Tree Search)」アイコンをクリックします。「SSL 証明書の選択 (Select SSL Certificate)」ウィンドウが表示されます。「SSL 証明書リスト (SSL Certificate List)」ペインに組織に認識される証明書が表示されます。

4. AM 証明書を選択して、「OK」をクリックします。「LDAP サーバーホスト名のプロパティー (Properties of LDAP Server- hostname)」ウィンドウの「SSL 証明書 (SSL Certificate)」フィールドが更新されて表示されます。

注: 「相互認証の使用可能および要求 (Enable and Require Mutual

Authentication)」は選択しないでください。

自己署名 CA 証明書を IBM 鍵格納ファイルに追加する自己署名 CA 証明書を Tivoli Access Manager サーバー上の IBM 鍵格納ファイルに追加するには、以下のステップに従ってください。

1. gsk7ikm ユーティリティーを開始します。「IBM Key Manager」ウィンドウが表示されます。



2. 「鍵データベース・ファイル (Key Database File)」→「新規 (New)」を選択します。「新規 (New)」ウィンドウが表示されます。

3. フィールドを以下の値に更新して、次に「OK」をクリックします。

Key database type: CMS key database fileFile name: key.kdbLocation: /var/PolicyDirector/keytabs

「パスワード・プロンプト (Password Prompt)」ウィンドウが表示されます。

4. パスワードを作成して、それを確認のため二度入力して、次に「OK」をクリックします。「IBM Key Manager」ウィンドウが表示され、「署名者証明書(Signer Certificates)」ダイアログが表示されます。

5. 「追加 (Add)」ボタンをクリックします。「ファイルからの CA の証明書の追加 (Add CA’s Certificate from a File)」ウィンドウが表示されます。以下のフィールドを更新して、次に「OK」をクリックします。

Data type: Binary der dataCertificate file name: <hostname>CA-SelfSignedCert.derLocation: /var/PolicyDirector/keytabs

「署名者証明書 (Signer Certificates)」ダイアログは、AM という名前の証明書で更新されています。

Sun ONE Directory Server を SSL アクセス用に構成するSSL によって Tivoli Access Manager サービスと Sun ONE Directory Server との間で転送される、データが暗号化されてデータのプライバシーおよび保全性が提供されます。アドミニストレーターが SSL を使用可能にして、ユーザーのパスワードや専用データなどの、情報を保護することをお勧めします。しかし、Tivoli Access

Manager が操作する場合、SSL は必要ありません。

この手順は、Sun ONE Directory Server と IBM Tivoli Directory Clients との間で最初に SSL 通信をセットアップしたときのみ実行する必要があります。SSL 通信を使用可能にするには、Sun ONE Directory Server および IBM Tivoli Directory

Clients の両方を構成する必要があります。

Sun ONE Directory Server で SSL アクセスを使用可能にすることについては、次のWeb アドレスの Sun 資料を参照してください。


以下のセクションの指示をすべて実行してください。

v 426 ページの『サーバー証明書を取得する』

v 428ページの『サーバー証明書をインストールする』


サーバー証明書を取得するSSL サポートを使用可能にするには、Sun ONE Directory Server には、その ID をクライアント・システムに証明する証明書が必要になります。サーバーは、クライアントがサーバーを認証できるようにするために証明書をクライアントに送信します。この証明書は、Server-Cert と呼ばれます。




Sun ONE Console 5.1 および Certificate Setup Wizard を使用して、次のように、Server-Cert を設定します。

1. Sun ONE Server Console 5.2 を始動します。

2. 「Sun ONE Server コンソール・ログイン (Sun ONE Server Console Login)」ダイアログで、アドミニストレーター・ユーザー ID、パスワード、およびそのディレクトリー・サーバーの Admin Server の URL を入力します。

3. Tivoli Access Manager が使用するドメインを選択します。

4. サーバー名を展開します。

5. 「サーバー・グループ (Server Group)」を展開します。

6. 「Directory Server」というラベルのエントリーを選択します。

Sun ONE Directory Server に関する構成情報が表示されます。

7. 「開く (Open)」をクリックします。 Sun ONE Directory Server にアクセスします。

8. 「構成 (Configuration)」タブをクリックします。

9. 「暗号化 (Encryption)」タブをクリックします。

10. 「このサーバーのために SSL を使用可能にする (Enable SSL for thisserver)」チェック・ボックスが選択されていないことを確認します。

11. 「タスク (Tasks)」タブをクリックし次に「証明書の管理 (ManageCertificates)」をクリックします。

注: 証明書の秘密鍵が、トークンと呼ばれる内部セキュリティー・デバイスに保管されます。トークンはパスワードで保護されます。「証明書の管理(Manage Certificates)」ボタンを最初にクリックすると、このトークンのパスワードを作成するようにプロンプトが出されます。

12. セキュリティー・パスワードを二度入力して、次に「OK」をクリックします。「証明書の管理 (Manage Certificates)」ウィンドウが表示されます。

13. 「セキュリティー・デバイス (Security Device)」プルダウンで、「内部 (ソフトウェア) (internal (software))」が選択されており、「Server Certs」タブが選択されていることを確認します。

14. ウィンドウの下部の「要求 (Request)」ボタンをクリックします。「認証要求ウィザード (Certificate Request Wizard)」パネルが表示されます。

15. 「証明書の手動で要求 (Request certificate manually)」ボタンが選択されていることを確認して、「次へ」をクリックします。

16. 要求者の情報を入力して、次に「次へ」をクリックします。すべてのフィールドに入力されていることを確認します。プロンプトが出されたら、「Yes」をクリックします。

17. 「アクティブ暗号化トークン (Active Encryption token)」フィールドに「内部 (ソフトウェア) (internal (software))」が入っていることを確認します。

18. セキュリティー・デバイス・パスワードを入力して、次に「次へ」をクリックします。

19. 認証要求をファイルに保管するには、「ファイルに保管 (Save to File)」をクリックします。要求をクリップボードにコピーするには、「クリップボードにコピー (Copy to Clipboard)」をクリックします。次に「完了」をクリックして要求を完了します。

SSL — Sun ONE Directory Server


20. 要求を E メールするかまたは保管ファイルに付加して、要求を認証局のアドミニストレーターに送信します。

サーバー証明書をインストールする証明書を認証局から受け取った後で、以下のステップを完了することによってそれをインストールします。

1. Sun ONE Server Console 5.2 を開きます。

2. 「タスク (Tasks)」タブをクリックし次に「証明書の管理 (ManageCertificates)」をクリックします。

3. 「Server Certs」が選択されていることを確認して、次に「インストール(Install)」をクリックします。


v 証明書をファイルからインストールするには、「このローカル・ファイルに(In this local file)」を選択します。

v テキストをウィンドウに貼り付けるには、「次のエンコード化テキスト・ブロックに (In the following encoded text block)」を選択して、次に「クリップボードから貼り付け (Paste from Clipboard)」をクリックします。

5. 「次へ」をクリックします。

6. 証明書情報が正しいことを確認して、「次へ」をクリックします。

7. 「この証明書に名前を付ける (This certificate will be named)」フィールドに、証明書名を入力するかまたはデフォルト名、server-cert を入力して、「次へ」をクリックします。

8. トークン・パスワードを入力して、「完了」をクリックします。プロセスが正常に実行された場合、「証明書の管理 (Manage Certificate)」パネルが表示され、サーバーの証明書名が「Server Certs」タブの下に表示されます。

9. 429ページの『SSL アクセスを使用可能にする』に進みます。



SSL アクセスを使用可能にするCertificate Setup Wizard を終了すると、次に示すように、「暗号化 (Encryption)」タブに戻ります。

1. 「SSL をこのサーバーのために使用可能にする (Enable SSL for thisserver)」を選択します。

2. 「暗号ファミリーの使用 (Use the cipher family;RSA)」を選択します。

3. 証明書に基づいたクライアント認証を必要としない場合、「クライアント認証を許可しない (Do not allow client authentication)」を選択します。

4. 「保管 (Save)」をクリックします。

5. 変更内容を有効にするために Sun ONE Directory Server を再始動します。

注: サーバーを始動するたびにトラステッド・データベース・パスワードを入力しなければなりません。

SSL は、Sun ONE Directory Server で使用可能になっています。次に、Sun

ONE Directory Server に対して LDAP クライアントとして機能する IBM Tivoli

Directory Client システム上で SSL を使用可能にする必要があります。

429 ページの『IBM Tivoli Directory Client を SSL アクセス用に構成する』を参照してください。

IBM Tivoli Directory Client を SSL アクセス用に構成するSSL アクセス用に LDAP クライアントをセットアップする前に SSL アクセス用にLDAP サーバーを最初にセットアップする必要があります。SSL アクセス用にご使用のサーバーを構成していない場合には、以下のいずれかの指示に従ってください。



v 412ページの『IBM Tivoli Directory Server を SSL アクセス用に構成する』

v 426ページの『Sun ONE Directory Server を SSL アクセス用に構成する』

v 422ページの『Novell eDirectory Server を SSL アクセス用に構成する』

v 417ページの『IBM z/OS および OS/390 セキュリティー・サーバーを SSL アクセス用に構成する』

サーバーの鍵データベース・ファイルを作成する場合と同様、鍵データベース・ファイルをクライアント・システムに作成する必要があります。クライアントがLDAP サーバーを認証する場合、クライアントは、LDAP サーバーの証明書を作成した認証局 (署名者) を認識する必要があります。LDAP サーバーが自己署名証明書を使用している場合、クライアントは LDAP サーバーの証明書をトラステッド・ルート (認証局) として生成したシステムを認識できるようになっている必要があります。

LDAP クライアントを SSL アクセス用に LDAP サーバーに構成するには、以下のセクションの指示をすべて実行してください。

v 430 ページの『鍵データベース・ファイルを作成する』

v 431ページの『署名者証明書を追加する』


鍵データベース・ファイルを作成するgsk7ikm ユーティリティーを使用して鍵データベース・ファイルを作成します。鍵データベース・ファイルを作成するには、以下のステップに従ってください。

1. GSKit と gsk7ikm ユーティリティーが、SSL を使用する LDAP サーバーと任意の LDAP クライアントの両方にインストールされることを確認します。


システムパス




Solaris /opt/IBM/gsk7/bin/gsk7ikm


3. 新しい鍵データベース・ファイルを作成するには、「鍵データベース・ファイル」→「新規 (New)」を選択します。

4. CMS 鍵データベース・ファイルは選択した鍵データベース・タイプであることを確認します。

5. 鍵データベース・ファイルの場所の指定をしたい「ファイル名 (File Name)」フィールドおよび「ロケーション (Location)」フィールドに情報を入力します。鍵データベース・ファイルの拡張子は、.kdb です。


7. 鍵データベース・ファイルのパスワードを入力して、それを確認します。

SSL — IBM Tivoli Directory Client


鍵データベース・ファイルを編集するときにこのパスワードが必要になるため、記憶しておいてください。




10. 「OK」をクリックします。これによって鍵データベース・ファイルの作成が完了します。デフォルトの一連の署名者証明書があります。これらの署名者証明書は、デフォルトの認証局として認識されます。

クライアントが LDAP サーバーを認証できるようにするためには、クライアントは、LDAP サーバーの証明書を作成した認証局 (署名者) を認識する必要があります。LDAP サーバーが自己署名証明書を使用している場合、クライアントは LDAP サーバーの証明書をトラステッド・ルート (認証局) として生成したシステムを認識できるようになっている必要があります。

11. 鍵データベース・ファイルを作成した後で、鍵データベース・ファイルのファイル所有権を ivmgr に変更します。ファイル所有権の変更には適切なオペレーティング・システム・コマンドを使用してください。たとえば、UNIX システムで、次のコマンドを入力します。

# chown ivmgr keyfile

署名者証明書を追加する鍵データベース・ファイルが作成された後で署名者証明書を追加するには、以下のステップに従ってください。

1. LDAP サーバーの自己署名証明書を使用している場合、 414ページの『自己署名証明書を作成して抽出する』で鍵データベース・ファイルから抽出された証明書がクライアント・システムにコピーされていることを確認します。コピーされていない場合には、直ぐコピーしてください。そうしない場合、ご使用のLDAP サーバーの証明書を作成した認証局の証明書があることを確認します。

2. クライアントの CMS 鍵データベース・ファイルの「署名者証明書 (SignerCertificates)」セクションをクリックします。

3. 「追加」をクリックします。

4. データ・タイプとして「Base64 エンコード ASCII データ (Base64-encodedASCII data)」を受け入れます。

5. 証明書のファイル名とその場所を示します。証明書ファイルの拡張子は、通常.arm です。


7. 追加中の署名者証明書のラベルを入力します。たとえば、ラベルに LDAP サーバーのシステム名を使用できます。LDAP サーバーの証明書が認証局によって作成された場合、認証局の名前をラベルとして使用できます。

8. 「OK」をクリックします。証明書は、署名者証明書としてクライアントの鍵データベースに表示されます。



9. 新たに追加した署名者証明書を強調表示して、「ビュー/編集 (View/Edit)」をクリックします。

10. 「トラステッド・ルートとして証明書を設定 (Set the certificate as atrusted root)」が選択されて、証明書がトラステッド・ルートとマークされていることを確認します。

LDAP サーバーの証明書が正規の認証局によって生成された場合、その認証局が署名者証明書としてリストされており、トラステッド・ルートとしてマークされていることを確認してください。そうなっていない場合、認証局の証明書を署名者証明書として追加して、それがトラステッド・ルートであることを示します。

クライアントは、ここで LDAP サーバーと SSL セッションを確立できるようになっています。

SSL アクセスを使用可能にするSSL が使用可能になっていることをテストするには、LDAP クライアントで次のコマンドを入力します。

ldapsearch -h servername -Z -K client_keyfile -P keyfile_pwd-b "" -s base objectclass=*


変数説明

servername LDAP サーバーの DNS ホスト名を指定します。

client_keyfile 生成したクライアント鍵格納ファイルの完全修飾パス名を指定します。

keyfile_pwd 生成した鍵格納ファイルのパスワードを指定します。

このコマンドは、LDAP ベース情報を戻します。これには、LDAP サーバーでのサフィックスが含まれます。

412ページの『IBM Tivoli Directory Server を SSL アクセス用に構成する』でのLDAP サーバーの構成時に「サーバー認証 (Server Authentication)」または「サーバーおよびクライアント認証 (Server and Client Authentication)」のいずれかの認証方式を選択します。

v 「サーバー認証 (Server Authentication)」を選択した場合、SSL セットアップが完了しました。

v 「サーバーおよびクライアント認証 (Server and Client Authentication)」を選択した場合には、 433ページの『LDAP サーバーとクライアント認証を構成する』に進みます。



LDAP サーバーとクライアント認証を構成する415ページの『SSL アクセスを使用可能にする』の説明のとおり、SSL アクセスを使用可能にするように LDAP サーバーを構成したときに、「サーバー認証 (ServerAuthentication)」または「サーバーおよびクライアント認証 (Server and ClientAuthentication)」のいずれを選択するかについてプロンプトが出されました。

「サーバー認証 (Server Authentication)」を選択した場合、SSL 構成が完了しました。

「サーバーおよびクライアント認証 (Server and Client Authentication)」を選択した場合には、クライアント・システムの証明書を設定することが必要になります。この方式の認証では、サーバーがクライアントの証明書を必要とし、それを使用してクライアントの ID を認証します。

クライアント・システムの証明書を設定するには、以下のセクションの指示をすべて実行してください。

v 433 ページの『鍵データベース・ファイルを作成する』

v 434ページの『個人証明書を認証局から取得する』

v 435ページの『自己署名証明書を作成して抽出する』

v 436ページの『署名者証明書を追加する』


鍵データベース・ファイルを作成するクライアントの鍵データベース・ファイルをまだ作成していない場合には、gsk7ikm ユーティリティーを使用して鍵データベース・ファイルと証明書を作成します。鍵データベース・ファイルをすでに作成して場合には、 434ページの『個人証明書を認証局から取得する』に進みます。

鍵データベース・ファイルと証明書 (自己署名または署名入りの) を作成するには、以下のステップに従ってください。

1. GSKit と gsk7ikm ユーティリティーが、SSL を使用する LDAP サーバーと任意のクライアントの両方にインストールされることを確認します。


システムパス





Windows C:¥Program Files¥IBM¥gsk7¥bin¥ gsk7ikm.exe

3. 「鍵データベース・ファイル (Key Database File)」→「新規 (New)」を選択します。

4. CMS 鍵データベース・ファイルは選択した鍵データベース・タイプであることを確認します。

SSL — サーバーとクライアント認証


5. 鍵データベース・ファイルの場所の指定をしたい「ファイル名 (File Name)」フィールドおよび「ロケーション (Location)」フィールドに情報を入力します。鍵データベース・ファイルの拡張子は、.kdb です。


7. 鍵データベース・ファイルのパスワードを入力して、それを確認します。鍵データベース・ファイルを編集するときにこのパスワードが必要になるため、記憶しておいてください。





これによって鍵データベース・ファイルの作成が完了します。デフォルトの一連の署名者証明書があります。これらの署名者証明書は、デフォルトの認証局として認識されます。

11. 鍵データベース・ファイルを作成した後で、鍵データベース・ファイルのファイル所有権を ivmgr に変更します。ファイル所有権の変更には適切なオペレーティング・システム・コマンドを使用してください。たとえば、UNIX システムで、次のコマンドを入力します。

# chown ivmgr keyfile

個人証明書を認証局から取得する自己署名証明書の代わりに認証局からの証明書 (VeriSign などの) を使用する場合、証明書を認証局に要求して、完了後に受け取る必要があります。

自己署名証明書を使用する場合、このセクションをスキップして、 435ページの『自己署名証明書を作成して抽出する』に進みます。

証明書を要求して受け取るには、以下のステップに従ってください。

1. gsk7ikm を使用して証明書を認証局に要求し、次に新しい証明書を受け取ってユーザーの鍵データベース・ファイルに入れます。

2. 鍵データベース・ファイルの「個人証明書要求 (Personal CertificateRequests)」セクションをクリックします。

3. 「新規 (New)」をクリックします。

4. 認証局に送信できる要求を作成するには、情報をすべて入力して「OK」をクリックします。

5. 認証局から証明書が戻された後で、それをユーザーの鍵データベース・ファイルにインストールするには、「個人証明書 (Personal Certificates)」セクションをクリックして、次に「受け取る (Receive)」をクリックします。



6. LDAP クライアントの証明書が鍵データベース・ファイルにインストールした後で、クライアントの証明書を作成した認証局の証明書を LDAP サーバーに追加できます。

7. 436ページの『署名者証明書を追加する』に進みます。

自己署名証明書を作成して抽出する434ページの『個人証明書を認証局から取得する』に説明したとおり、既知の認証局から証明書を取得した場合、このセクションをスキップして、 436ページの『署名者証明書を追加する』に進んでください。

新しい自己署名証明書を作成して、それを鍵データベース・ファイルに保管するには、以下のステップに従ってください。


システムパス






2. 「作成 (Create)」→「新規自己署名証明書 (New Self-Signed Certificate)」を選択します。

3. 鍵データベースでこの新しい証明書を識別するために GSKit が使用できる「鍵ラベル (Key Label)」フィールドに名前を入力します。

たとえば、ラベルは LDAP クライアントのシステム名でもかまいません。

4. 「バージョン (Version)」フィールド (X509 V3) のデフォルトおよび「鍵サイズ (Key Size)」フィールドのデフォルトを受け入れます。

5. デフォルトのシステム名を受け入れるかまたはこの証明書の「共通名(Common Name)」フィールドに異なる識別名を入力します。

6. 会社名を「組織 (Organization)」フィールドに入力します。

7. オプションのフィールドがあればそのフィールドに入力するかまたはブランクのままにします。

8. 「国 (Country)」フィールドのデフォルトおよび for the 「有効期間 (ValidityPeriod)」の 365 を受け入れるかまたはユーザーの組織の要件に合わせてそれらを変更します。

9. 「OK」をクリックします。 GSKit は新しい公開鍵と秘密鍵のペアを生成して、証明書を作成します。

鍵データベース・ファイルに複数の個人証明書がある場合、GSKit は鍵をデータベースのデフォルトの鍵にしたいかどうかを照会します。いずれかの鍵をデフォルトとして受け入れることができます。デフォルトの証明書は、使用する証明書を選択するためのラベルが付いていないときの実行時に使用されます。

これによって LDAP クライアントの個人証明書の作成が完了します。これは、鍵データベース・ファイルの「個人証明書 (Personal Certificates)」セクションに



表示されます。鍵管理ユーティリティーの中間のバーを使用して、鍵データベース・ファイルに保持された証明書のタイプ間で選択します。

また証明書は、鍵データベース・ファイルの「署名者証明書 (Signer

Certificates)」セクションに表示されます。鍵データベースの「署名者証明書(Signer Certificates)」セクションが表示されている場合、新しい証明書が入っていることを確認します。

次に、ユーザーの LDAP サーバーの証明書を Base64 エンコード ASCII データ・ファイルに抽出しなければなりません。

10. gsk7ikm を使用してユーザーの LDAP サーバーの証明書を Base64 エンコード ASCII データ・ファイルに抽出します。

11. 作成したばかりの自己署名証明書を強調表示します。

12. 「証明書の抽出 (Extract Certificate)」をクリックします。

13. データ・タイプとして「Base64 エンコード ASCII データ (Base64-encodedASCII data)」をクリックします。

14. 新しく抽出した証明書の証明書ファイル名を入力します。証明書ファイルの拡張子は、通常 .arm です。

15. 抽出した証明書を保管したい場所を入力し、次に「OK」をクリックします。

16. この抽出した証明書を LDAP サーバー・システムにコピーします。

LDAP サーバーで、クライアントの個人証明書が作成されて、クライアントの鍵データベース・ファイルに追加された後で、クライアントの証明書を作成した認証局は、署名者証明書 (トラステッド・ルート) として認識される必要があります。

署名者証明書を追加するこのステップは、LDAP サーバーで実行する必要があります。

鍵データベース・ファイルが作成された後で署名者証明書を追加するには、以下のステップに従ってください。


v クライアントの自己署名証明書を使用している場合、 435ページの『自己署名証明書を作成して抽出する』で鍵データベース・ファイルから抽出された証明書がサーバー・システムにコピーされていることを確認します。コピーされていない場合には、直ぐコピーして、以下のステップをスキップしてください。

v クライアントの証明書が認証局によって作成された場合、以下のステップを使用して認証局の証明書をトラステッド署名者として追加します。

2. クライアントの CMS 鍵データベース・ファイルの「署名者証明書 (SignerCertificates)」セクションをクリックします。

3. 「追加」をクリックします。

4. データ・タイプを設定するために「Base64 エンコード ASCII データ(Base64-encoded ASCII data)」をクリックします。

5. 証明書のファイル名とその場所を示します。証明書ファイルの拡張子は、通常.arm です。




7. 追加中の署名者証明書のラベルを入力します。たとえば、LDAP クライアントのシステム名をラベルに使用するかまたはクライアントの証明書を生成した認証局の名前に使用できます。

8. 「OK」をクリックします。自己署名証明書は、署名者証明書としてクライアントの鍵データベースに表示されます。

9. 新たに追加した署名者証明書を強調表示して、「ビュー/編集 (View/Edit)」をクリックします。

10. 「トラステッド・ルートとして証明書を設定 (Set the certificate as a trustroot)」が選択されて、証明書がトラステッド・ルートとマークされていることを確認します。

LDAP クライアントの証明書が正規の認証局によって生成された場合、その認証局が署名者証明書としてリストされており、トラステッド・ルートとしてマークされていることを確認してください。そうなっていない場合、認証局の証明書を署名者証明書として追加して、それがトラステッド・ルートであることを示します。

サーバーは、ここで LDAP クライアントと SSL セッションを確立できるようになっています。

11. 『SSL アクセスを使用可能にする』に進みます。

SSL アクセスを使用可能にするクライアントの個人証明書を作成した認証局を LDAP サーバーが認識した後で、LDAP クライアントで次のコマンドを使用して SSL アクセスをテストします。

ldapsearch -h servername -Z -K client_keyfile -P key_pw -N ¥client_label -b "" -s base objectclass=*


変数説明

servername LDAP サーバーの DNS ホスト名。

client_keyfile 生成したクライアント鍵格納ファイルの完全修飾パス名。

key_pw 生成した鍵格納ファイルのパスワード。

client_label 鍵 (ある場合) に関連したラベル。このフィールドは、オプションで、サーバーとクライアントの両方の認証を実行するように LDAP サーバーが構成された場合にのみ必要です。

ldapsearch コマンドは、LDAP ベース情報を戻します。これには、LDAP サーバーでのサフィックスが含まれます。 -N パラメーターは、クライアントの個人証明書がクライアントの鍵データベース・ファイルに追加されたときに指定されたラベルを示しことに注意してください。

注: LDAP サーバーの署名者証明書ラベルを指定しないでください。-N オプションは、クライアントの証明書が、要求されたときに、サーバーに送信されることを GSKit に示します。ラベルを指定しない場合には、サーバーがクライアントの証明書を要求すると、デフォルトの個人証明書が送信されます。



SSL セットアップが完了しました。


第 25 章 AIX: スタンバイ・ポリシー・サーバーをセットアップする

スタンバイ・サーバーを構成して、システム障害や計画外の停止が発生した場合にポリシー・サーバー機能を引き継ぐことができます。ポリシー・サーバーがダウンした場合、1 次ポリシー・サーバーがその元の役割を果たすまではスタンバイ・ポリシー・サーバーが 1 次ポリシー・サーバーとして機能します。次に、スタンバイ・ポリシー・サーバーはスタンバイの役割に戻ります。どの時点でも、1 つのみのアクティブ・ポリシー・サーバーがあり、ポリシー・データベースの 1 つのみの共用コピーがあります。

Tivoli Access Manager は、サポートされる AIX プラットフォーム上で 1 つのスタンバイ・ポリシー・サーバーの使用をサポートします。さらに、スタンバイ・ポリシー・サーバーを配置するには、HACMP (High Availability Cluster Multiprocessing)

ソフトウェアのインストールと構成が必要になります。HACMP は、コンポーネントの二重化およびアプリケーションのフェイルオーバーによってビジネス上重要なデータおよびアプリケーションへの高可用性アクセスを可能にするように設計されています。


v 441ページの『プリインストールの要件』

v 442ページの『HACMP 環境のシナリオ』

v 452ページの『スタンバイ・ポリシー・サーバー環境を作成する』

HACMP シナリオは、スタンバイ・ポリシー・サーバーの機能が得られるようにHACMP 環境をインストールして構成する方法を示すための一般的なガイドとなっています。ユーザーの HACMP 環境をセットアップした後で、Tivoli Access

Manager セキュア・ドメイン内にスタンバイ・ポリシー・サーバーを作成することについての製品固有の指示に従ってください。お客様の便宜のためにスクリプトと例が提供されております。

クラスター化と HACMP の詳細については、以下の Web サイトを参照してください。

http://www.ibm.com/servers/eserver/clusters/software/

http://www.ibm.com/servers/aix/products/ibmsw/ high_avail_network/hacmp.html


http://www.ibm.com/servers/eserver/clusters/software/

http://www.ibm.com/servers/aix/products/ibmsw/ high_avail_network/hacmp.html

ルール

v 1 つの 1 次ポリシー・サーバーと 1 つのスタンバイ・ポリシー・サーバーを作成できます。

v 1 次およびスタンバイの両方のポリシー・サーバーは、HACMP (High

Availability Cluster Multiprocessing) 環境の一部である AIX システムに常駐しなければなりません。

v 各 AIX システムには、データを重複できるように構成された共用ディスク・アレイへのアクセス権限がなければなりません。

v ポリシー・サーバーによって使用されるポリシー・データベースと構成ファイルは、共用ディスク・アレイ上に常駐しなければなりません。

v IBM Tivoli Directory Server 5.2 などの、レジストリー・サーバーは、別個のシステム上にインストールされ、使用可能になっていなければなりません。

AIX: スタンバイ・ポリシー・サーバーをセットアップする


プリインストールの要件1 次/スタンバイ・ポリシー・サーバー環境をセットアップする前に、以下の条件が満たされていることを確認してください。

v 2 つのマシン (1 次とスタンバイ) が同じ保守レベルになっており、同様のハードウェア/パフォーマンス能力を持っていることを確認します。サポートされる保守レベルは、以下のとおりです。

– AIX 5.1 の場合、保守レベル 3 以上

– AIX 5.2 の場合、保守レベル 1 以上

v HACMP 4.5 以上がインストールされ、構成され、1 次とスタンバイの両方のポリシー・サーバー・システム上で稼動していることを確認します。

v ファイル共用システムがマウントされていることを確認します。たとえば、SSA

ベース 7133 モデル T40 ストレージ格納装置などの、外付け SSA ベース・ストレージ・タワーを両システムに取り付けることができます。

基本的な HACMP 環境のセットアップについての指示については、442 ページのシナリオを参照してください。


第 25 章 AIX: スタンバイ・ポリシー・サーバーをセットアップする 441

HACMP 環境のシナリオこのシナリオは、スタンバイ・ポリシー・サーバーの機能が得られるようにHACMP 環境をインストールして構成する方法を示す 1 例に過ぎません。この例では、スタンバイ・ポリシー・サーバー機能用の他の HACMP 環境と同様、1 次システムのサービス IP アドレスの IP アドレス・テークオーバー用のみならず外部ファイル・システムへの共用アクセス用に HACMP 環境を構成する必要があります。

これらの環境の構成とセットアップの方法については、この製品の購入時に含まれていた HACMP 資料を参照してください。 HACMP が関係するサービス問題を検出した場合には、これらの製品についての IBM サポートに連絡してください。

このシナリオには、2 台の AIX システムのそれぞれにポリシー・サーバーをセットアップする場合の指示があります。このシナリオを通して使用されるホスト・システムは、以下のとおりです。

v tucana では、サービス IP アドレスが 192.168.2.13、ブート IP アドレスが192.168.2.79、そしてスタンバイ IP アドレスはサービスおよびブート IP アドレスとは異なるサブセットの 192.168.3.2 でなければなりません。これらの IP

アドレスには、イーサネット・アダプターなどの、2 つのネットワーク・アダプターが tucana で使用可能になっている必要があります。HACMP 環境では、HACMP クラスターが HACMP ノードで開始した後でサービス IP アドレスが活動状態になり、ブート IP アドレスが非活動状態になるため、必要なネットワーク・アダプターは 2 つのみです。

v perseus では、サービス IP アドレスが 192.168.2.14、ブート IP アドレスが192.168.2.80、そしてスタンバイ IP アドレスはサービスおよびブート IP アドレスとは異なるサブセットの 192.168.3.3 でなければなりません。これらの IP

アドレスには、イーサネット・アダプターなどの、2 つのネットワーク・アダプターが perseus で使用可能になっている必要があります。

注: 各 AIX システムでのサービスおよびブート IP アドレスは、同じネットワーク・アダプターを使用します。各 AIX システムでのスタンバイ IP アドレスは、2 次ネットワーク・アダプターを使用します。

1 次ポリシー・サーバーは、1 次 AIX システムにインストールされ、構成されます。このシナリオでの 1 次ホスト・システムは、tucana です。

スタンバイ・ポリシー・サーバーは、他の残りの AIX システムにインストールされ、構成されます。このシナリオの他のホスト・システムは、perseus です。



ハードウェア要件このシナリオでは、次のハードウェアが使用されます。ご使用のハードウェア要件は、ユーザーの構成に応じて異なります。

v 次のハードウェアを持つ 2 台の AIX システム:

– 2 枚のイーサネットまたはトークンリング・カードがネットワークに接続され、構成されている

– 1 本のシリアル・ケーブル、これは 1 台の AIX システムのシリアル・ポートから他の AIX システムのシリアル・ポートに接続されている

注: 各 AIX システムは、他の AIX システムの IP アドレスを ping できなければなりません。

– 1 枚の SSA アダプター・カード

v 1 台の SSA ベース・ディスク・アレイ: IBM 7133 モデル T40 ストレージ・タワーまたは 1 台の IBM 7133 D40 ラック・マウント格納装置

v 3 本の SSA 接続ケーブル。2 本 (AIX システム当たり 1 本) はディスク・アレイに接続され、1 本は 2 台の AIX システム間の接続に使用されます。

v 両方の AIX システムで IBM AIX 5.1 Service Pack 3 (推奨のバージョンおよび Service Pack) インストール CD。他のバージョンを使用する場合、バージョンと Service Pack のレベルは両方のマシンで同じでなければなりません。

基本的な HACMP 環境を AIX にセットアップするために次のシナリオを使用します。

1. すべてのベース rsct パッケージおよび Service Pack 3 を含む、AIX インストール CD を使用して AIX 5.1 オペレーティング・システムをインストールします。オペレーティング・システムのレベルを検査するには、以下を入力します。

oslevel -r

Service Pack 3 がインストールされている場合には、5100-03 が表示されます。

2. 別途購入の HACMP バージョン 4.5 ES/CRM ソフトウェアおよび、必要となるAIX ベース・オペレーティング・システム前提条件ソフトウェアがあればその前提条件ソフトウェアをインストールします。

3. 以下を実行することによってファイル情報を更新します。

a. 両方の AIX システム上の /etc/hosts ファイルに、すべてのネットワーク・カード接続のホスト名および IP アドレスを入力します。たとえば、ご使用の 2 台のシステム間に 4 枚の接続ネットワーク・カードを使用している場合、ユーザーの /etc/hosts ファイルには、次の例と同様の行が含まれている必要があります。

# @(#)47 1.1 src/bos/usr/sbin/netstart/hosts, cmdnet, bos510 7/24/91 10:46## COMPONENT_NAME: TCPIP hosts## FUNCTIONS: loopback## ORIGINS: 26 27



## (C) COPYRIGHT International Business Machines Corp. 1985, 1989# All Rights Reserved# Licensed Materials - Property of IBM## US Government Users Restricted Rights - Use, duplication or# disclosure restricted by GSA ADP Schedule Contract with IBM Corp.## /etc/hosts## This file contains the hostnames and their address for hosts in the# network. This file is used to resolve a hostname into an Internet# address.## At minimum, this file must contain the name and address for each# device defined for TCP in your /etc/net file. It may also contain# entries for well-known (reserved) names such as timeserver# and printserver as well as any other host name and address.## The format of this file is:# Internet Address Hostname # Comments# Items are separated by any number of blanks and/or tabs. A ’#’# indicates the beginning of a comment; characters up to the end of the# line are not interpreted by routines which search this file. Blank# lines are allowed.

# Internet Address Hostname # Comments# 192.9.200.1 net0sample # ethernet name/address# 128.100.0.1 token0sample # token ring name/address# 10.2.0.2 x25sample # x.25 name/address127.0.0.1 loopback localhost # loopback (lo0) name/address192.168.2.13 tucana192.168.2.79 tucana-boot192.168.3.2 tucana-stby192.168.2.14 perseus192.168.2.80 perseus-boot192.168.3.3 perseus-stby

b. /.rhosts ファイルを編集して、正しいホスト名が含まれていることを確認します。以下に例を示します。

perseusperseus-bootperseus-stbytucanatucana-boottucana-stby

c. 正しい許可を設定するには、次のコマンドを実行します。

chmod 600 /.rhosts

d. /etc/rc.net ファイルを編集して、以下の 3 行を追加します。

no -o thewall=10240no -o routerevalidate=1no -o ipqmaxlen=512

4. HACMP クラスターを構成します。そうするには、ご使用の HACMP ソフトウェア資料を参照してください。ガイドとして、『HACMP 構成の例』を使用します。

HACMP 構成の例このセクションでは、Tivoli Access Manager 用の標準的な HACMP 構成を記載します。この例では、実際のテスト・ケースの実行時に取り込んだ SMITTY メニュー・パネルを示します。この例の各部は、以下のとおりです。



v 446ページの『第 1 部: 全体の HACMP クラスター・トポロジー』

ノードの名前、ネットワーク定義、および他の関連情報を含む、HACMP 環境のクラスター・トポロジー全体を説明します。

v 447ページの『第 2 部: HACMP トポロジー内のクラスター・リソース』

リソース・グループおよびファイル共用システムを含む、HACMP クラスター・トポロジー内のクラスター・リソースを説明します。

v 452ページの『第 3 部: HACMP トポロジー内のアプリケーション・サーバー定義』

HACMP クラスター・トポロジー内のアプリケーション・サーバー定義 (この例ではポリシー・サーバー) を説明します。

図 3 は、外部ストレージ格納装置を共用する 2 システム (または 2 ノード) 構成を示します。

1 次 (tucana) およびスタンバイ (perseus) ポリシー・サーバーが SSA ベースの外部ストレージ格納装置を共用します。ネットワークまたはハードウェア障害などの、フェイルオーバーが発生したために 1 次ポリシー・サーバーがダウンすると、スタンバイ・システムの HACMP ソフトウェアがこのイベントを認識して、1 次ポリシー・サーバーのサービス IP アドレスを引き継ぎます。また、HACMP ソフトウェアはファイル共用システムをスタンバイ・システムにマウントして、スタンバイ・ポリシー・サーバーを始動します。スタンバイ・ポリシー・サーバーは、スタンバイ・システムの HACMP ソフトウェアが 1 次システムが復元したことを認識するまでは、操作状態のままになります。その時点で、1 次システムの HACMP

ソフトウェアは、以下を実行します。

1. 1 次システムに関連するサービス IP アドレスのコントロールを再開します

2. ファイル共用システムをマウントします

3. 1 次ポリシー・サーバーを始動します

注: 1 次システムの HACMP ソフトウェアがこれらのアクションを実行する一方で、スタンバイ・システムの HACMP ソフトウェアは、スタンバイ・ポリシ

図 3. スタンバイ・ポリシー・サーバーの構成



ー・サーバーを停止して、ファイル共用システムをアンマウントし、1 次ポリシー・サーバーのサービス IP アドレスのコントロールを放棄します。

次の例は、1 次およびスタンバイ・ポリシー・サーバーが含まれている HACMP 環境を示します。各 SMITTY 画面取りに前に画面を表示するためにたどっていく必要のあるメニューの階層があります。

第 1 部: 全体の HACMP クラスター・トポロジーSMITTY MENU Hierarchy:

HACMP for AIX- Cluster Configuration- Cluster Topology- Show Cluster Topology- Show Cluster Topology

COMMAND STATUS

Command: OK stdout: yes stderr: no

Before command completion, additional instructions may appear below.

[TOP]Cluster Description of Cluster am51bosCluster ID: 1There were 2 networks defined: tucanaip, tucanatty1There are 2 nodes in this cluster

NODE perseus:This node has 2 service interface(s):

Service Interface perseus:IP address: 192.168.2.14Hardware Address:Network: tucanaipAttribute: public

Service Interface perseus has a possible boot configuration:Boot (Alternate Service) Interface: perseus-boot

IP Address: 192.168.2.80Network: tucanaipAttribute: public

Service Interface perseus has 1 standby interfacesStandby Interface 1: perseus-stby


Service Interface perseus-tty1:IP address: /dev/tty1Hardware Address:Network: tucanatty1Attribute: serial

Service Interface perseus-tty1 has no standby interfaces

NODE tucana:This node has 2 service interface(s):



Service Interface tucana:IP address: 192.168.2.13Hardware Address:Network: tucanaipAttribute: public

Service Interface tucana has a possible boot configuration:Boot (Alternate Service) Interface: tucana-boot


Service Interface tucana has 1 standby interfacesStandby Interface 1: tucana-stby


Service Interface tucana-tty1:IP address: /dev/tty1Hardware Address:Network: tucanatty1Attribute: serial

Service Interface tucana-tty1 has no standby interfaces

Breakdown of network connections:

Connections to network tucanaipNode perseus is connected to network tucanaip by these interfaces:

perseus-bootperseusperseus-stby

Node tucana is connected to network tucanaip by these interfaces:tucana-boottucanatucana-stby

Connections to network tucanatty1Node perseus is connected to network tucanatty1 by these interfaces:

perseus-tty1

Node tucana is connected to network tucanatty1 by these interfaces:tucana-tty1

[BOTTOM]

第 2 部: HACMP トポロジー内のクラスター・リソースSMITTY MENU Hierarchy:

HACMP for AIX- Cluster Configuration- Cluster Resources- Show Cluster Resources- Show Resource Information by Node- Select Node Name- perseus



COMMAND STATUS



[TOP]

Resource Group Name tucanasipNode Relationship cascadingParticipating Node Name(s) tucana perseusService IP Label tucanaFilesystems /am510fs1Filesystems Consistency Check fsckFilesystems Recovery Method sequentialFilesystems/Directories to be exported /am510fs1Filesystems to be NFS mountedNetwork For NFS MountVolume Groups am510vgConcurrent Volume GroupsDisksShared Tape ResourcesAIX Connections ServicesAIX Fast Connect ServicesApplication Servers PDMGRHighly Available Communication LinksMiscellaneous DataAutomatically Import Volume Groups falseInactive Takeover falseCascading Without Fallback false9333 Disk Fencing falseSSA Disk Fencing falseFilesystems mounted before IP configured false

Resource Group Name perseusipNode Relationship cascadingParticipating Node Name(s) perseus tucanaService IP Label perseusFilesystemsFilesystems Consistency Check fsckFilesystems Recovery Method sequentialFilesystems/Directories to be exportedFilesystems to be NFS mountedNetwork For NFS MountVolume GroupsConcurrent Volume GroupsDisksShared Tape ResourcesAIX Connections ServicesAIX Fast Connect ServicesApplication ServersHighly Available Communication LinksMiscellaneous DataAutomatically Import Volume Groups falseInactive Takeover falseCascading Without Fallback false9333 Disk Fencing falseSSA Disk Fencing falseFilesystems mounted before IP configured false

Run Time Parameters:

Node Name perseus



Debug Level highHost uses NIS or Name Server false

[BOTTOM]

SMITTY MENU Hierarchy:

HACMP for AIX- Cluster Configuration- Cluster Resources- Show Cluster Resources- Show Resource Information by Node- Select Node Name- tucana

COMMAND STATUS



[TOP]


Resource Group Name perseusipNode Relationship cascadingParticipating Node Name(s) perseus tucanaService IP Label perseusFilesystemsFilesystems Consistency Check fsckFilesystems Recovery Method sequentialFilesystems/Directories to be exportedFilesystems to be NFS mountedNetwork For NFS MountVolume GroupsConcurrent Volume Groups



DisksShared Tape ResourcesAIX Connections ServicesAIX Fast Connect ServicesApplication ServersHighly Available Communication LinksMiscellaneous DataAutomatically Import Volume Groups falseInactive Takeover falseCascading Without Fallback false9333 Disk Fencing falseSSA Disk Fencing falseFilesystems mounted before IP configured false


Node Name tucanaDebug Level highHost uses NIS or Name Server false

[BOTTOM]


HACMP for AIX- Cluster Configuration- Cluster Resources- Show Cluster Resources- Show Resource Information by Resource Group

- Select Resouce Group Name- perseusip

COMMAND STATUS



Resource Group Name perseusipNode Relationship cascadingParticipating Node Name(s) perseus tucanaService IP Label perseusFilesystemsFilesystems Consistency Check fsckFilesystems Recovery Method sequentialFilesystems/Directories to be exportedFilesystems to be NFS mountedNetwork For NFS MountVolume GroupsConcurrent Volume GroupsDisksShared Tape ResourcesAIX Connections ServicesAIX Fast Connect ServicesApplication ServersHighly Available Communication LinksMiscellaneous DataAutomatically Import Volume Groups falseInactive Takeover false



Cascading Without Fallback false9333 Disk Fencing falseSSA Disk Fencing falseFilesystems mounted before IP configured false


Node Name perseusDebug Level highHost uses NIS or Name Server false



HACMP for AIX- Cluster Configuration- Cluster Resources- Show Cluster Resources- Show Resource Information by Resource Group- Select Resouce Group Name- tucanasip

COMMAND STATUS








Node Name perseusDebug Level highHost uses NIS or Name Server false

第 3 部: HACMP トポロジー内のアプリケーション・サーバー定義SMITTY MENU Hierarchy:

HACMP for AIX- Cluster Configuration- Cluster Resources- Define Application Servers- Change / Show an Application Server

Change Application Server

Type or select values in entry fields.Press Enter AFTER making all desired changes.

[Entry Fields]Server Name PDMGRNew Server Name [PDMGR]Start Script [/usr/bin/pd_start start]Stop Script [/usr/bin/pd_start stop]

スタンバイ・ポリシー・サーバー環境を作成するスタンバイ・ポリシー・サーバー環境を作成するには、以下のステップに従ってください。

1. 1 次ポリシー・サーバーおよびスタンバイ・ポリシー・サーバーの両方の ivmgrユーザー ID、ivmgr グループ ID、tivoli ユーザー ID および tivoli グループID を作成します。

これらの ID を作成する前に、各システム上の /etc/security/limits ファイルに同じデフォルトの設定値 (ユーザーおよびグループ ID の作成に関する限り)

があることを確認します。ユーザーおよびグループ ID が両方のシステム上でまったく同じ特性を使用して作成されていることを確認することが必要になります。これらの ID を作成するには、以下のいずれかをします。

v SMITTY ユーティリティーを使用して両方の AIX システムがそれぞれの ID

ごとに同じ番号を使用することを確認します。たとえば、両方のシステムにはivmgr ユーザー ID に同じ ID 番号がなければなりません。さらに、これらの ID 番号は 4 つの ID それぞれごとに異なっていなければなりません。

v 457ページの『スクリプト: 1 次およびスタンバイの両方のシステム用の UID

をセットアップする』に示す例と同様のスクリプトを作成します。このスクリプトを実行して ivmgr および tivoli ユーザーおよびグループの UID を設定します。たとえば、このスクリプトの名前がsetivug である場合、次のコマン



ドによって、ivmgr グループの ID が 250、ivmgr ユーザーの ID が251、tivoli グループの ID が 260、そして tivoli ユーザーの ID が 261 で作成されます。

./setivug 250 251 260 261

注: これらを作成する前にこれらの 4 つの UID 値がいずれのシステムでも使用されていないことを確認してください。

2. ご使用の 2 台のシステムに HACMP クラスターを構成して始動した後で、これらのシステムにマウント可能なファイル共用システムに /share などの、ディレクトリーを作成します。たとえば、共用外部 SSA ベース・ストレージ・タワーに、/share ディレクトリーを作成します。そうするには、以下のステップに従ってください。

a. 1 次ポリシー・サーバーとして機能するシステムを使用して、ファイル共用システムに /share ディレクトリーを作成します。共用外部 SSA ベース・ストレージ・タワーにある、この共用ディレクトリーには、1 次およびスタンバイ・ポリシー・サーバー間で共用できる重要な情報が含まれます。

b. PolicyDirector (/share/PolicyDirector) という名前の /share サブディレクトリーを作成します。また、ivmgr が所有者であり、 ivmgr が両方のディレクトリーに関連したグループであることを確認します。

c. SMITTY HACMP メニューを使用して IP テークオーバー・シナリオをシミュレートします。そうするには、安全テークオーバー・シャットダウン・モードを使用して 1 次ポリシー・サーバー・マシン上のクラスター・サービスを停止します。

クラスター・シャットダウンが 1 次ポリシー・サーバーで完了すると、スタンバイ・ポリシー・サーバーは 1 次ポリシー・サーバーのサービス IP アドレスを引き継ぎ、ファイル共用システム内の /share および/share/PolicyDirector ディレクトリーにアクセスできます。

d. スタンバイ・ポリシー・サーバー・システムから、ls -l コマンドを発行して、これらの両方のディレクトリーが ivmgr ユーザーおよび ivmgr グループに関連していることを検証します。

e. 1 次ポリシー・サーバーでクラスターを始動します。再始動が完了した後で、サービス IP アドレスが 1 次ポリシー・サーバー・システムに復元され、ファイル共用システムは 1 次ポリシー・サーバー・システムにマウントされます。

3. 1 次ポリシー・サーバーで、以下をします。

a. install_ammgr ウィザードまたはネイティブ・インストール方法のいずれかを使用して必須の Tivoli Access Manager コンポーネントをインストールして構成します。説明については、 111ページの『第 5 章ポリシー・サーバーをセットアップする』を参照してください。

454ページの図 4 は、1 次ポリシー・サーバーがインストールされて構成された後の鍵格納ファイルの場所を示します。



b. 1 次ポリシー・サーバーを停止します。

c. /opt/PolicyDirector/ivmgrd.conf ファイルを編集して、以下をします。

1) [ssl] スタンザ内の、ssl-io-inactivity-timeout エントリーの値を 300に変更します。

2) [configuration-database] スタンザ内で、file= エントリーを更新して、SHARED 外部ファイル・システム内の ivmgrd.conf.obf ファイルの完全修飾ロケーションを示します。たとえば、次のようになります。file=/share/PolicyDirector/ivmgrd.conf.obf

d. /opt/PolicyDirector/pd.conf ファイルを編集して、このシステム用のユーザーの HACMP 構成に構成された、サービス IP インターフェースのホスト名に一致するように 1 次ポリシー・サーバーのホスト名を変更します。442ページの『HACMP 環境のシナリオ』で説明した例で、このホスト名の値はtucana でした。

e. 変更内容が構成ファイルに保管された後で、 459ページの『スクリプト: 1 次システム上のファイルおよびディレクトリーをリンクする』に示す例と同様のスクリプトを作成します。1 次ポリシー・サーバーでこのスクリプトを実行して、必要なファイルとディレクトリーをファイル共用システム (/share)

にリンクします。

455ページの図 5 は、鍵格納ファイルがファイル共用システムに移動された後での鍵格納ファイルの場所を示します。この時点でスタンバイ・ポリシー・サーバーは構成されていないことに注意してください。

図 4. 最初の構成後の 1 次ポリシー・サーバー



f. 1 次ポリシー・サーバーを再始動します。

g. 460 ページに示すように、ディレクトリー構造、ファイル場所、ソフト・リンクおよびファイル・アクセス許可を確認します。

4. スタンバイ・ポリシー・サーバーで、以下をします。

a. installp などの、ネイティブ・インストール・ユーティリティーを使用して必須の Tivoli Access Manager コンポーネントをインストールします (構成しないでください)。説明については、 112ページの『AIX: ポリシー・サーバーをインストールする』を参照してください。

b. HACMP クラスターがこのシステムで実行していることを確認し、共用外部ファイル・システム (/share/PolicyDirector) がアクセス可能であることを検証します。これは、構成プロセスが、ファイル・システムに保管された.conf ファイルにアクセスできるようにするために必要になります。

スタンバイ・ポリシー・サーバーがこの共用外部ファイル・システムにアクセスするには、1 次ポリシー・サーバーをシャットダウンする必要があります。そうするには、SMITTY HACMP メニューを使用して、1 次ポリシー・サーバー・システムに安全テークオーバー・シャットダウン・モードを指定することによってクラスター・サービスを停止します。このシステム上でクラスターが停止した後で、HACMP フェイルオーバー操作が完了すると (1

分以内しかかからない)、スタンバイ・ポリシー・サーバー・システムが 1

次ポリシー・サーバーのサービス IP アドレスを引き継いでおり、ファイル共用システムがスタンバイ・ポリシー・サーバー・システムにマウントされることを確認します。

c. pdconfig ユーティリティーを使用して、スタンバイ・ポリシー・サーバーを構成します。説明については、 112ページの『AIX: ポリシー・サーバーをインストールする』を参照してください。

注: 1 次ポリシー・サーバーは、スタンバイ・ポリシー・サーバーを構成するために実行している必要がありません。しかし、1 次ポリシー・サー

図 5. ファイル共用システムの使用を組み込んだ後の 1 次ポリシー・サーバー



バーが使用するレジストリー・サーバーは、1 次ポリシー・サーバー・システム以外の別のシステムで使用可能になっており、実行していなければなりません。

構成時に、pdconfig ユーティリティーはポリシー・サーバーの構成がすでに存在することを検出します。以下のプロンプトに対して、y (Yes) と応答します。

A policy server is already configured to this LDAP server. A secondpolicy server may be configured for migration or standby purposes ONLY!Would you like to configure a second policy server to this LDAP server(y/n) [No]? yUse this policy server for standby (y/n) [No]: y

プロンプトが出されたとき、ivmgrd.conf ファイル (既存のポリシー・サーバー構成ファイル) の「完全修飾」ロケーションを入力します。たとえば、共用ディレクトリーが /share の場合、以下を入力します。

/share/PolicyDirector/ivmgrd.conf

pdconfig ユーティリティーは、このファイルへのリンクを/opt/PolicyDirector/etc ディレクトリーに入れて、ivmgrd.conf ファイルを変更してスタンバイ操作を使用可能にします。

注: スタンバイ・ポリシー・サーバーを正常に構成した後では、スタンバイ・ポリシー・サーバーは始動しません。スタンバイ・ポリシー・サーバー上で実行している HACMP ソフトウェアによってフェイルオーバー条件が検出された後でのみスタンバイ・ポリシー・サーバーは自動的に始動します。それ以外では、1 次とスタンバイの両方のポリシー・サーバーが同時的に実行しようとした場合重大なエラーと競合が発生する可能性があります。

d. 462ページの『スクリプト: AIX システム・ファイルからスタンバイ・システム上の共用ディレクトリーにリンクする』に示す例と同様のスクリプトを作成します。このスクリプトを実行して AIX システム・ファイルから共用ディレクトリーにリンクします。

e. 463 ページに示すように、ディレクトリー構造、ファイル場所、ソフト・リンクおよびファイル・アクセス許可を確認します。

注: 両システムは同じディレクトリーを共用するため、スタンバイ・サーバー上の /share/PolicyDirector は、1 次サーバーのために示された内容と同じでなければなりません。

1 次ポリシー・サーバーとスタンバイ・ポリシー・サーバーの構成がこれで完了しました。この時点で、HACMP クラスターは 1 次ポリシー・サーバー・システムで稼動しておらず、スタンバイ・ポリシー・サーバー・システムで稼動しています。

ポリシー・サーバーのフェイルオーバー機能をテストする前に、HACMP 構成がアプリケーション・サーバーとしてポリシー・サーバー実行可能ファイルを指定していることを確認するための検証が行われなければなりません。SMITTY ユーティリティーを使用してそうするには、「HACMP クラスター・リソース (HACMP

Cluster Resources)」パネルから「クラスター・リソースの表示 (Show ClusterResources)」を選択してクラスター・リソースを表示します。アプリケーション・サーバーを定義するには、「HACMP アプリケーション・サーバーの定義 (HACMP



Define Application Servers)」パネルから「アプリケーション・サーバーの追加 (Addan Application Server)」オプションを選択します。このパネルが選択された後で、ポリシー・サーバー実行可能ファイルの開始スクリプト (/usr/bin/pd_start

start) と停止スクリプト (/usr/bin/pd_start stop) が指定されています。

図 6 は、ネイティブ・インストール方法を使用してスタンバイ・ポリシー・サーバーを構成した後での鍵格納ファイルの場所を示します。共用システム内にこれらの鍵格納ファイルへの適切なリンクも作成されます。

アプリケーション・サーバーの構成を検証した後で、HACMP 1 次/スタンバイ・ポリシー・サーバー構成を完全に活動化できるようになります。この構成を活動化するには、1 次ポリシー・サーバー上の HACMP クラスターを再始動する必要があります。このアクションによって、1 次ポリシー・サーバーが始動し、スタンバイ・ポリシー・サーバーが待機モードに入ります。

スクリプト: 1 次およびスタンバイの両方のシステム用の UID をセットアップする

以下と同様のスクリプトを使用して、ivmgr および tivoli ユーザーおよびグループの UID を 1 次およびスタンバイの両方のポリシー・サーバー・システムに設定します。

図 6. 完了した 1 次/スタンバイ・ポリシー・サーバー環境



#!/bin/ksh## This script sets the uid values for the ivmgr user and the ivmgr group# to values that are specified on the command line when this script is# executed. In addition, this script defines the tivoli group uid and the# tivoli user uid.## The first parameter ($1) is the uid for the ivmgr group. The second parameter# ($2) is the uid for the ivmgr user. The third parameter ($3) is the uid# for the tivoli group. The fourth parameter ($4) is for the tivoli user uid.# Before executing this script, insure that the four uid values ARE NOT already# being used on either system.## Due to the importance of these values, it is ABSOLUTELY necessary on the# system which will run as the Standby Policy Server to set the ivmgr group# uid and the ivmgr user uid to MATCH the corresponding settings for these# entities on the system which is serving as the Primary Policy Server. Also,# since the definition of the ivmgr user has membership in the tivoli group,# then it is also necessary to create the tivoli group as well. Finally, since# the tivoli group contains the tivoli user, then then tivoli user, with the# appropriate uid, must be defined as well. These user/group settings insure# consistency across the two policy servers allowing for each system to take# over the role of the Primary Policy Server when it is appropriate.# Otherwise, the Standby Policy Server will not run or will not even configure# correctly if these values are not the same on BOTH systems.## Note that this script, setivug, MUST be run BEFORE the Standby Policy Server# is installed. As a matter of fact, it is recommended that this script be run# BEFORE any Access Manager software is installed on either the Primary OR the# Standby Policy server. In this way, all four of these ID’s will be consistent# across BOTH systems.#set -eset -x## Create the ivmgr and tivoli groups with the appropriate uids#mkgroup -’A’ id="$1" ivmgrmkgroup -’A’ id="$3" tivolix() {LIST=SET_A=for i in "$@"doif [ "$i" = "admin=true" ]thenSET_A="-a"continuefiLIST="$LIST ¥"$i¥""doneeval mkuser $SET_A $LIST}## Now define the ivmgr user uid to be a part of the staff, tivoli, and ivmgr groups.# (Enter the following command on one continuous line.)#x id="$2" pgrp=’staff’ groups=’staff,tivoli,ivmgr’ home=’/opt/PolicyDirector’

shell=’/usr/bin/ksh’ gecos=’Policy Director Manager’ ivmgr## Now define the tivoli user uid to be a part of the staff and tivoli groups.# (Enter the following command on one continuous line.)#x id="$4" pgrp=’staff’ groups=’staff,tivoli’ home=’/home/tivoli’ shell=’/usr/bin/ksh’

gecos=’Owner of Tivoli Common Files’ tivoli#



スクリプト: 1 次システム上のファイルおよびディレクトリーをリンクする

以下と同様のスクリプトを使用して、1 次ポリシー・サーバー・システム上の必須ファイルおよびディレクトリーをリンクします。

#!/bin/ksh#

# Save a copy of the 3 files below under the .bkp extensioncp -p /opt/PolicyDirector/etc/pd.conf /opt/PolicyDirector/etc/pd.conf.bkpcp -p /opt/PolicyDirector/etc/ivmgrd.conf /opt/PolicyDirector/etc/ivmgrd.conf.bkpcp -p /opt/PolicyDirector/etc/ivmgrd.conf.obf /opt/PolicyDirector/etc/ivmgrd.conf.obf.bkp

# Move configuration files to shared directory on the external file systemmv /opt/PolicyDirector/etc/pd.conf /share/PolicyDirectormv /opt/PolicyDirector/etc/ivmgrd.conf /share/PolicyDirector/ivmgrd.confmv /opt/PolicyDirector/etc/ivmgrd.conf.obf /share/PolicyDirector/ivmgrd.conf.obf

# Link the configuration files back to the original installation directory# and change the ownership and group of these links to ivmgr.ln -s /share/PolicyDirector/pd.conf /opt/PolicyDirector/etcln -s /share/PolicyDirector/ivmgrd.conf /opt/PolicyDirector/etcln -s /share/PolicyDirector/ivmgrd.conf.obf /opt/PolicyDirector/etcchown -h ivmgr /opt/PolicyDirector/etc/ivmgrd.confchown -h ivmgr /opt/PolicyDirector/etc/ivmgrd.conf.obfchown -h ivmgr /opt/PolicyDirector/etc/pd.confchgrp -h ivmgr /opt/PolicyDirector/etc/ivmgrd.confchgrp -h ivmgr /opt/PolicyDirector/etc/ivmgrd.conf.obfchgrp -h ivmgr /opt/PolicyDirector/etc/pd.conf

# For the keytab, db and lock subdirectories, create a backup of these directories,# move their contents to the shared external file system, and link the files in# these directories back to the original installation directory.

cp -R -p /var/PolicyDirector/keytab /var/PolicyDirector/keytab_bkpmv /var/PolicyDirector/keytab /share/PolicyDirectorln -s /share/PolicyDirector/keytab /var/PolicyDirector

cp -R -p /var/PolicyDirector/db /var/PolicyDirector/db_bkpmv /var/PolicyDirector/db /share/PolicyDirectorln -s /share/PolicyDirector/db /var/PolicyDirector

cp -R -p /var/PolicyDirector/lock /var/PolicyDirector/lock_bkpmv /var/PolicyDirector/lock /share/PolicyDirectorln -s /share/PolicyDirector/lock /var/PolicyDirector

# Change the ownership and group of these links to ivmgr.chown -h ivmgr /var/PolicyDirector/dbchown -h ivmgr /var/PolicyDirector/keytabchown -h ivmgr /var/PolicyDirector/lockchgrp -h ivmgr /var/PolicyDirector/dbchgrp -h ivmgr /var/PolicyDirector/keytabchgrp -h ivmgr /var/PolicyDirector/lock



例: 1 次サーバーのディレクトリー、ソフト・リンク、およびアクセス許可を検証する

In the /opt/PolicyDirector/etc directory:

==> ls -ltotal 3714-rw-r----- 1 ivmgr ivmgr 1682440 Oct 10 11:48 AccessManagerBaseAutoTraceDatabaseFile.obfuscated-rw-r--r-- 1 ivmgr ivmgr 2703 Oct 14 13:16 activedir_ldap.conf-rw-r----- 1 ivmgr ivmgr 2703 Jul 14 14:21 activedir_ldap.conf.template-rw-r----- 1 ivmgr ivmgr 18195 Jul 7 10:46 additional_licenses.txtdrw-rw---- 2 ivmgr ivmgr 512 Dec 31 1969 blades-rw-r----- 1 ivmgr ivmgr 5890 Jan 24 2003 config-rw-r----- 1 ivmgr ivmgr 718 May 13 11:40 domino.conf.template-rw-r----- 1 ivmgr ivmgr 114 Oct 10 11:48 ffdclrwxrwxrwx 1 ivmgr ivmgr 36 Oct 15 13:45 ivmgrd.conf -> /am510fs1/PolicyDirector/ivmgrd.conf-rw-r----- 1 ivmgr ivmgr 16949 Oct 14 13:19 ivmgrd.conf.bkplrwxrwxrwx 1 ivmgr ivmgr 40 Oct 15 13:45 ivmgrd.conf.obf -> /am510fs1/PolicyDirector/ivmgrd.conf.obf-rw-r----- 1 ivmgr ivmgr 64 Oct 14 13:19 ivmgrd.conf.obf.bkp-rw-r----- 1 ivmgr ivmgr 16731 Oct 10 11:29 ivmgrd.conf.template-rw-r--r-- 1 ivmgr ivmgr 2319 Oct 14 13:18 ldap.conf-rw-r----- 1 ivmgr ivmgr 2187 Oct 10 11:21 ldap.conf.template-rw-r--r-- 1 ivmgr ivmgr 36544 Sep 29 12:45 novschema.def-rw-r--r-- 1 ivmgr ivmgr 26260 Sep 29 12:45 nsschema.deflrwxrwxrwx 1 ivmgr ivmgr 32 Oct 15 13:45 pd.conf -> /am510fs1/PolicyDirector/pd.conf-rw-r--r-- 1 ivmgr ivmgr 3736 Oct 14 13:20 pd.conf.bkp-rw-r----- 1 ivmgr ivmgr 3645 Oct 10 11:29 pd.conf.template-rw-r----- 1 ivmgr ivmgr 5576 Oct 10 10:05 pdbackup.lst-rw-r----- 1 ivmgr ivmgr 7448 Oct 10 10:05 pdinfo.lst-rw-r--r-- 1 ivmgr ivmgr 5354 Oct 14 13:19 pdmgrd_routing-rw-r--r-- 1 ivmgr ivmgr 5255 Oct 10 11:36 pdmgrd_routing.template-rw-r--r-- 1 ivmgr ivmgr 1492 Oct 14 12:49 pdversion.dat-rw-r--r-- 1 ivmgr ivmgr 1492 Aug 18 11:37 pdversion.dat.template-rw-r----- 1 ivmgr ivmgr 1466 Jan 24 2003 product-rw-r--r-- 1 ivmgr ivmgr 5827 Oct 14 13:16 routing-rw-r--r-- 1 ivmgr ivmgr 5674 Oct 10 11:36 routing.template-rw-r--r-- 1 ivmgr ivmgr 14035 Sep 29 12:45 secschema.def-rw-r--r-- 1 ivmgr ivmgr 11236 Jan 24 2003 secschema390.def-rw-r--r-- 1 ivmgr ivmgr 1 Oct 14 12:49 startup-rw-r--r-- 1 ivmgr ivmgr 1 Jun 24 10:48 startup.template-rw-r--r-- 1 ivmgr ivmgr 1233 Jan 24 2003 upgrade3.7_ibm_schema.def-rw-r--r-- 1 ivmgr ivmgr 1938 Jan 24 2003 upgrade3.7_ibm_schema390.def-rw-r--r-- 1 ivmgr ivmgr 1744 Jan 24 2003 upgrade3.7_netscape_schema.def



In the /var/PolicyDirector directory:

==> ls -Rltotal 7drwxrwxr-x 2 ivmgr ivmgr 512 Dec 31 1969 auditlrwxrwxrwx 1 ivmgr ivmgr 27 Oct 15 13:45 db -> /am510fs1/PolicyDirector/dbdrwxrwxr-x 2 ivmgr ivmgr 512 Oct 14 13:19 db_bkplrwxrwxrwx 1 ivmgr ivmgr 31 Oct 16 15:48 keytab -> /am510fs1/PolicyDirector/keytabdrwxr-xr-x 2 ivmgr ivmgr 512 Oct 16 15:42 keytab_bkplrwxrwxrwx 1 ivmgr ivmgr 29 Oct 15 13:45 lock -> /am510fs1/PolicyDirector/lockdrwxr-x--- 2 ivmgr ivmgr 512 Dec 31 1969 lock_bkpdrwxrwxrwx 3 ivmgr ivmgr 512 Oct 16 13:40 logdrwxrwxr-x 2 ivmgr ivmgr 512 Dec 31 1969 pdbackupdrwxr-x--- 2 ivmgr ivmgr 512 Oct 14 12:49 pdmgrd./audit:total 0

./db_bkp:total 1056-rw------- 1 ivmgr ivmgr 540672 Oct 15 13:45 master_authzn.db

./keytab_bkp:total 35-rw------- 1 ivmgr ivmgr 10080 Oct 14 13:19 ivmgrd.kdb-rw------- 1 ivmgr ivmgr 129 Oct 14 13:18 ivmgrd.sth-rw-rw-rw- 1 root system 5080 Oct 14 13:19 pd.kdb-rw-rw-rw- 1 root system 129 Oct 14 13:19 pd.sth-rw------- 1 root system 1070 Oct 14 13:18 pdcacert.b64

./lock_bkp:total 0

In the SHARED directory, /share/PolicyDirector, on the external file system:

==> ls -Rltotal 80drwxrwxr-x 2 ivmgr ivmgr 512 Oct 14 13:19 db-rw-r----- 1 ivmgr ivmgr 16950 Oct 16 13:32 ivmgrd.conf-rw-r----- 1 ivmgr ivmgr 64 Oct 16 13:32 ivmgrd.conf.obfdrwxr-xr-x 2 ivmgr ivmgr 512 Oct 16 15:42 keytabdrwxr-x--- 2 ivmgr ivmgr 512 Dec 31 1969 lock-rw-r--r-- 1 ivmgr ivmgr 3736 Oct 14 13:20 pd.conf

./db:total 1056-rw------- 1 ivmgr ivmgr 540672 Oct 16 16:18 master_authzn.db

./keytab:total 64-rw------- 1 ivmgr ivmgr 10080 Oct 14 13:19 ivmgrd.kdb-rw------- 1 ivmgr ivmgr 129 Oct 14 13:18 ivmgrd.sth-rw-rw-rw- 1 root system 5080 Oct 14 13:19 pd.kdb-rw-rw-rw- 1 root system 129 Oct 14 13:19 pd.sth-rw------- 1 root system 1070 Oct 14 13:18 pdcacert.b64

./lock:total 0



スクリプト: AIX システム・ファイルからスタンバイ・システム上の共用ディレクトリーにリンクする

以下と同様のスクリプトを使用して、AIX システム・ファイルからスタンバイ・ポリシー・サーバー・システム上の共用ディレクトリーにリンクします。

#!/bin/ksh#

# The Standby Policy Server must use the same configuration files as the# Primary Policy Server. For this reason, the following links must be created# in order for the Standby Policy Server to function correctly.## Note the Access Manager configuration software will automatically create# a link to the ivmgrd.conf file that is stored in the shared external file system.

# Backup pd.conf to pd.bkp and link to pd.conf in the shared external file systemmv /opt/PolicyDirector/etc/pd.conf /opt/PolicyDirector/etc/pd.conf.bkpln -s /share/PolicyDirector/pd.conf /opt/PolicyDirector/etc

# Backup keytab, db and lock directories and link the keytab, db, and lock# directories to their corresponding files in the shared external file system.

mv /var/PolicyDirector/keytab /var/PolicyDirector/keytab_bkpln -s /share/PolicyDirector/keytab /var/PolicyDirector

mv /var/PolicyDirector/db /var/PolicyDirector/db_bkpln -s /share/PolicyDirector/db /var/PolicyDirector

mv /var/PolicyDirector/lock /var/PolicyDirector/lock_bkpln -s /share/PolicyDirector/lock /var/PolicyDirector

# Change the group and ownership of the five links above to ivmgr.chown -h ivmgr /opt/PolicyDirector/etc/pd.confchown -h ivmgr /var/PolicyDirector/dbchown -h ivmgr /var/PolicyDirector/keytabchown -h ivmgr /var/PolicyDirector/lockchgrp -h ivmgr /opt/PolicyDirector/etc/pd.confchgrp -h ivmgr /var/PolicyDirector/dbchgrp -h ivmgr /var/PolicyDirector/keytabchgrp -h ivmgr /var/PolicyDirector/lock



例: スタンバイ・サーバーのディレクトリー、ソフト・リンク、およびアクセス許可を検証する

In the /opt/PolicyDirector/etc directory:

==> ls -ltotal 3668-rw-r----- 1 ivmgr ivmgr 1682440 Oct 10 11:48 AccessManagerBaseAutoTraceDatabaseFile.obfuscated-rw-r--r-- 1 ivmgr ivmgr 2703 Oct 16 13:26 activedir_ldap.conf-rw-r----- 1 ivmgr ivmgr 2703 Jul 14 14:21 activedir_ldap.conf.template-rw-r----- 1 ivmgr ivmgr 18195 Jul 07 10:46 additional_licenses.txtdrw-rw---- 2 ivmgr ivmgr 512 Dec 31 1969 blades-rw-r----- 1 ivmgr ivmgr 5890 Jan 24 2003 config-rw-r----- 1 ivmgr ivmgr 718 May 13 11:40 domino.conf.template-rw-r----- 1 ivmgr ivmgr 114 Oct 10 11:48 ffdclrwxrwxrwx 1 root system 36 Oct 16 13:32 ivmgrd.conf -> /am510fs1/PolicyDirector/ivmgrd.conflrwxrwxrwx 1 root system 40 Oct 16 13:32 ivmgrd.conf.obf -> /am510fs1/PolicyDirector/ivmgrd.conf.obf-rw-r----- 1 ivmgr ivmgr 16731 Oct 10 11:29 ivmgrd.conf.template-rw-r--r-- 1 ivmgr ivmgr 2319 Oct 16 13:31 ldap.conf-rw-r----- 1 ivmgr ivmgr 2187 Oct 10 11:21 ldap.conf.template-rw-r--r-- 1 ivmgr ivmgr 36544 Sep 29 12:45 novschema.def-rw-r--r-- 1 ivmgr ivmgr 26260 Sep 29 12:45 nsschema.deflrwxrwxrwx 1 ivmgr ivmgr 32 Oct 16 13:36 pd.conf -> /am510fs1/PolicyDirector/pd.conf-rw-r--r-- 1 ivmgr ivmgr 3741 Oct 16 13:32 pd.conf.bkp-rw-r----- 1 ivmgr ivmgr 3645 Oct 10 11:29 pd.conf.template-rw-r----- 1 ivmgr ivmgr 5576 Oct 10 10:05 pdbackup.lst-rw-r----- 1 ivmgr ivmgr 7448 Oct 10 10:05 pdinfo.lst-rw-r--r-- 1 ivmgr ivmgr 5255 Oct 10 11:36 pdmgrd_routing.template-rw-r--r-- 1 ivmgr ivmgr 1492 Oct 16 13:27 pdversion.dat-rw-r--r-- 1 ivmgr ivmgr 1492 Aug 18 11:37 pdversion.dat.template-rw-r----- 1 ivmgr ivmgr 1466 Jan 24 2003 product-rw-r--r-- 1 ivmgr ivmgr 5810 Oct 16 13:27 routing-rw-r--r-- 1 ivmgr ivmgr 5674 Oct 10 11:36 routing.template-rw-r--r-- 1 ivmgr ivmgr 14035 Sep 29 12:45 secschema.def-rw-r--r-- 1 ivmgr ivmgr 11236 Jan 24 2003 secschema390.def-rw-r--r-- 1 ivmgr ivmgr 1 Oct 16 13:27 startup-rw-r--r-- 1 ivmgr ivmgr 1 Jun 24 10:48 startup.template-rw-r--r-- 1 ivmgr ivmgr 1233 Jan 24 2003 upgrade3.7_ibm_schema.def-rw-r--r-- 1 ivmgr ivmgr 1938 Jan 24 2003 upgrade3.7_ibm_schema390.def-rw-r--r-- 1 ivmgr ivmgr 1744 Jan 24 2003 upgrade3.7_netscape_schema.def



In the /var/PolicyDirector directory:

==> ls -Rltotal 7drwxrwxr-x 2 ivmgr ivmgr 512 Dec 31 1969 auditlrwxrwxrwx 1 ivmgr ivmgr 27 Oct 16 13:36 db -> /am510fs1/PolicyDirector/dbdrwxrwxr-x 2 ivmgr ivmgr 512 Dec 31 1969 db_bkplrwxrwxrwx 1 ivmgr ivmgr 31 Oct 16 13:36 keytab -> /am510fs1/PolicyDirector/keytabdrwxrwxrwx 2 ivmgr ivmgr 512 Dec 31 1969 keytab_bkplrwxrwxrwx 1 ivmgr ivmgr 29 Oct 16 13:36 lock -> /am510fs1/PolicyDirector/lockdrwxr-x--- 2 ivmgr ivmgr 512 Dec 31 1969 lock_bkpdrwxrwxrwx 2 ivmgr ivmgr 512 Dec 31 1969 logdrwxrwxr-x 2 ivmgr ivmgr 512 Dec 31 1969 pdbackupdrwxr-x--- 2 ivmgr ivmgr 512 Oct 16 13:24 pdmgrd./audit:total 0

./db_bkp:total 0

./keytab_bkp:total 0

./lock_bkp:total 0


第 26 章 Tivoli Access Manager ユーティリティー

pdadmin コマンド・ユーティリティーに加えて、Tivoli Access Manager では以下のユーティリティーが使用できます。

表 45. Tivoli Access Manager ユーティリティー

ユーティリティー説明

amwebcfg WebSEAL サーバーの構成、構成解除、または WebSEAL サーバーの状況の入手を行います。

AMWLSConfigure -action

config

Tivoli Access Manager を WebLogic サーバー用に構成します。


unconfig

Tivoli Access Manager を WebLogic サーバー用に構成解除します。


create_realm

WebLogic サーバーにセキュリティー・レルムを作成します。


delete_realm

WebLogic サーバーからセキュリティー・レルムを削除します。

amwpmcfg Web Portal Manager インターフェースを構成します。

ivrgy_tool 指定した LDAP サーバー上の Tivoli Access Manager スキーマを更新します。

migrateEAR4 セキュリティー・ポリシー情報をデプロイメント記述子 (エンタープライズ・アーカイブ・ファイル) から Tivoli Access

Manager for WebSphere Application Server、バージョン 4.0.6

にマイグレーションします。

migrateEAR5 セキュリティー・ポリシー情報をデプロイメント記述子 (エンタープライズ・アーカイブ・ファイル) から Tivoli Access

Manager for WebSphere Application Server、バージョン 5.0.2

にマイグレーションします。

pdbackup Tivoli Access Manager データのバックアップ、復元、および抽出を行います。

pdconfig Tivoli Access Manager Java ランタイム・コンポーネントを除く、Tivoli Access Manager コンポーネントを構成および構成解除します。

pdjrtecfg Tivoli Access Manager Java ランタイム・コンポーネントを構成します。

pd_start UNIX システム上のサーバーを停止、始動および再始動します。サーバー状況の表示も行います。

pdwascfg Tivoli Access Manager for WebSphere Application Server を構成または構成解除します。

pdweb WebSEAL サーバーを始動、停止、または再始動したり、サーバー状況を表示したりします。


表 45. Tivoli Access Manager ユーティリティー (続き)

pdwebpi Tivoli Access Manager Plug-in for Web Servers のバージョン情報を提供します。また、Plug-in for Web Servers をデーモンとして実行するかどうかを決定したり、それをフォアグラウンドで実行したりします。

pdwebpi_start UNIX インストール・システム上の Tivoli Access Manager

Plug-in for Web Servers プロセスを始動、再始動、および停止します。また、すべての Web サーバーの状況を表示します。

pdwpi-version Tivoli Access Manager Plug-in for Web Servers インストールのバージョンおよび著作権情報をリストします。

pdwpicfg -action config Tivoli Access Manager Plug-in for Web Servers を構成します。

pdwpicfg -action unconfig Tivoli Access Manager Plug-in for Web Servers を構成解除します。

wesosm Edge Server plug-in 用の Tivoli Access Manager オブジェクト・スペースを作成して、維持します。

wslstartwte Edge Server キャッシング・プロキシーを手動で始動して、plug-in for Edge Server を UNIX にロードします。

wslstopwte UNIX システム上の Edge Server キャッシング・プロキシーを停止します。


amwebcfgWebSEAL サーバーの構成、構成解除、または WebSEAL サーバーの状況の入手を行います。

構文amwebcfg -action config -host host_name -listening_port am_listening_port

-inst_name instance_name -nw_interface_yn {yes|no} -ip_address ip_address

-ssl_yn {yes|no} -key_file key_file -key_file_pwd key_file_pwd -cert_labelcert_label -ssl_port ssl_port -http_yn {yes|no} -http_port http_port -https_yn{yes|no} -https_port https_port-doc_root doc_root

amwebcfg -action config -rspfile response_file

amwebcfg -action config -interactive

amwebcfg -action unconfig -inst_name instance_name

amwebcfg -action unconfig -rspfile response_file

amwebcfg -action unconfig -interactive

amwebcfg -operations

amwebcfg -help [options]

amwebcfg -usage

amwebcfg -?

パラメーター-action {config | name | status | unconfig}

このオプションは、以下の引き数のいずれかをとります。

config WebSEAL サーバー・インスタンスを構成します。

name Tivoli Access Manager WebSEAL パッケージ名を検索して、name値を pdconfig ユーティリティーに戻します。このオプションを使用するのは、pdconfig のみです。このオプションは、コマンド行からは使用しないでください。

status status 値を pdconfig ユーティリティーに戻します。このオプションを使用するのは、pdconfig のみです。このオプションは、コマンド行からは使用しないでください。

unconfigWebSEAL サーバー・インスタンスを構成解除します。

-cert_label cert_label

LDAP クライアント証明ラベルを指定します。このオプションが使用されるのは、SSL 通信が WebSEAL と LDAP サーバーとの間で使用可能になっている場合のみです (-ssl_yn yes)。

第 26 章 Tivoli Access Manager ユーティリティー 467

SSL 通信が WebSEAL と LDAP サーバーとの間で使用可能になっている場合には、SSL は LDAP クライアント証明書ラベルを必要としないことに注意してください。したがって、amwebcfg が -ssl_yn yes で呼び出されても、このラベル・ファイルはオプションです。クライアント・ラベルが指定されていない場合、SSL は、鍵格納ファイルに含まれているデフォルトの証明書を使用します。

-action config と一緒に使用されます。

-doc_root doc_root

Web 文書ルート・ディレクトリーを指定します。ディレクトリーはすでに存在していなければなりません。-action config と一緒に使用されます。

このオプションがコマンド行に指定されない場合、amwebcfg はデフォルトのディレクトリーを作成します。デフォルトのディレクトリー・パスには、www- のプレフィックスの付いたインスタンス名が含まれています。たとえば、インスタンス名が web1 であり、doc_root がコマンド行に指定されない場合には、次のディレクトリーが作成されます。

UNIX:opt/pdweb/www-web1/docsWindows:installation_directory¥pdweb¥www-web1¥docs

最初の WebSEAL サーバー・インスタンスが構成され、デフォルトのサーバー・インスタンス名 default が受け入れられ、doc-root に値が指定されない場合、amwebcfg は次の Web 文書ルート・ディレクトリーを作成します。

UNIX:opt/pdweb/www-default/docsWindows:installation_directory¥pdweb¥www-default¥docs

-help [options]各オプションをリストし、引き数なしで指定した場合にはそのオプションの1 行の説明をリストします。1 つ以上の引き数を指定した場合、WebSEAL

は指定した核オプションとその 1 行の説明をリストします。

-host host_name

Tivoli Access Manager ポリシー・サーバーが WebSEAL サーバーと通信するために使用するホスト名を指定します。このオプションは、-actionconfig の場合必要になります。

このオプションがコマンド行に指定されない場合、amwebcfg はユーザーに値を指定するようにプロンプトを出します。

host_name の有効な値には、任意の有効な IP ホスト名が含まれます。以下に例を示します。

libra.dallas.ibm.com

-http_yn {yes|no}WebSEAL サーバー・インスタンスに対して HTTP アクセスができるかどうかを指定します。このオプションは、-action config の場合必要になります。


有効なブール・インディケーターは、yes または no です。デフォルト値はありません。このオプションがコマンド行に指定されない場合、amwebcfgはユーザーに値を指定するようにプロンプトを出します。

-http_port http_port

非セキュア HTTP アクセスに対するポート番号を指定します。デフォルトのポートは、80 です。

このオプションは、http_yn が yes に設定されたときに -action configに必要になります。 http_yn が yes に設定され、このオプションがコマンド行に指定されていない場合、amwebcfg はユーザーに値を指定するようにプロンプトを出します。

-https_yn {yes|no}WebSEAL サーバー・インスタンスに対して HTTPS アクセスができるかどうかを指定します。このオプションは、-action config の場合必要になります。

有効なブール・インディケーターは、yes または no です。デフォルト値はありません。このオプションがコマンド行に指定されない場合、amwebcfgはユーザーに値を指定するようにプロンプトを出します。

-https_port https_port

セキュア HTTP アクセスに対するポート番号を指定します。デフォルトのポートは、443 です。

このオプションは、https_yn が yes に設定されたときに -action configに必要になります。

https_yn が yes に設定され、このオプションがコマンド行に指定されていない場合、amwebcfg はユーザーに値を指定するようにプロンプトを出します。

-inst_name instance_name

WebSEAL サーバー・インスタンスの名前をストリングとして指定します。たとえば、次のようになります。web1 このストリングにはホスト名が含まれていません。このオプションは、-action config の場合必要になります。

このインスタンス名の最大長は 20 文字です。以下の文字が使用できます。v 任意の ASCII 文字 (A-Z または a-z)

v ピリオド ( . )

v ダッシュ ( - )

v 下線 ( _ )

GUI を使用して最初の WebSEAL サーバー・インスタンスを構成しているとき、 amwebcfg はデフォルトのインスタンス名として default を使用します。このインスタンス名は、別の名前に変更できます (たとえば、webseal1)。

-interactiveアドミニストレーターが構成を対話式に行うことを指定します。WebSEAL

は、テキスト・ベースのメニューを表示して、アドミニストレーターから必要な構成情報を入手するために一連のプロンプトを提示します。


注: 対話モードがサポートされるのは、UNIX 上のみです。オプション-interactive を Windows システムで使用すると、このオプションがサポートされていないことを示すエラー・メッセージが表示されます。

-ip_address ip_address

WebSEAL サーバーの IP アドレスである、論理ネットワーク・インターフェースを指定します。

このオプションは、-nw_interface_yn が yes に設定されたときにのみ-action config に必要になります。

-nw_interface_yn が yes に設定され、-ip_address が指定されていない場合、amwebcfg はユーザーに IP アドレスを指定するようにプロンプトを出します。

-key_file key_file

LDAP SSL 鍵格納ファイルを指定します。

このオプションは、SSL 通信が WebSEAL サーバーと LDAP サーバーとの間で使用可能になっている場合のみ -action config に必要になります。

-key_file_pwd key_file_pwd

LDAP SSL 鍵格納ファイル・パスワードを指定します。

このオプションは、SSL 通信が WebSEAL サーバーと LDAP サーバーとの間で使用可能になっている場合のみ -action config に必要になります。

-listening_port am_listening_port

Tivoli Access Manager ポリシー・サーバーの listen ポート番号を指定します。 listen ポートは、WebSEAL サーバーとポリシー・サーバーが通信するポートです。このポートは、1024 より大きく、使用可能になっていなければなりません。

このオプションは、-action config に必要になります。このオプションをコマンド行に指定しない場合、amwebcfg はユーザーに値を指定するようにプロンプトを出します。

-nw_interface_yn {yes|no}論理ネットワーク・インターフェースを使用するかどうかを指定します。有効なブール・インディケーターは、yes または no です。

追加の ,WebSEAL サーバー・インスタンスを追加する場合、この引き数は-action config に必要になります。デフォルト値はありません。このオプションをコマンド行に指定しない場合、amwebcfg はユーザーに値を指定するようにプロンプトを出します。

-operationsすべての有効なコマンド行オプションを印刷します。

-rspfile response_file

サイレント構成時に使用するための WebSEAL サーバー応答ファイルの完全修飾パスおよびファイル名を提供します。応答ファイルは、構成または構成解除の場合に使用できます。デフォルトの応答ファイル名はありません。応答ファイルには、スタンザと option=value ペア・スタンザ・エントリー


が含まれています。応答ファイルを使用するには、「IBM Tivoli Access

Manager for e-business Web Security インストール・ガイド」に記載の手順を参照してください。

-ssl_port ssl_port

WebSEAL サーバーと LDAP サーバーとの間で SSL 通信が行われるポート番号。デフォルトのポートは、636 です。

このオプションが必要になるのは、-action config の一部として ssl_ynが yes に設定された場合のみです。 ssl_yn が yes に設定され、このオプションがコマンド行に指定されていない場合、amwebcfg はユーザーに値を指定するようにプロンプトを出します。

-ssl_yn {yes|no}WebSEAL サーバーと LDAP サーバーとの間で SSL 通信を使用可能にするかどうかを指定します。有効なブール・インディケーターは、yes またはno です。

このオプションは、-action config に必要になります。デフォルト値はありません。このオプションをコマンド行に指定しない場合、amwebcfg はユーザーに値を指定するようにプロンプトを出します。

-usageこのコマンドの使用構文を表示します。例も表示します。

-? このコマンドの使用構文を表示します。例も表示します。

コメントamwebcfg を使用して WebSEAL サーバー・インスタンスをコマンド行から構成します。ユーティリティーは、対話モード、コマンド行モード、または応答ファイル・モードのいずれでも実行できます。対話モードでは、必要な値を指定するようにユーザーにプロンプトが出されます。コマンド行では、コマンド行からすべてのオプションを指定できます。ユーティリティーは、証明書ラベルおよび doc ルートを除いて、指定されていない必要なオプションがあれば、そのオプションを指定するようにプロンプトを出します。これらのオプションは、指定されない場合、デフォルト値が使用されます。応答ファイル・モードでは、ユーティリティーは必要なオプションを応答ファイルから入手します。応答ファイルに必要なオプションが含まれていない場合、値を指定するようにユーザーにプロンプトが出されます。応答ファイルは、手動で作成する必要があります。


例v 次の例は、1 つの連続するコマンドとして入力され、LDAP サーバーで SSL 通信を使用可能にして WebSEAL インスタンスを構成します。

amwebcfg -action config -inst_name default -host diamond.subnet2.ibm.com-listening_port 7234 -admin_id sec_master -admin_pwd mypassw0rd -ssl_yn yes-key_file /tmp/client.kdb -keyfile_pwd mypassw0rd -cert_label ibm_cert-ssl_port 636 -http_yn yes -http_port 80 -https_yn yes -https_port 443-doc_root /usr/docs

v 次の例は、1 つの連続するコマンドとして入力され、論理ネットワーク・インターフェースを使用するようにして、LDAP サーバーで SSL 通信を使用可能にしないように WebSEAL インスタンスを構成します。

amwebcfg -action config -host emerald.subnet2.ibm.com -listening_port 7235-inst_name web1 -nw_interface_yn yes -ip_address 111.222.333.222-admin_id sec_master -admin_pwd mypassw0rd -http_yn yes -http_port 81-https_yn yes -https_port 444

v 次の例は、デフォルトの WebSEAL インスタンスを構成解除します。

amwebcfg -action unconfig -admin_id sec_master -admin_pwd mypassw0rd

v 次の例は、1 行で入力され、web1 という名前の WebSEAL インスタンスを構成解除します。

amwebcfg -action unconfig -inst_name web1 -admin_id sec_master-admin_pwd mypassw0rd

アベイラビリティーこのコマンドは、次のデフォルトのインストール・ディレクトリーに入っています。


/opt/pdweb/bin/amwebcfg


c:¥Program Files¥Tivoli¥pdweb¥bin¥

デフォルト以外のインストール・ディレクトリーが選択された場合、このユーティリティーは、インストール・ディレクトリー (たとえば、install_dir¥bin¥) の下のbin ディレクトリーに入っています。

戻りコード以下の終了状況コードが戻されます。

0 コマンドが正常に完了しました。

1 コマンドが失敗しました。

コマンドが失敗すると、エラーの説明とエラー状況コードが 16 進形式で表示されます (たとえば、0x15c3a00c)。「IBM Tivoli Access Manager エラー・メッセージ・リファレンス」を参照してください。この解説書には、Tivoli Access

Manager エラー・メッセージのリストが 10 進数コードまたは 16 進数コード順に記載されています。


AMWLSConfigure -action configTivoli Access Manager を WebLogic サーバー用に構成します。

構文AMWLSConfigure -action config -domain_admin domain_admin

-domain_admin_pwd domain_admin_password -remote_acl_user remote_acl_user

-sec_master_pwd sec_master_pwd -pdmgrd_host pdmgrd_host -pdacld_hostpdacld_host [-deploy_extension {true|false}] [-wls_server_url wls_server_url][-am_domain am_domain] [-pdmgrd_port pdmgrd_port] [-pdacld_portpdacld_port] [-amwls_home amwls_home] [-verbose {true|false}]

パラメーター-am_domain am_domain

Tivoli Access Manager ドメインの名前を指定します。デフォルトのドメインは、Default です。

-amwls_home amwls_home

Tivoli Access Manager for WebLogic Server インストール・ディレクトリーへのパスを指定します。

-deploy_extension {true|false}Tivoli Access Manager Web Logic Server、バージョン 5.1 コンソール拡張機能が true に設定されている場合、このコンソール拡張機能をデプロイします。デフォルト値は true です。

-domain_admin domain_admin

WebLogic ドメイン・アドミニストレーターを指定します。

-domain_admin_pwd domain_admin_password


-pdacld_host pdacld_host

Tivoli Access Manager 許可サーバー・ホスト名を指定します。

-pdacld_port pdacld_port

Tivoli Access Manager 許可サーバー・ポート番号を指定します。デフォルトのポート番号は、7136 です。

-pdmgrd_host pdmgrd_host

Tivoli Access Manager ポリシー・サーバー・ホスト名を指定します。

-pdmgrd_port pdmgrd_port

Tivoli Access Manager ポリシー・サーバー・ポート番号を指定します。デフォルトのポート番号は、7135 です。

-remote_acl_user remote_acl_user

許可サーバー用に作成されている Tivoli Access Manager プリンシパルを指定します。

-sec_master_pwd sec_master_pwd

Tivoli Access Manager アドミニストレーター・パスワード (通常、sec_master)

を指定します。


-verbose {true|false}詳細出力が true に設定されている場合、詳細出力を使用可能にします。デフォルト値は false です。

-wls_server_url wls_server_url

ローカル WebLogic Server の URL を指定します。デフォルトは、次のとおりです。t3://localhost:7001



/opt/pdwls/sbin/


C:¥Program Files¥Tivoli¥pdwls¥sbin¥

デフォルト以外のインストール・ディレクトリーが選択された場合、このユーティリティーは、インストール・ディレクトリー (たとえば、install_dir¥sbin¥) の下の sbin ディレクトリーに入っています。




コマンドが失敗した場合、エラー・メッセージが表示されます。この問題の詳細な説明については、「IBM Tivoli Access Manager エラー・メッセージ・リファレンス」を参照してください。


AMWLSConfigure -action unconfigTivoli Access Manager を WebLogic サーバー用に構成解除します。

構文AMWLSConfigure -action unconfig -domain_admin_pwd domain_admin_pwd

-sec_master_pwd sec_master_pwd [-verbose {true|false}]

パラメーター-domain_admin_pwd domain_admin_pwd

Tivoli Access Manager for WebLogic Server ドメイン・アドミニストレーター・パスワードを指定します。

-sec_master_pwd sec_master_pwd

Tivoli Access Manager アドミニストレーター・パスワード (通常、sec_master)

を指定します。




/opt/pdwls/sbin/









AMWLSConfigure -action create_realmWebLogic サーバーにセキュリティー・レルムを作成します。

構文AMWLSConfigure -action create_realm -realm_name realm_name

-domain_admin_pwd domain_admin_pwd -user_dn_suffix user_dn_suffix

-group_dn_suffix group_dn_suffix -admin_group admin_group [-user_dn_prefixuser_dn_prefix] [-group_dn_prefix group_dn_prefix] [-sso_enabled {true|false}][-sso_user sso_user] [-sso_pwd sso_pwd] [-verbose {true|false}]

パラメーター-admin_group admin_group

内部構成目的で使用するために Tivoli Access Manager グループを指定します。

-domain_admin_pwd domain_admin_pwd


-group_dn_prefix group_dn_prefix

グループの作成時に使用するために識別名 (DN) プレフィックスを指定します。

-group_dn_suffix group_dn_suffix

グループの作成時に使用するために識別名 (DN) サフィックスを指定します。

-realm_name realm_name

作成中の WLS レルムの名前を指定します。

-sso_enabled {true|false}シングル・サインオン・サポートが true に設定されている場合、シングル・サインオン・サポートを使用可能にします。デフォルト値は false です。

-sso_pwd sso_pwd

シングル・サインオン・ユーザー (sso_user) のパスワードを指定します。

-sso_user sso_user

Tivoli Access Manager とのシングル・サインオン・トラスト・アソシエーションを作成するためのユーザーを指定します。

-user_dn_prefix user_dn_prefix

ユーザーの作成時に使用するために識別名 (DN) プレフィックスを指定します。

-user_dn_suffix user_dn_suffix

ユーザーの作成時に使用するために識別名 (DN) サフィックスを指定します。





/opt/pdwls/sbin/









AMWLSConfigure -action delete_realmWebLogic サーバーからセキュリティー・レルムを削除します。

構文AMWLSConfigure -action delete_realm -domain_admin_pwddomain_admin_pwd [-registry_clean {true|false}] [-verbose {true|false}]

パラメーター-domain_admin_pwd domain_admin_pwd


-registry_clean {true|false}構成時に作成されたユーザーおよびグループを除去します。デフォルト値はfalse です。




/opt/pdwls/sbin/









amwpmcfgWeb Portal Manager の構成、構成解除、Web Portal Manager のパッケージ名の検索、または Web Portal Manager の状況の提示を行います。

構文amwpmcfg -action config -host policy_server_host [-port policy_server_port]-waspath websphere_installation_path [-admin_id admin_id -admin_pwdadmin_password]

amwpmcfg -action config -interactive

amwebcfg -action config -rspfile response_file

amwebcfg -action unconfig -rspfile response_file

amwpmcfg -action unconfig [-admin_id admin_id -admin_pwd admin_password]-host policy_server_host [-port policy_server_port] -waspathwebsphere_installation_path

amwpmcfg -action unconfig -interactive [-admin_id admin_id -admin_pwdadmin_password

amwpmcfg -action status [-admin_id admin_id -admin_pwd admin_password]

amwpmcfg -operations

amwpmcfg -help [options]

amwpmcfg usage

amwpmcfg -?

パラメーター-action {config|name|status|unconfig}

実行されるアクションを指定します。アクションには、以下が含まれます。

config Tivoli Access Manager Web Portal Manager を構成するために使用します。

name Tivoli Access Manager Web Portal Manager パッケージ名を検索して、name 値を pdconfig ユーティリティーに戻します。このオプションを使用するのは、pdconfig のみです。このオプションは、コマンド行からは使用しないでください。

status Tivoli Access Manager Web Portal Manager の構成状況を判別し、状況を pdconfig ユーティリティーに戻すために使用します。このオプションを使用するのは、pdconfig のみです。このオプションは、コマンド行からは使用しないでください。

unconfigTivoli Access Manager Web Portal Manager を構成解除するために使用します。


-a admin_id

ユーザー admin_id としてログインします。このオプションを指定しない場合、プロンプトが出されます。

-p password

ユーザー admin_id のパスワードを指定します。このオプションを指定しない場合、パスワードについてプロンプトが出されます。-action config または -action unconfig オプションが使用されない限り、このオプションを使用できません。

-host policy_server_host


host_name の有効な値には、任意の有効な IP ホスト名が含まれます。

例: host = libra.dallas.ibm.com

-help [option]有効なコマンド行オプションの説明を表示することによって 1 つ以上のコマンド・オプションについてオンライン・ヘルプを提供します。

-interactiveグラフィカル・インターフェースを使用して Tivoli Access Manager Web

Portal Manager を構成する対話モードを指定します。指定しない場合、構成プログラムは非対話 (サイレント) モードで実行します。


-port policy_server_port

Tivoli Access Manager ポリシー・サーバー・ポート番号を指定します。デフォルト値は 7135 です。


サイレント構成時に使用するための Web Portal Manager 応答ファイルの完全修飾パスおよびファイル名を提供します。応答ファイルは、構成または構成解除の場合に使用できます。デフォルトの応答ファイル名はありません。応答ファイルには、スタンザと option=value ペア・スタンザ・エントリーが含まれています。詳しくは、 529ページの『第 27 章応答ファイルを使用する』を参照してください。


-waspath websphere_installation_path

IBM WebSphere Application Server ディレクトリーへのパスを指定します。websphere_installation_path は、/bin/wsadmin スクリプト・ファイルおよび/java/jre/lib/ext/PD.jar ファイルが存在することを検査することによって検証されます。WebSphere Application Server の必要なバージョンがインストールされていない場合、構成は続行できません。





/opt/PolicyDirector/sbin/


c:¥Program Files¥Tivoli¥Policy Director¥sbin¥








ivrgy_tool指定した LDAP サーバー上の Tivoli Access Manager スキーマを更新します。通常、このスキーマは、Tivoli Access Manager ポリシー・サーバー (pdmgrd) が構成されると、自動的に更新されます。Tivoli Access Manager の既存のインストールをマイグレーションするとき、LDAP サーバー上のスキーマは、このユーティリティーを使用して Tivoli Access Manager の現行バージョンにアップグレードする必要があります。

構文ivrgy_tool -h host_name -p port -D ldap_admin_dn -w ldap_admin_pwd -d [ -Z -Kldap-ssl-key-filename -P ldap-ssl-keyfile-password [ -N ldap-ssl-keyfile-label]] schema

パラメーター-d 詳細モードを示します。

-D ldap_admin_dn

LDAP アドミニストレーターの識別名を指定します。識別名の形式は、以下と同様です。

cn=root

-h host_name

LDAP サーバーの IP アドレスまたはホスト名を指定します。


例:

host = libra

host = libra.dallas.ibm.com

-K ldap-ssl-key-filename

SSL 鍵データベースの完全修飾パスおよびファイル名を指定します。このパラメーターは、-Z が指定されている場合のみ必須です。SSL 鍵格納ファイルを使用して、LDAP 通信に使用される証明書を処理します。ファイル・タイプは任意ですが、拡張子は通常 .kdb です。

Windows の場合の例: C:¥pd¥keytab¥ivmgrd.kdb

UNIX の場合の例: /opt/PolicyDirector/keytab/ivmgrd.kdb

-N ldap-ssl-keyfile-label

SSL の設定時にサーバーとクライアントの両方の認証を実行するようにLDAP サーバーが構成された場合 LDAP サーバーに送信される、SSL 鍵データベースにクライアント証明書のラベル名を指定します。

このパラメーターはオプションです。このパラメーターは、SSL が使用されており (-Z フラグを使用することによって示される)、また LDAP サーバーがクライアント認証を要求するように構成されている場合にのみ有効です。

デフォルトの Tivoli Access Manager 鍵データベースが使用されている場合、デフォルトのクライアント証明書ラベルは、PDLDAP です。


-p port

LDAP サーバーのポート番号を指定します。

port には、LDAP サーバー構成ポート番号を使用してください。デフォルトのポート番号は、Secure Sockets Layer (SSL) が使用されている場合、636 で、SSL が使用されていない場合、389 です。

-P ldap-ssl-keyfile-password

SSL 鍵データベースのパスワードを指定します。このパラメーターは、-Zオプションが指定されている場合のみ必須です。

注: デフォルトの SSL 鍵格納ファイルに関連したパスワードは、key4sslです。

-w ldap_admin_pwd

LDAP アドミニストレーターのパスワードを指定します。

-Z SSL が使用されることを示します。

schemaIBM Directory Server が Tivoli Access Manager スキーマで更新される必要があることを示します。バージョン 5.2 より前の IBM Directory Server のバージョンをマイグレーションする場合のみこのパラメーターを使用してください。

コメントTivoli Access Manager スキーマは、一連のファイルに定義されます。これらのファイルは、使用される LDAP サーバーのタイプに関連します。これらのファイルには、以下のように、Tivoli Access Manager LDAP スキーマが含まれます。

v secschema.def — IBM Directory Server に使用されます

v nsschema.def — Sun ONE Directory Server に使用されます

v novschema.def — Novell eDirectory Server に使用されます

これらのファイルは、Tivoli Access Manager ランタイムの一部としてインストールされ、Tivoli Access Manager ポリシー・サーバーを構成するときに自動スキーマ更新処理への入力として使用されます。

注: アドミニストレーターは、IBM Directory ldapmodify コマンドへの LDAP データ交換形式 (LDIF) 入力としてこれらのファイルを使用することによって、スキーマを適用したり更新したりすることもできます。




コマンドが失敗すると、エラーの説明とエラーが表示されます。


migrateEAR4セキュリティー・ポリシー情報をデプロイメント記述子 (エンタープライズ・アーカイブ・ファイル) から Tivoli Access Manager for WebSphere Application Server、バージョン 4.0.6 にマイグレーションします。

構文migrateEAR4 -j absolute_pathname_to_application_EAR_file -c URI -a admin_ID -padmin_pwd -w Websphere_admin_ID -d user_registry_domain_suffix [-rroot_objectspace_name] [-t ssl_timeout] [-e enterprise_application_name]

パラメーター-a admin_ID

Tivoli Access Manager アドミニストレーターを指定します。このアドミニストレーターは、ユーザー、オブジェクト、および ACL を作成するために必要な特権を持つ必要があります。たとえば、次のようになります。-a sec_master

このパラメーターはオプションです。このパラメーターを指定しない場合には、実行時にアドミニストレーターの名前を指定するようにユーザーにプロンプトが出されます。

-c URI

pdwascfg ユーティリティーによって構成されている PdPerm.properties ファイルの URI ロケーションを指定します。WebSphere Application Server がデフォルトのロケーションにインストールされる場合、URI は次のようになります。v AIX システムでは:

file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties


file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties


file:/c:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties

-d user_registry_domain_suffix

ユーザー・レジストリーによって使用されるドメイン・サフィックスを指定します。たとえば、LDAP ユーザー・レジストリーの場合、これは、次のようなドメイン・サフィックスです。

"o=ibm,c=us"

注:


2. pdadmin user show コマンドを使用してユーザーの DN を表示します。

-e enterprise_application_name

インストール済みの名前とは異なる表示名を持つ、インストール済みアプリケーションが正しくマイグレーションされるようにアプリケーション名を指定します。このオプションを指定しない場合、ユーティリティーは、.ear ファイルまたは .xml ファイルのいずれかを使用することによってアプリケーション名を判断しようとします。


アプリケーション名は、アプリケーションのデプロイメント時に変更することもまたは後で WebSphere コンソールによって変更することもできます。この変更は、EAR ファイルには反映されません。新しい名前を反映するように EAR ファイルを変更しない場合、正しくない保護オブジェクトが作成されます。-e オプションを使用して、アプリケーションの名前が WebSphere Application Server

コンソールに表示されたときにその名前を指定します。

-j path

Java 2 Enterprise Edition アプリケーション・アーカイブ・ファイルを指定します。オプションとして、このオプションは EAR ディレクトリーにすることもできます。

WebSphere Application Server がデフォルトのロケーションにインストールされる場合、マイグレーションする admin.ear ファイルへのパスは、以下のとおりです。v AIX システムでは:

/usr/WebSphere/AppServer/config/admin.ear


/opt/WebSphere/AppServer/config/admin.ear


C:¥WebSphere¥AppServer¥config¥admin.ear

-p admin_pwd

Tivoli Access Manager アドミニストレーターのパスワードを指定します。このアドミニストレーターは、ユーザー、オブジェクト、および ACL を作成するために必要な特権を持つ必要があります。たとえば、-a sec_master アドミニストレーターのパスワードを -p myPassword として指定できます。

このパラメーターはオプションです。このパラメーターを指定しない場合には、アドミニストレーターのパスワードを指定するようにユーザーにプロンプトが出されます。

-r root_objectspace_name

WebSphere Application Server のために作成される保護オブジェクト・ネーム・スペース階層のルートの名前である、ルート・オブジェクト・スペース名を指定します。このパラメーターはオプションです。ルート・オブジェクト・スペースのデフォルト値は、WebAppServer です。

デフォルト以外の名前を使用する場合、PDWAS.properties ファイルは、正しいオブジェクト・スペースにアクセスするように変更されることが必要になります。

アクション・グループ名は、ルート・オブジェクト・スペース名に一致します。したがって、ルート・オブジェクト・スペース名を指定すると、アクション・グループ名は、自動的に設定されます。

-t ssl_timeout

SSL タイムアウトの分数を指定します。このパラメーターは、デフォルトの接続がタイムアウトする前に Tivoli Access Manager 許可サーバーとポリシー・サーバーとの間の SSL コンテキストを切断および再接続するために使用されます。


デフォルトは 60 分です。最小は、10 分です。最大は、Tivoli Access Manager

ssl-v3-timeout 値を超えてはいけません。ssl-v3-timeout のデフォルト値は120 分です。

このパラメーターはオプションです。この値の管理に精通していない場合、デフォルト値を使用するのが安全です。

-w WebSphere_admin_ID

WebSphere Application Server セキュリティー・ユーザー・レジストリー・フィールドにアドミニストレーターとして構成されたアドミニストレーター名を指定します。これは、 256ページの『Tivoli Access Manager アドミニストレーターを WebSphere 用に作成する』で作成またはインポートしたアカウントと一致する必要があります。このユーザーとしてのアクセスが Tivoli Access Manager 保護オブジェクト・スペースを作成または更新するために必要になります。

WebSphere アドミニストレーターがまだ保護オブジェクト・スペースに存在しない場合、それは作成されるかインポートされます。この場合、そのユーザーにランダム・パスワードが生成され、アカウントは invalid に設定されます。このパスワードを既知のものに変更し、アカウントを valid に設定することが必要になります。

保護オブジェクトと ACL が作成されます。アドミニストレーターが以下のACL 属性を持つグループ pdwas-admin に追加されます。

v T — 全探索許可

v i — 起動許可

v WebAppServer — アクション・グループ名WebAppServer はデフォルト名です。

このアクション・グループ名 (および一致するルート・オブジェクト・スペース) は、-r オプションを指定してマイグレーション・ユーティリティーを実行すると、上書きされます。

グループ pdwas-admin は、admin.ear ファイルをマイグレーションする場合、admin の役割に追加する必要があります。

コメントこのユーティリティーは、セキュリティー・ポリシー情報をデプロイメント記述子(エンタープライズ・アーカイブ・ファイル) から Tivoli Access Manager for

WebSphere にマイグレーションします。ユーティリティーは、UNIX システム上のシェル・スクリプトとしておよび Windows システム上のバッチ・ファイルとしてインプリメントされます。スクリプトは、Java クラスcom.tivoli.pdas.migrate.Migrate を呼び出します。

スクリプトは、前提条件ソフトウェアのロケーションの正しい環境変数を見付けることに依存します。スクリプトは、以下のオプションを指定して Java を呼び出します。

v -Dpdwas.lang.home

Tivoli Access Manager for WebSphere と一緒に提供されるネイティブ言語サポート・ライブラリーが入っているディレクトリー。これらは、Tivoli Access

Manager for WebSphere インストール・ディレクトリーの下のサブディレクトリーにあります。以下に例を示します。


-Dpdwas.lang.home=%PDWAS_HOME%¥java¥nls

v -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate

CLASSPATH は、ご使用の Java インストールに正しく設定されなければなりません。

さらに、Windows で、-j オプションと -c オプションの両方は、WebSphere

Application Server がどこにインストールされているかを判別するために変数%WAS_HOME% を参照できます。この情報を使用して、以下を行います。

v エンタープライズ・アーカイブ・ファイルの絶対パス名を構築する。

v PdPerm.properties ファイルのロケーションへの完全 URI パス名を構築する



/opt/amwas/bin/


C:¥Program Files¥Tivoli¥amwas¥bin¥







migrateEAR5セキュリティー・ポリシー情報をデプロイメント記述子 (エンタープライズ・アーカイブ・ファイル) から Tivoli Access Manager for WebSphere Application Server、バージョン 5.0.2 にマイグレーションします。

構文migrateEAR5 -j path -c URI -a admin_ID -p admin_pwd -w Websphere_admin_user

-d user_registry_domain_suffix [-r root_objectspace_name] [-t ssl_timeout] [-eenterprise_application_name]

パラメーター-a admin_ID

アドミニストレーター ID を指定します。このアドミニストレーターは、ユーザー、オブジェクト、および ACL を作成するために必要な特権を持つ必要があります。たとえば、次のようになります。-a sec_master

このパラメーターはオプションです。このパラメーターを指定しない場合には、実行時にアドミニストレーターの名前を指定するようにユーザーにプロンプトが出されます。

-c URI

pdwascfg ユーティリティーによって構成されている PdPerm.properties ファイルの URI ロケーションを指定します。WebSphere Application Server がデフォルトのロケーションにインストールされる場合、URI は次のようになります。v AIX システムでは:

file:/usr/WebSphere/AppServer/java/jre/PdPerm.properties


file:/opt/WebSphere/AppServer/java/jre/PdPerm.properties


file:/c:¥WebSphere¥AppServer¥java¥jre¥PdPerm.properties

-d user_registry_domain_suffix

ユーザー・レジストリーによって使用されるドメイン・サフィックスを指定します。たとえば、LDAP ユーザー・レジストリーの場合、これは、次のようなドメイン・サフィックスです。

"o=ibm,c=us"

注:


2. pdadmin user show コマンドを使用してユーザーの DN を表示します。

-e enterprise_application_name

インストール済みの名前とは異なる表示名を持つ、インストール済みアプリケーションが正しくマイグレーションされるようにアプリケーション名を指定します。このオプションを指定しない場合、ユーティリティーは、.ear ファイルまたは .xml ファイルのいずれかを使用することによってアプリケーション名を判断しようとします。


アプリケーション名は、アプリケーションのデプロイメント時に変更することもまたは後で WebSphere コンソールによって変更することもできます。この変更は、EAR ファイルには反映されません。新しい名前を反映するように EAR ファイルを変更しない場合、正しくない保護オブジェクトが作成されます。-e オプションを使用して、アプリケーションの名前が WebSphere Application Server

コンソールに表示されたときにその名前を指定します。

-j path

Java 2 Enterprise Edition アプリケーション・アーカイブ・ファイルの完全修飾パスおよびファイル名を指定します。オプションとして、このパスを展開されたエンタープライズ・アプリケーションのディレクトリーにすることもできます。WebSphere Application Server がデフォルトのロケーションにインストールされる場合、マイグレーションするデータ・ファイルへのパスは次のようになります。v AIX システムでは:

/usr/WebSphere/AppServer/installedApps/cellname/adminconsole.ear/usr/WebSphere/AppServer/config/cells/cellname/admin-authz.xml/usr/WebSphere/AppServer/config/cells/cellname/naming-authz.xml


/opt/WebSphere/AppServer/installedApps/cellname/adminconsole.ear/opt/WebSphere/AppServer/config/cells/cellname/admin-authz.xml/opt/WebSphere/AppServer/config/cells/cellname/naming-authz.xml


C:¥Program Files¥WebSphere¥AppServer¥installedApps¥cellname¥adminconsole.earC:¥Program Files¥WebSphere¥AppServer¥config¥cells¥cellname¥admin-authz.xmlC:¥Program Files¥WebSphere¥AppServer¥config¥cells¥cellname¥naming-authz.xml

-p admin_pwd

Tivoli Access Manager アドミニストレーターのパスワードを指定します。このアドミニストレーターは、ユーザー、オブジェクト、および ACL を作成するために必要な特権を持つ必要があります。たとえば、-a sec_master アドミニストレーターのパスワードを -p myPassword として指定できます。

このパラメーターはオプションです。このパラメーターを指定しない場合には、アドミニストレーターのパスワードを指定するようにユーザーにプロンプトが出されます。

-r root_objectspace_name

WebSphere Application Server のために作成される保護オブジェクト・ネーム・スペース階層のルートの名前であるルート・オブジェクト・スペース名を指定します。このパラメーターはオプションです。

ルート・オブジェクト・スペースのデフォルト値は、WebAppServer です。デフォルト以外の名前を使用する場合、PDWAS.properties ファイルは、正しいオブジェクト・スペースにアクセスするように変更されることが必要になります。

アクション・グループ名は、ルート・オブジェクト・スペース名に一致します。したがって、ルート・オブジェクト・スペース名を指定すると、アクション・グループ名は、自動的に設定されます。

-t ssl_timeout


SSL タイムアウトの分数を指定します。このパラメーターは、デフォルトの接続がタイムアウトする前に Tivoli Access Manager 許可サーバーとポリシー・サーバーとの間の SSL コンテキストを切断および再接続するために使用されます。

デフォルトは 60 分です。最小は、10 分です。最大は、Tivoli Access Manager

ssl-v3-timeout 値を超えてはいけません。ssl-v3-timeout のデフォルト値は120 分です。

このパラメーターはオプションです。この値の管理に精通していない場合、デフォルト値を使用するのが安全です。

-w WebSphere_admin_user

WebSphere Application Server セキュリティー・ユーザー・レジストリー・フィールドにアドミニストレーターとして構成されたユーザー名を指定します。これは、 256ページの『Tivoli Access Manager アドミニストレーターを WebSphere

用に作成する』で作成またはインポートしたアカウントと一致する必要があります。このユーザーのアクセス権は Tivoli Access Manager 保護オブジェクト・スペースを作成または更新するために必要になります。

WebSphere アドミニストレーターがまだ保護オブジェクト・スペースに存在しない場合、それは作成されるかインポートされます。この場合、そのユーザーにランダム・パスワードが生成され、アカウントは invalid に設定されます。このパスワードを既知のものに変更し、アカウントを valid に設定することが必要になります。

保護オブジェクトと ACL が作成されます。アドミニストレーターが以下のACL 属性を持つグループ pdwas-admin に追加されます。

v T — 全探索許可

v i — 起動許可

v WebAppServer— アクション・グループ名WebAppServer はデフォルト名です。

このアクション・グループ名 (および一致するルート・オブジェクト・スペース) は、-r オプションを指定してマイグレーション・ユーティリティーを実行すると、上書きされます。

コメントこのユーティリティーは、セキュリティー・ポリシー情報をデプロイメント記述子(エンタープライズ・アーカイブ・ファイル) から Tivoli Access Manager for

WebSphere にマイグレーションします。ユーティリティーは、UNIX システム上のシェル・スクリプトとしておよび Windows システム上のバッチ・ファイルとしてインプリメントされます。スクリプトは、Java クラスcom.tivoli.pdas.migrate.Migrate を呼び出します。

スクリプトは、前提条件ソフトウェアのロケーションの正しい環境変数を見付けることに依存します。スクリプトは、以下のオプションを指定して Java を呼び出します。

v -Dpdwas.lang.home





v -cp %CLASSPATH% com.tivoli.pdwas.migrate.Migrate

CLASSPATH は、ご使用の Java インストールに正しく設定されなければなりません。

さらに、Windows で、-j オプションと -c オプションの両方は、WebSphere

Application Server がどこにインストールされているかを判別するために変数%WAS_HOME% を参照できます。この情報を使用して、以下を行います。

v エンタープライズ・アーカイブ・ファイルの絶対パス名を構築する。

v PdPerm.properties ファイルのロケーションへの完全 URI パス名を構築する



/opt/amwas/bin/


C:¥Program Files¥Tivoli¥amwas¥bin¥







pdbackupTivoli Access Manager データのバックアップ、復元、および抽出を行います。

構文pdbackup -action backup -list path_to_list_file [-path path] [-file filename]

pdbackup -action restore -file filename [-path path]

pdbackup -action extract -file filename -path path

pdbackup -usage

pdbackup -?

パラメーターオプション名を短縮できますが、省略は明白なものにする必要があることに注意してください。たとえば、-action には -a を、または -list には -l を入力できます。しかし、オプションの値は短縮できません。

-action [backup|restore|extract]データのバックアップ、復元、または抽出を行うために指定します。

-file filename

以下のいずれかを指定します。

v -a backup オプションで指定した場合、list_filename_date.time[.tar|.dar]デフォルト・ファイル名以外のファイル名を指定します。

アーカイブ・ファイルのデフォルト名は、使用されるリストの名前で、日時スタンプが含まれています。以下に例を示します。

– UNIX

/var/PolicyDirector/pdbackup/list_filename_date.time.tar

– Windows

C:¥Program Files¥Tivoli¥PolicyDirector¥pdbackup¥list_filename_date.time.dar

v -a restore オプションで指定した場合、復元するアーカイブ・ファイルの名前および完全修飾パスを指定します。デフォルト・パスはありません。このオプションは、-a restore オプションの使用時に必要になります。

v -a extract オプションで指定した場合、抽出するアーカイブ・ファイルの名前および完全修飾パスを指定します。デフォルト・パスはありません。このオプションは、-a extract オプションの使用時に必要になります。

-list path_to_list_file

アーカイブ・ファイルまたはサービス・リスト・ファイル (さまざまなスタンザが入っている ASCII ファイル) のいずれかへの完全修飾パスを指定します。このオプションは、-a backup オプションの使用時に必要になりま


す。パスとリスト・ファイル名の両方ともコンポーネントに依存します。各コンポーネントは自分のリストを自分のディレクトリーに入れておくことができます。

v UNIX システムで、通常のパスは次のとおりです。

/opt/PolicyDirector/etc/pdbackup.lst

v Windows システムで、通常のパスは次のとおりです。

C:¥Program Files¥Tivoli¥PolicyDirector¥etc¥pdbackup.lst

-path path

以下のような、リスト・ファイルを入れる代替ディレクトリーを指定します。

v -a backup オプションで指定した場合、バックアップ・ファイルを保管したいパスを指定します。-a backup オプションの使用時にパスを指定しない場合、デフォルト・パスは以下のいずれかになります。

– UNIX システムで、デフォルト・パスは次のとおりです。

/var/PolicyDirector/pdbackup/

– Windows システムで、デフォルト・パスは次のとおりです。

amrte_install_dir¥pdbackup¥

ここで、amrte_install_dir は、Tivoli Access Manager ランタイムがインストールされているディレクトリーを指定します。

v UNIX システムでのみ、-a restore オプションで指定した場合、指定した path にアーカイブ・ファイルを復元することを示します。デフォルトで、復元パスは、データのバックアップをとるときに使用したディレクトリー上にあります。Windows システムで、復元プロセスは -p オプションをサポートしません。

v -a extract オプションで指定した場合、抽出ファイルを保管したいディレクトリー名を指定します。デフォルト・パスはありません。-p オプションは、-a extract オプションの使用時に必要になります。



コメントpdbackup コマンドを使用して Tivoli Access Manager データのバックアップをとり、復元します。復元アクションの代替として、すべてのアーカイブ・ファイルを単一ディレクトリーに抽出できます。

このコマンドは、以下の 3 つのシナリオで最もよく使用されます。

v Tivoli Access Manager Base コンポーネント・ファイルのバックアップ、復元、および抽出。

v Tivoli Access Manager WebSEAL コンポーネント・ファイルのバックアップ、復元、および抽出。

v Tivoli Access Manager Web サーバー・コンポーネント・ファイルのバックアップ、復元、および抽出。


3 つのシナリオのみを検討することに注意してください。しかし、任意の Tivoli

Access Manager Base コンポーネント・ファイルおよび Tivoli Access Manager サーバー・ファイルのバックアップ、復元、および抽出を行うことができます。

Tivoli Access Manager ファイルのバックアップ

バックアップ・アクションは、 -file オプションへの引き数からアーカイブするためのバックアップ・リスト・ファイル名を取得します。date および time は、ファイルの作成時間を反映します。サービス・リスト・ファイルの名前を指定しない場合には、デフォルトのサービス・リスト・ファイル名が自動的に使用されます。これらの 3 つのシナリオのコンポーネント固有のバックアップ・リスト・ファイルを、表表 46 に示します。

バックアップ・リスト・ファイルは、Tivoli Access Manager インストール・ディレクトリーの下の pdbackup ディレクトリーにあります。-path オプションを使用してバックアップ・リスト・ファイルを入れる代替ディレクトリーを指定します。

次の表は、Tivoli Access Manager がコンポーネントのデフォルトのインストール・ディレクトリーにインストールされる場合、バックアップ・リスト・ファイルのロケーションを示します。

表 46. バックアップ・リスト・ファイル

Tivoli Access Manager Base

UNIX /var/PolicyDirector/pdbackup/pdbackup.lst_ddmmmyyyy.hh_mm.tar

Windows amrte_install_dir¥pdbackup¥pdbackup.lst_ddmmmyyyy.hh_mm.dar

Tivoli Access Manager WebSEAL

UNIX /var/pdweb/pdbackup/amwebbackup.lst_ddmmmyyyy.hh_mm.tar

Windows amrte_install_dir¥PDweb¥pdbackup¥amwebbackup.lst_ddmmmyyyy.hh_mm.dar

Tivoli Access Manager Plug-in for Web Servers

UNIX /var/pdwebpi/pdbackup/pdwebpi.lst_ddmmmyyyy.hh_mm.tar

Windows amrte_install_dir¥PDwebpi¥pdbackup¥pdwebpi.lst_ddmmmyyyy.hh_mm.dar

たとえば、UNIX の場合の代表的な Tivoli Access Manager Base コンポーネントのバックアップ・リスト・ファイル名は、backup.lst_14Oct2003.11_22.tar になります。

Tivoli Access Manager サービス情報ファイルのバックアップ

また、バックアップ・アクションは、バックアップ・リスト・ファイル名を作成します。

バックアップ・アクションは、 -file オプションへの引き数からアーカイブするためのサービス・リスト・ファイル名を取得します。date および time は、サービス・リスト・ファイルの作成時間を反映します。サービス・リスト・ファイルの名前を指定しない場合には、デフォルトのサービス・リスト・ファイル名が自動的に使用されます。これらの 3 つのシナリオのコンポーネント固有のバックアップ・リスト・ファイルを、表 495ページの表 47 に示します。


サービス・リスト・ファイルのロケーションは、-path オプションを使用して指定できます。ロケーションを指定しない場合は、デフォルトのロケーションが使用されます。また、サービス・リスト・ファイルは、Tivoli Access Manager コンポーネントのインストール・ディレクトリーの下の etc ディレクトリーにもあります。

次の表は、Tivoli Access Manager がコンポーネントのデフォルトのインストール・ディレクトリーにインストールされる場合、サービス・リスト・ファイルのロケーションを示します。

表 47. サービス・リスト・ファイル (pdinfo)

サービス・リスト・ファイル

Tivoli Access Manager Base

UNIX /opt/PolicyDirector/etc/pdinfo.lst_ddmmmyyyy.hh_mm.tar

Windows C:¥Program

Files¥Tivoli¥PolicyDirector¥etc¥pdinfo.lst_ddmmmyyyy.hh_mm.dar

Tivoli Access ManagerWebSEAL

UNIX /opt/pdweb/etc/pdinfo-amwebbackup.lst_ddmmmyyyy.hh_mm.tar

Windows C:¥Program Files¥Tivoli¥PolicyDirector¥etc¥pdinfo-amwebbackup.lst

_ddmmmyyyy.hh_mm.dar

Tivoli Access Manager Plug-in for Web Servers

UNIX /opt/pdweb/etc/opt/pdwebpi/etc/pdinfo-pdwebpi.lst_ddmmmyyyy.hh_mm.tar

Windows C:¥Program

Files¥Tivoli¥PDWebpi¥etc¥pdinfo-pdwebpi.lst_ddmmmyyyy.hh_mm.dar

たとえば、UNIX の場合の代表的な Tivoli Access Manager Base コンポーネントのサービス・リスト・ファイル名は、pdinfo.lst_14Oct2003.11_22.tar になります。

Tivoli Access Manager ファイルの復元

ファイルを復元すると、ファイルは、ディレクトリー階層に入れられます。階層のロケーションは、以下のとおりです。

v UNIX

アーカイブ・ファイルは、デフォルトでルート・ディレクトリーに復元されます。-path を使用して代替ディレクトリーを指定できます。UNIX システムでは、オプションを指定しない限り、ファイルを特定のディレクトリー・ツリーに復元できます。

v Windows

アーカイブ・ファイルは、元のディレクトリーに復元されます。-path オプションは使用可能ではありません。

Tivoli Access Manager ファイルの抽出

pdbackup を使用してファイルをバックアップ・アーカイブから抽出します。ファイルは、単一のディレクトリーに入れられます。ファイルは、ディレクトリー・ツリー構造に入れられません。

-file オプションを使用して、抽出するアーカイブ・ファイルの名前および完全修飾パスを指定します。


-path オプションを使用して、抽出したファイルが入れられているディレクトリーを指定します。

注: Windows レジストリー・キーは、-a extract オプションで更新されません。



/opt/PolicyDirector/bin/


c:¥Program Files¥Tivoli¥Policy Director¥bin¥


例Tivoli Access Manager Base のバックアップ

v この例では、アーカイブ・ファイルのデフォルト値を使用することによってバックアップをとります。

UNIXpdbackup -a backup -list /opt/PolicyDirector/etc/pdbackup.1st

Windowspdbackup -a backup -list installation_dir¥etc¥pdbackup.1st

注: pdbackup -a backup -l の短縮形も受け入れ可能です。

このコマンドによって作成されたアーカイブ・ファイルの例を次に示します。command:

UNIX:/var/PolicyDirector/pdbackup/pdbackup.lst_15dec2003.10_41.tar

Windows¥installation_dir¥pdbackup¥pdbackup.lst_15dec2003.10_41.dar

v この例では、アーカイブ・ファイルの代替ロケーションを指定することによってバックアップをとります。次の例は、バックアップを実行して、デフォルトのアーカイブ・ファイルを /var/backup ディレクトリー (UNIX) または C:¥pdback

(Windows) に作成します。

UNIXpdbackup -a backup -list /opt/PolicyDirector/etc/pdbackup.1st -p /var/backup

Windowspdbackup -a backup -list installation_dir¥etc¥pdbackup.1st -path c:¥pdback

v この例では、アーカイブ・ファイルの代替名を指定することによってバックアップをとります。次の例は、バックアップを実行して、pdarchive.tar (UNIX) または pdarchive.dar (Windows) という名前のファイルを作成します。ファイルは、デフォルトのアーカイブ・ディレクトリーにあります。


UNIXpdbackup -a backup -list /opt/PolicyDirector/etc/pdbackup.1st -f pdarchive

Windowspdbackup -a backup -list base_dir¥etc¥pdbackup.1st -f pdarchive

デフォルトのアーカイブ拡張子 (UNIX の場合 .tar、Windows の場合 .dar) がpdarchive ファイル名に付加されます。このファイルは、デフォルトのアーカイブ・ディレクトリー /var/PolicyDirector/pdbackup (UNIX) またはinstallation_dir¥pdbackup (Windows) に保管されます。

Tivoli Access Manager WebSEAL のバックアップ


UNIXpdbackup -a backup -list /opt/pdweb/etc/amwebbackup.1st

Windowspdbackup -a backup -list installation_dir¥etc¥amwebbackup.1st


UNIX:/var/PolicyDirector/pdbackup/amwebbackup.lst_15dec2003.10_41.tar

Windows¥installation_dir¥pdbackup¥amwebbackup.lst_15dec2003.10_41.dar



UNIXpdbackup -a backup -list /opt/pdweb/etc/amwebbackup.1st -p /var/backup

Windowspdbackup -a backup -list installation_dir¥etc¥amwebbackup.1st -path c:¥pdback

v この例では、アーカイブ・ファイルの代替名を指定することによってバックアップをとります。次の例は、バックアップを実行して、amwebarchive.tar (UNIX)

または amwebarchive.dar (Windows) という名前のファイルを作成します。ファイルは、デフォルトのアーカイブ・ディレクトリーにあります。

UNIXpdbackup -a backup -list /opt/pdweb/etc/amwebbackup.1st -f amwebarchive

Windowspdbackup -a backup -list base_dir¥etc¥amwebbackup.1st -f amwebarchive


Tivoli Access Manager Plug-in for Web Servers のバックアップ



UNIXpdbackup -a backup -list /opt/pdwebpi/etc/pdwebpi.lst

Windowspdbackup -a backup -list install-dir¥etc¥pdwebpi.lst


UNIX:/var/PolicyDirector/pdbackup/pdinfo-pdwebpi_15dec2003.10_41.tar

Windows¥installation_dir¥pdbackup¥pdinfo-pdwebpi_15dec2003.10_41.dar



UNIXpdbackup -a backup -list /opt/pdweb/etc/pdwebpi.lst -p /var/backup

Windowspdbackup -a backup -list installation_dir¥etc¥pdwebpi.lst -path c:¥pdback

v この例では、アーカイブ・ファイルの代替名を指定することによってバックアップをとります。次の例は、バックアップを実行して、amwebarchive.tar (UNIX)

または amwebarchive.dar (Windows) という名前のファイルを作成します。ファイルは、デフォルトのアーカイブ・ディレクトリーにあります。

UNIXpdbackup -a backup -list /opt/pdweb/etc/pdwebpi.lst -f amwebarchive

Windowspdbackup -a backup -list base_dir¥etc¥pdwebpi.lst -f amwebarchive


Tivoli Access Manager Base の復元

v この例は、アーカイブ・ファイルをデフォルトのロケーションに保管したときにアーカイブ・ファイルの内容を復元します。

UNIXpdbackup -a restore -f /var/PolicyDirector/pdbackup/pdbackup.1st_15dec2003.07_24.tar

Windowspdbackup -a restore -f base_dir¥pdbackup¥pdbackup.1st_15dec2003.07_24.dar

v この例は、/var/pdback (UNIX) または ¥pdbackup (Windows) などの、デフォルトではないロケーションにアーカイブ・ファイルを保管したときにアーカイブ・ファイルの内容を復元します。


UNIXpdbackup -a restore -f /var/pdback/pdbackup.1st_15dec2003.07_25.tar

Windowspdbackup -a restore -f h:¥pdbackup¥pdbackup.1st_15dec2003.07_25.dar

v (UNIX のみ) この例は、デフォルトではないロケーション /var/pdback にアーカイブ・ファイルを保管したときにアーカイブ・ファイルの内容を復元します。ディレクトリー /pdtest の下に復元したディレクトリー階層を置きます。

pdbackup -a restore -p pdtest -f /var/pdback/pdbackup.1st_15dec2003.07_25.tar

Tivoli Access Manager WebSEAL の復元


UNIXpdbackup -a restore -f /var/PolicyDirector/pdbackup/amwebbackup.1st_15dec2003.07_24.tar

Windowspdbackup -a restore -f base_dir¥pdbackup¥amwebbackup.1st_15dec2003.07_24.dar

v (UNIX のみ) この例は、デフォルトではないロケーション /var/pdback にアーカイブ・ファイルを保管したときにアーカイブ・ファイルの内容を復元します。ディレクトリー /amwebtest の下に復元したディレクトリー階層を置きます。

pdbackup -a restore -p amwebtest -f /var/pdback/amwebbackup.1st_15dec2003.07_25.tar

Tivoli Access Manager Plug-in for Web Servers の復元


UNIXpdbackup -a restore -f /var/PolicyDirector/pdbackup/pdinfo-pdwebpi.lst_15dec2003.07_24.tar

Windowspdbackup -a restore -f install_directory¥pdbackup¥pdinfo-pdwebpi.lst_15dec2003.07_24.dar

v (UNIX のみ) この例は、デフォルトではないロケーション /var/pdback にアーカイブ・ファイルを保管したときにアーカイブ・ファイルの内容を復元します。ディレクトリー /amwebtest の下に復元したディレクトリー階層を置きます。

pdbackup -a restore -p amwebtest -f /var/pdback/pdinfo-pdwebpi.lst_15dec2003.07_25.tar

Tivoli Access Manager Base の抽出

この例では、アーカイブ・ファイルの内容を /var/pdbackup (UNIX) またはC:¥pdback (Windows) から pdextract という名前のディレクトリーに抽出します。

UNIXpdbackup -a extract -p pdextract -f /var/pdbackup/pdbackup.1st_15dec2003.07_25.tar


Windowspdbackup -a extract -p e:¥pdextract -f c:¥pdback¥pdbackup.1st_15dec2003.07_25.dar

pdextract ディレクトリーが存在しない場合には、そのディレクトリーが自動的に作成されます。

Tivoli Access Manager WebSEAL の抽出

この例では、アーカイブ・ファイルの内容を /var/pdbackup (UNIX) またはC:¥pdback (Windows) から amwebextract という名前のディレクトリーに抽出します。

UNIXpdbackup -a extract -p amwebextract -f /var/pdbackup/pdbackup.1st_15dec2003.07_25.tar

Windowspdbackup -a extract -p e:¥amwebextract -f c:¥pdback¥pdbackup.1st_15dec2003.07_25.dar

amwebextract ディレクトリーが存在しない場合には、そのディレクトリーが自動的に作成されます。

Tivoli Access Manager Plug-in for Web Servers の抽出

この例では、アーカイブ・ファイルの内容を /var/pdbackup (UNIX) またはC:¥pdback (Windows) から amwebextract という名前のディレクトリーに抽出します。

UNIXpdbackup -a extract -p amwebextract -f /var/pdbackup/pdinfo-pdwebpi.lst_15dec2003.07_25.tar

Windowspdbackup -a extract -p e:¥amwebextract -f c:¥pdback¥pdinfo-pdwebpi.lst_15dec2003.07_25.dar

amwebextract ディレクトリーが存在しない場合には、そのディレクトリーが自動的に作成されます。







pdconfigTivoli Access Manager コンポーネントを構成および構成解除するための対話式メニューを提示します。

構文pdconfig

パラメーターありません。





c:¥Program Files¥Tivoli¥Policy Director¥bin¥








pdjrtecfgTivoli Access Manager Java ランタイム・コンポーネントを構成します。Tivoli

Access Manager Java ランタイム・コンポーネントを使用して Java アプリケーションは Tivoli Access Manager セキュリティーを管理および使用できます。

構文pdjrtecfg -action config -host policy_server_host [-port policy_server_port][-java_home jre_home] [-domain domain_name] [-config_type full] [-enable_tcd[-tcd path]]

pdjrtecfg -action config [-config_type standalone]


pdjrtecfg -action config -rspfile response_file

pdjrtecfg -action unconfig -rspfile response_file

pdjrtecfg -action unconfig [-java_home {jre_home| all}][-remove_common_jars]

pdjrtecfg -action unconfig -interactive

pdjrtecfg -action status [-java_home jre_home]

pdjrtecfg -action name

pdjrtecfg -operations

pdjrtecfg -help [options]

pdjrtecfg -usage

pdjrtecfg -?

パラメーター-action {config|name|status|unconfig}

実行されるアクションを指定します。アクションには、以下が含まれます。

config Tivoli Access Manager Java ランタイム・コンポーネントを構成するために使用します。

name Tivoli Access Manager Java ランタイム・コンポーネントの名前値を pdconfig ユーティリティーに戻します。このオプションを使用するのは、pdconfig のみです。このオプションは、コマンド行からは使用しないでください。

status Tivoli Access Manager Java ランタイム・コンポーネントの構成状況情報を判別して、pdconfig ユーティリティーに戻します。このオプションを使用するのは、pdconfig のみです。このオプションは、コマンド行からは使用しないでください。


unconfigTivoli Access Manager Java ランタイム・コンポーネントを構成解除するために使用します。

-config_type {full|standalone}構成モードを指定します。有効な値は、以下のとおりです。

full Tivoli Access Manager Java ランタイム・コンポーネント構成プログラムが実行するために Tivoli Access Manager ポリシー・サーバーの情報を要求する構成モードを指定します。このデフォルト値は、full です。

standaloneTivoli Access Manager Java ランタイム・コンポーネント構成プログラムが実行するために Tivoli Access Manager ポリシー・サーバーの情報を要求しない構成モードを指定します。このモードでは、Tivoli Access Manager ポリシー・サーバーを必要とせずに、Tivoli

Access Manager Java API を使用できます。

-domain domain_name

構成される Java ランタイム・コンポーネントのローカル・ドメインを指定します。ローカル・ドメインは、明示的なドメインを指定しない場合にプログラムによって使用される Tivoli Access Manager セキュア・ドメインです。このオプションを指定しない場合、ローカル・ドメインはデフォルトとして管理ドメインになります。

-enable_tcd [-tcd path]Tivoli Common Directory (TCD) ロギングがまだ使用可能になっていない場合、それを使用可能にして、共通ロギングで使用するための完全修飾パス・ロケーションを指定します。 TCD を使用可能にすると、すべての Tivoli

Access Manager メッセージ・ログ・ファイルは、この共通ディレクトリー・ロケーションに入れられます。

-help [options]有効なコマンド行オプションの説明を表示することによって 1 つ以上のコマンド・オプションについてオンライン・ヘルプを提供します。代替として、特定のコマンド行オプションについてオンライン・ヘルプを提供します。

-host policy_server_host



例:

host = libra

host = libra.dallas.ibm.com

-interactiveTivoli Access Manager Java ランタイム・コンポーネントを構成するための構成情報についてユーザーにプロンプトが出される対話モードを指定します。指定しない場合、構成プログラムは非対話 (サイレント) モードで実行します。


注: pdjrtecfg -interactive (対話モード) を使用する場合、またはpdconfig ユーティリティーを使用する場合、Sun JRE、バージョン 1.4

の構成は失敗します。非対話モードでは、pdjrtecfg ユーティリティーを使用して構成する必要があります。 Tivoli Access Manager Java ランタイム、バージョン 1.4 は、pdjrtecfg -interactive (対話モード) または pdconfig ユーティリティーを使用する場合に機能することに注意してください。

-java_home jre_path

Java ランタイム・ディレクトリー (JRE で終了するディレクトリーなど) への完全修飾パスを指定します。-java_home を指定しない場合、現行の JRE

が使用されます。以下に例を示します。

c:¥Program Files¥IBM¥JAVA13¥JRE

構成解除 (-action unconfig) 時に、すべての構成済み JRE を構成解除する、all オプションを指定できます。


-port policy_server_port

Tivoli Access Manager ポリシー・サーバー・ポート番号を指定します。デフォルト値は 7135 です。

-remove_common_jarsTivoli Access Manager Java ランタイム・コンポーネントの構成時に JRE

に追加された IBM 関連 JAR ファイルのみを除去します。Tivoli Access

Manager Java ランタイム・コンポーネントの構成の前に JRE に存在したJAR は、-remove_common_jars オプションを指定したかどうかに関係なく、いずれも削除されません。

構成解除時のみ、ロギングおよびセキュリティー JAR ファイルなどの、他の IBM 関連 JAR ファイルを削除するように指定します。


サイレント・インストール時に使用するための Java ランタイム・コンポーネント応答ファイルの完全修飾パスおよびファイル名を提供します。応答ファイルは、構成または構成解除の場合に使用できます。デフォルトの応答ファイル名はありません。応答ファイルには、スタンザと option=value ペア・スタンザ・エントリーが含まれています。詳しくは、 529ページの『第27 章応答ファイルを使用する』を参照してください。



コメントこのコマンドは、システムにすでにインストールされていた Java ランタイムのために存在するライブラリー拡張ディレクトリーに Tivoli Access Manager Java ライブラリーをコピーします。


このコマンドを使用しても、ファイルが存在する場合に上書きされる、PD.jar ファイルを除いて、jre_home¥lib¥ext ディレクトリーにすでに存在する JAR ファイルを上書きしません。

指定のマシンに複数の Java ランタイムをインストールできます。pdjrtecfg コマンドを使用して、JRE のそれぞれとは独立して Tivoli Access Manager Java ランタイムを構成できます。

注: pdjrtecfg ユーティリティーを使用して、PdJrteCfg Java クラスは直接使用しないようにしてください。

例1. 次の例は、Tivoli Access Manager Java ランタイム・コンポーネントを構成します。

pdjrtecfg -action config -host sys123.acme.com -port 7135-java_home E:¥apps¥IBM¥Java131¥jre

2. 次の例は、Tivoli Access Manager Java ランタイム・コンポーネントを構成解除します。

pdjrtecfg -action unconfig -java_home E:¥apps¥IBM¥Java131¥jre-remove_common_jars



/opt/PolicyDirector/sbin/


c:¥Program Files¥Tivoli¥Policy Director¥sbin¥








pd_startUNIX システム上のサーバーを停止、始動および再始動します。サーバー状況の表示も行います。

注: Windows システムでは、「Services」フォルダーを使用してください。

構文pd_start start [server_name ]

pd_start stop [server_name ]

pd_start restart [server_name ]

pd_start status [server_name ]

パラメーターrestart すべての構成済み Tivoli Access Manager サーバーを再始動しま

す。

start ローカル・システムで現在実行していないすべての Tivoli Access

Manager サーバーを始動します。

status すべての構成済み Tivoli Access Manager サーバー (実行中または停止済み) の状況を表示します。

stop ローカル・システムで現在実行していないすべての Tivoli Access

Manager サーバーを停止します。

コメントシステムの始動およびシャットダウン時に実行する自動スクリプトによってサーバー・プロセスは、通常使用可能および使用不可にされます。UNIX 環境で、pd_start 実行可能ファイルを使用してサーバー・プロセスを手動で開始および停止することもできます。この手法は、インストールをカスタマイズする必要がある場合、またはトラブルシューティング・タスクを実行する必要がある場合に役立ちます。

pd_start を使用さえすればローカル・マシン上のサーバーを始動および停止できます。

アベイラビリティーこのコマンドは、UNIX システム上の次のデフォルトのインストール・ディレクトリーに入っています。


デフォルト以外のインストール・ディレクトリーが選択された場合、このユーティリティーは、インストール・ディレクトリー (たとえば、install_dir/bin/) の下のbin ディレクトリーに入っています。


pdwascfgTivoli Access Manager for WebSphere Application Server を構成または構成解除します。このユーティリティーは、アドミニストレーターが sec_master として作成したドメインのみをサポートすることに注意してください。

構文pdwascfg -action {configWAS4|configWAS5} -remote_acl_user user

-sec_master_pwd password -was_home was_home_dir -pdmgrd_hostpolicy_server_hostname -pdacld_host authorization_server_hostname[-amwas_homeamwas_install_path] [-pdmgrd_port policy_server_port] [-pdacld_portauthorization_server_port] [-embedded {true|false}] [-action_type{all|local|remote}] [-am_domain was_domain] [-cfg_url pdjrte_config_file_URL][-key_url pdjrte_keystore_URL ] [-verbose {true|false}]

pdwascfg -action {unconfigWAS4|unconfigWAS5} -remote_acl_user user

-sec_master_pwd password -was_home was_install path -pdmgrd_hostpolicy_server_hostname -pdacld_host authorization_server_hostname

pdwascfg -help [ options]

パラメーター-action {configWAS4|configWAS5}このコマンドが実行するアクションを指定します。Tivoli Access Manager for

WebSphere Application Server を構成します。

-action {unconfigWAS4|unconfigWAS5}このコマンドが実行するアクションを指定します。Tivoli Access Manager for

WebSphere Application Server を構成解除します。

-action_type {all|local|remote}必要な構成のレベルを指定します。指定可能な値は、all、local、またはremote です。local オプションは、ローカル・マシン上で必要な構成変更のみ実行します (no SvrSslCfg を意味します)。remote オプションは、リモート・マシン上で必要な構成変更のみ実行します (SvrSslCfg を意味します)。コマンドのデフォルトは、all です。

-am_domain was_domain

Tivoli Access Manager for WebSphere の Tivoli Access Manager ドメインを指定します。Tivoli Access Manager 認証サーバー (pdacld) はドメインに入っていなければならず、ドメインは Tivoli Access Manager 保護オブジェクト・スペースに存在する必要があります。

-amwas_home amwas_install_path

Tivoli Access Manager for WebSphere がデフォルトのロケーションにインストールされていない場合、Tivoli Access Manager for WebSphere インストールのロケーションを指定します。-action {configWAS4|configWAS5} または-action {unconfigWAS4|unconfigWAS5} オプションでこのパラメーターを使用します。


注: Tivoli Access Manager for WebSphere がデフォルト・ロケーションにインストールされている場合、pdwascfg コマンドの一部として-amwas_home オプションを指定する必要はありません。

-cfg_url pdjrte_config_file_url

PDJrte プロパティー・ファイルのロケーションを指定します。オプション-action_type remote または -action_type all を指定した場合、このファイルは構成時に作成され、構成解除時に除去されます。

-embedded {true|false}true に設定した場合、この製品を WebSphere と一緒にパッケージングすることを指定します。デフォルト値は false です。

-help [options]コマンドのオプション名と簡略説明をリストします。1 つ以上のオプションを指定した場合、それぞれのオプションと簡略説明をリストします。

-key_url pdjrte_keystore_url

PDJrte 鍵保管ファイルのロケーションを指定します。オプション -action_typeremote または -action_type all を指定した場合、このファイルは構成時に作成され、構成解除時に除去されます。

-pdacld_host authorization_server_hostname

Tivoli Access Manager 許可サーバーのホスト名が含まれています。-action{configWAS4|configWAS5} または -action {unconfigWAS4|unconfigWAS5}オプションでこのパラメーターを使用します。

-pdacld_port authorization_server_port

標準ポートと異なるようにポートが構成された場合のみ、Tivoli Access Manager

許可サーバーのポート番号を指定します。-action {configWAS4|configWAS5}または -action {unconfigWAS4|unconfigWAS5} オプションでこのパラメーターを使用します。このオプションを使用する場合には、pdmgrd_port も指定する必要があることに注意してください。

-pdmgrd_host policy_server_hostname

Tivoli Access Manager ポリシー・サーバーのホスト名が含まれています。-action {configWAS4|configWAS5} または -action{unconfigWAS4|unconfigWAS5} オプションでこのパラメーターを使用します。

-pdmgrd_port policy_server_port

標準ポートと異なるようにポートが構成された場合のみ、Tivoli Access Manager

ポリシー・サーバーのポート番号を指定します。-action{configWAS4|configWAS5} または -action {unconfigWAS4|unconfigWAS5}オプションでこのパラメーターを使用します。

-remote_acl_user user

許可サーバーとの通信のために作成されたプリンシパルを指定します。このパラメーターは、Tivoli Access Manager 許可サーバーとの SSL 接続のために使用されます。ユーザーがそのレジストリーに存在してはいけません。-action{configWAS4|configWAS5} または -action {unconfigWAS4|unconfigWAS5}オプションでこのパラメーターを使用します。

たとえば、次のようになります。-remote_acl_user pdpermadmin


-sec_master_pwd password

アドミニストレーター (通常 sec_master) のパスワードを指定します。-action{configWAS4|configWAS5} または -action {unconfigWAS4|unconfigWAS5}オプションでこのパラメーターを使用します。

-verbose {true|false}詳細出力が true に設定されている場合、詳細出力を使用可能にします。それ以外の場合、詳細出力を使用不可にします。デフォルト値は false です。

-was_home was_home_dir

WebSphere Application Server インストールのホーム・ディレクトリーへの完全修飾パスを指定します。-action {configWAS4|configWAS5} または -action{unconfigWAS4|unconfigWAS5} オプションでこのパラメーターを使用します。


v AIX では (WAS4 および WAS5):

/usr/WebSphere/AppServer

v HP-UX、Linux、または Solaris では (WAS4 および WAS5):

/opt/WebSphere/AppServer

v Windows では:

WAS 4 → c:¥WebSphere¥AppServerWAS 5 → "c:¥Program Files¥WebSphere¥AppServer"

コメントpdwascfg ユーティリティーは、UNIX システム上のシェル・スクリプトとしておよび Windows システム上のバッチ・ファイルとしてインプリメントされます。アクション config を使用して起動した場合、ユーティリティーは、以下のタスクを完了します。

v Tivoli Access Manager for WebSphere を使用するように WebSphere を構成します。

v Java クラス com.tivoli.mts.SvrSslCfg を呼び出して、Tivoli Access Manager

for WebSphere authorization コンポーネントとポリシー・サーバーおよび許可サーバーの両方との間の SSL 通信を構成します。

v Tivoli Access Manager for WebSphere クラスのユーザー ID をホスト・システム上に作成します。

スクリプトは、前提条件ソフトウェアのロケーションの正しい環境変数を見付けることに依存します。環境変数 %WAS_HOME% を WebSphere Application Server インストール・ディレクトリーに合わせて設定します。%PDWAS_HOME% を Tivoli

Access Manager for WebSphere インストール・ディレクトリーのディレクトリー・ロケーションに設定します。pdwascfg コマンド・ファイルは、以下のオプションを指定して Java を呼び出します。

v -Dpdwas.lang.home





v -Dpdwas.home

Tivoli Access Manager for WebSphere のホーム (インストール) ディレクトリー。以下に例を示します。

-Dpdwas.home=%PDWAS_HOME%

注: Tivoli Access Manager for WebSphere をインストールした後で、新規コマンド・ウィンドウが開かれたときのみこの環境変数が設定されます。

v -Dwas.home

WebSphere Application Server のホーム (インストール) ディレクトリー。以下に例を示します。

-Dwas.home=%WAS_HOME%

pdwascfg によって作成される、サンプル Java コマンド。

java -Dpdwas.lang.home=%PDWAS_HOME%¥java¥nls-Dpdwas.home=%PDWAS_HOME%-Dwas.home=%WAS_HOME%PDWAScfg -action configWAS5-remote_acl_user pdpermadmin-sec_master_pwd myPassword-was_home c:¥WebSphere¥AppServer-pdmgrd_host pdmgrserver.mysubnet.ibm.com-pdacld_host pdacldserver.mysubnet.ibm.com



/opt/amwas/sbin/


C:¥Program Files¥Tivoli¥amwas¥sbin¥







pdwebUNIX システムで WebSEAL サーバーを始動、停止、または再始動したり、サーバー状況を表示したりします。

構文pdweb start [WebSEAL_server_instance_name ]

pdweb stop [WebSEAL_server_instance_name ]

pdweb restart [WebSEAL_server_instance_name ]

pdweb status [WebSEAL_server_instance_name ]

パラメーターstart 始動する WebSEAL サーバーを指定します。インス

タンス名引き数は、オプションです。インスタンス名を指定しない場合、すべてのインスタンスが始動します。

stop 停止する WebSEAL サーバーを指定します。インスタンス名引き数は、オプションです。インスタンス名を指定しない場合、すべてのインスタンスが停止します。

restart 再始動する WebSEAL サーバーを指定します。インスタンス名引き数は、オプションです。インスタンス名を指定しない場合、すべてのインスタンスが再始動します。

status すべての WebSEAL サーバーの状況を表示します。

WebSEAL_server_instance_name WebSEAL サーバー・インスタンスの名前をserver_name-host_name の形式で指定します。

たとえば、単一の WebSEAL サーバーの場合、server_name は default-webseald です。同一マシン上の複数の WebSEAL インスタンスの場合、server_name は、WebSEAL サーバー・インスタンスの構成済みの名前で、-webseald がその後に続きます。たとえば、WebSEAL インスタンスの構成済みの名前が、webseal2 である場合、server_name は次のとおりです。webseal2-webseald

このインスタンス名の最大長は 20 文字です。以下の文字が使用できます。v 任意の ASCII 文字 (A-Z または a-z)

v ピリオド ( . )

v ダッシュ ( - )

v 下線 ( _ )


コメントpdweb コマンドがサポートされるのは、UNIX システム上のみです。

pdweb コマンドを pdweb_start コマンドに置換できます。

注: Windows システムでは、net コマンドを使用して WebSEAL サーバーを始動および停止できます。

例v この例は、最初の WebSEAL サーバーおよびすべての構成済みサーバー・インスタンスを始動します。

# /usr/bin/pdweb start

v この例は、特定のサーバー・インスタンスのみを始動します。

# /usr/bin/pdweb start webseal3

v この例は、すべての構成済み WebSEAL サーバー・インスタンスを再始動します。

# /usr/bin/pdweb restart

v この例は、すべての構成済み WebSEAL サーバー・インスタンスを停止します。

# /usr/bin/pdweb stop

v この例は、特定のサーバー・インスタンスのみを停止します。

# /usr/bin/pdweb stop webseal3

v この例は、すべての構成済みサーバーの状況を表示します。

# /opt/PolicyDirector/bin/pdweb status

Access Manager Serversサーバー使用可能実行中------------------------------------------webseald はいはいwebseald-webseal2 はいはいwebseald-webseal3 はいはい

アベイラビリティーこのコマンドは、次のデフォルト・ディレクトリーに入っています。


/opt/pdweb/bin/pdweb_start

デフォルト以外のインストール・ディレクトリーが選択された場合、このユーティリティーは、インストール・ディレクトリー (たとえば、install_dir/bin/) の下のbin ディレクトリーに入っています。




コマンドが失敗すると、エラーの説明とエラー状況コードが 16 進形式で表示されます (たとえば、0x15c3a00c)。「IBM Tivoli Access Manager エラー・メッセ


ージ・リファレンス」を参照してください。この解説書には、Tivoli Access



pdwebpiTivoli Access Manager Plug-in for Web Servers のバージョン情報を提供します。また、Plug-in for Web Servers をデーモンとして実行するかどうかを決定したり、それをフォアグラウンドで実行したりします。

構文pdwebpi [-foreground] [-version]

パラメーター-foreground

Plug-in for Web Servers バイナリーを、デーモンとして実行するのではなく、フォアグラウンドで実行します。

-versionPlug-in for Web Servers インストールのバージョン情報を提供します。



/opt/pdwebpi/bin/


C:¥Program Files¥Tivoli¥pdwebpi¥bin¥





コマンドが失敗すると、エラーの説明とエラー状況コードが 16 進形式で表示されます (たとえば、0x14c012f2)。「IBM Tivoli Access Manager エラー・メッセージ・リファレンス」を参照してください。この解説書には、Tivoli Access



pdwebpi_startUNIX インストール・システム上の Tivoli Access Manager Plug-in for Web Servers

プロセスを始動、再始動、および停止します。Tivoli Access Manager base 製品が始動したり、停止したりすると、Plug-in for Web Servers は自動的に始動したり、停止したりすることに注意してください。また、すべての Web サーバーの状況を表示します。

注: 必要な場合、pdwebpi_start コマンドを使用して Plug-in for Web Servers を、Tivoli Access Manager base 製品とは独立して、コントロールできます。

構文pdwebpi_start start

pdwebpi_start stop

pdwebpi_start restart

pdwebpi_start status

パラメーターpdwebpi_start {start|stop|restart|status} where:

startWeb Servers プロセスを UNIX インストール上で開始します。

stopWeb Servers プロセスを UNIX インストール上で停止します。

restartWeb Servers プロセスを UNIX インストール上で停止してから再始動します。

statusUNIX インストールでの Plug-in for Web Servers の状況情報を提供します。

コメントplug-in Windows インストール・システムを始動したり、停止したりするには、「サービス (Services)」コントロール・パネルで Plug-in for Web Servers プロセスを識別して、該当するコントロール・ボタンを使用します。



/opt/pdwebpi/sbin/


C:¥Program Files¥Tivoli¥pdwebpi¥sbin¥





1 エラーが発生しました。


pdwpi-versionTivoli Access Manager Plug-in for Web Servers インストールのバージョンおよび著作権情報をリストします。

構文pdwpi-version [-h] [-V] [-l | binary [binary ... ]]

パラメーター-h ヘルプまたは使用法メッセージを表示します。

-l パッケージのバージョンのみでなく、すべてのバイナリーのバージョンをリストする、ロング・リストを指定します。

-V pdwpi-version バイナリーのバージョン情報を表示します。

binary [binary]指定したバイナリーまたは、バイナリー・ファイルを指定しない場合すべてのファイルのバージョン情報を表示します。



/opt/pdwebpi/bin/






1 エラーが発生しました。


pdwpicfg -action config

Tivoli Access Manager Plug-in for Web Servers を構成します。

構文pdwpicfg -action config -admin_id admin_id -admin_pwd admin_pwd

-auth_port authorization_port_number -web_server {iis|iplanet|ihs|apache}-iis_filter {yes|no} -web_directory server_install_directory -vhosts virtual_host_id

-ssl_enable {yes|no} -keyfile keyfile -key_pwd key_password -key_labelkey_label -ssl_port ssl_port_number

pdwpicfg -action config -interactive {yes|no}

pdwpicfg -action config -rspfile response_file

pdwpicfg -operations

pdwpicfg -help [ options]

pdwpicfg -usage

pdwpicfg -?

パラメーター-admin_id admin_id

Tivoli Access Manager アドミニストレーター ID (通常、sec_master) を指定します。

-admin_pwd admin_pwd

アドミニストレーター admin_id のパスワードを指定します。

-auth_port authorization_port_number

許可サーバーのポート番号を指定します。デフォルトのポート番号は、7237 です。

-help [options]オプション名と簡略説明をリストします。1 つ以上のオプションを指定した場合、それぞれのオプションと簡略説明をリストします。

-interactive {yes|no}yes の場合、コマンドの対話モードを使用可能にし、それ以外の場合、コマンドの対話モードを使用不可にします。デフォルト値は yes です。

-iis_filter {yes|no}yes の場合 Internet Information Services Web Server フィルター処理を使用可能にし、それ以外の場合 IIS フィルター処理を使用不可にします。

-keyfile keyfile

LDAP SSL 鍵格納ファイルを指定します。デフォルト値はありません。コマンドを対話モードで実行しておらず、Plug-in for Web Servers と LDAP との間のSSL を使用可能にした場合、このオプションを指定します。


-key_label key_label

LDAP SSL 鍵ラベルを指定します。デフォルト値はありません。コマンドを対話モードで実行しておらず、Plug-in for Web Servers と LDAP との間の SSL

を使用可能にした場合、このオプションを指定します。

-key_pwd key_password

LDAP SSL 鍵格納ファイル・パスワードを指定します。

-operationsオプション名のそれぞれを、説明を付けずに、順にリストします。


サイレント・インストール時に使用するための Plug-in for Web Servers 応答ファイルの完全修飾パスおよびファイル名を提供します。応答ファイルは、構成または構成解除の場合に使用できます。デフォルトの応答ファイル名はありません。応答ファイルには、スタンザと option=value ペア・スタンザ・エントリーが含まれています。詳しくは、 529ページの『第 27 章応答ファイルを使用する』を参照してください。

-ssl_enable {yes|no}yes の場合 LDAP との SSL 通信を使用可能にします。それ以外の場合 LDAP

との SSL 通信を使用不可にします。デフォルト値は yes です。

-ssl_port ssl_port_number

LDAP SSL ポートを指定します。デフォルトのポート番号は、636 です。


-vhosts virtual_host_id

保護される仮想ホストを指定します。値は、仮想ホスト ID をコンマで区切ったリストの形式にします。仮想ホスト ID 間にスペースを入れてはいけません。

-web_directory server_install_directory

Web サーバーのインストール・ディレクトリーを指定します。

-web_server {iis|iplanet|ihs|apache}Plug-in for Web Servers をインストールする Web サーバー・タイプを指定します。選択可能な値は、Internet Information Services の場合 iis、Sun ONE Server

の場合 iplanet、IBM HTTP Server の場合 ihs、または Apache Server の場合apache です。このオプションのデフォルトは、構成済みの Web サーバーのタイプとロケーションです。




/opt/pdwebpi/bin/




pdwpicfg -action unconfig

Tivoli Access Manager Plug-in for Web Servers を構成解除します。

構文pdwpicfg -action unconfig -admin_id admin_id -admin_pwd admin_pwd -force{yes|no} -remove {none|acls|objspace|all} -vhosts virtual_host_id

pdwpicfg -action unconfig -interactive {yes|no}

pdwpicfg -action unconfig -rspfile response_file

pdwpicfg -operations

pdwpicfg -help [ options]

pdwpicfg -usage

pdwpicfg -?

パラメーター-admin_id admin_id

Tivoli Access Manager アドミニストレーター ID (通常、sec_master) を指定します。

-admin_pwd admin_pwd

アドミニストレーター admin_id のパスワードを指定します。

-force {yes|no}ポリシー・サーバーと通信できない場合でも構成解除プロセスの進行を強制します。デフォルト値は no です。

-help [options]オプション名と簡略説明をリストします。1 つ以上のオプションを指定した場合、それぞれのオプションと簡略説明をリストします。

-interactive {yes|no}yes の場合、コマンドの対話モードを使用可能にし、それ以外の場合、コマンドの対話モードを使用不可にします。デフォルト値は yes です。

-operationsオプション名のそれぞれを、説明を付けずに、順にリストします。

-remove {none|acls|objspace|all}オブジェクト・スペースまたは ACL またはその両方を構成解除プロセスの一部として除去するかどうかを指定します。デフォルト値は none です。


サイレント・インストール時に使用するための Plug-in for Web Servers 応答ファイルの完全修飾パスおよびファイル名を提供します。応答ファイルは、構成または構成解除の場合に使用できます。デフォルトの応答ファイル名はありませ


ん。応答ファイルには、スタンザと option=value ペア・スタンザ・エントリーが含まれています。詳しくは、 529ページの『第 27 章応答ファイルを使用する』を参照してください。


-vhosts virtual_host_id

構成解除される仮想ホストの ID を指定します。値は、仮想ホスト ID をコンマで区切ったリストの形式にします。仮想ホスト ID 間にスペースを入れてはいけません。




/opt/pdwebpi/bin/










wesosmEdge Server plug-in 用の Tivoli Access Manager オブジェクト・スペースを作成して、維持します。

構文wesosm -start [-infile input_file] [-logging [log_file] [-clean][-force [ branch]][-fast]

wesosm -stop [-infile input_file] [-logging [log_file] [-clean][-force [ branch]][-fast]

wesosm -run [-infile input_file] [-logging [log_file] [-clean][-force [ branch]][-fast]

wesosm -file [-infile input_file] [-logging [log_file] [-clean][-force [ branch]][-fast]

wesosm -skiperrors

wesosm -verbose

パラメーター-clean 構成ファイル、osdef.conf に見付からない、/ESproxy の下のオブ

ジェクト・スペースからすべてのエントリーを除去します。オブジェクト・スペースが削除されると、付加された ACL があればそれが失われるため、このオプションを使用するときは注意してください。

-fast Tivoli Access Manager オブジェクト・スペースと Web サーバーのファイル・システムとの間の相違点を検査するときにオブジェクト名のみを比較し、タイプは比較しません。Tivoli Access Manager オブジェクト・タイプは、オブジェクト・スペース・エントリーがファイルかディレクトリーかどうかを示します。たとえば、Web サーバー上の既存のファイルがディレクトリーに変更されたが名前が引き続き同じ場合に、このパラメーターを指定すると、ユーティリティーはこれを検出しません。

-file [output_file]オブジェクト・スペース・マネージャーを始動してオブジェクト・スペースを一度更新してからユーティリティーを終了します。Tivoli

Access Manager オブジェクト・スペースを更新せずに、指定したファイルにオブジェクト・スペース情報が書き込まれます。

-force [branch]オブジェクト・スペース・マネージャーをデーモンとして始動した場合、次の更新を間隔で待機する前に、ユーティリティーにオブジェクト・スペースの最初の更新を強制します。指定した場合、オブジェクト・スペースの示された分岐のみが更新されます。分岐を指定するためにワイルドカードを使用できます。


-infile input_file

オブジェクト・スペースの更新に使用される、構成ファイル、osdef.conf のロケーションを指定します。

-logging [log_file]オブジェクト・スペース・マネージャーがオブジェクト・スペースの更新をログ・ファイルに記録する必要があるかどうかを示します。ログ・ファイルを指定しない場合、デフォルトのログ・ファイル wesosm.log が使用されます。

-run オブジェクト・スペース・マネージャーを始動してオブジェクト・スペースを一度更新してからユーティリティーを終了します。

-skiperrors オブジェクト・スペースの更新中に Tivoli Access Manager オブジェクト・スペースを更新するエラーを検出した場合に強制終了しません。これは、オブジェクト・スペースに無効なエントリーが含まれている場合に役立ちます。

-start オブジェクト・スペース・マネージャーをデーモンとして始動します。osdef.conf 構成ファイルに構成されているように、デーモンはそれ自身をメモリーにインストールして決められた間隔でオブジェクト・スペースを更新します。これによって、対応する Web サーバー上の内容と同期してオブジェクト・スペースを保持されます。

-stop オブジェクト・スペース・マネージャー・デーモンを停止します。デーモンは、メモリーからそれ自身をメモリーから除去して、オブジェクト・スペースをそれ以降更新を行うことを停止します。

-verbose オブジェクト・スペースの更新時に、オブジェクト・スペースで作成、削除、および変更されたエントリーに関する情報を表示します。



/opt/pdweb-lite/bin/


C:¥Program Files¥Tivoli¥pdweb-lite¥bin¥






wslstartwteEdge Server キャッシング・プロキシーを手動で始動して、plug-in for Edge Server

を UNIX にロードします。

構文wslstartwte


コメントplug-in for Edge Server を Windows で始動するには、IBM キャッシング・プロキシー・サービスを使用します。












wslstopwteUNIX システム上の Edge Server キャッシング・プロキシーを停止します。

構文wslstopwte


コメントplug-in for Edge Server を Windows で停止するには、IBM キャッシング・プロキシー・サービスを使用します。












第 27 章応答ファイルを使用する

Tivoli Access Manager コンポーネントのインストールおよび構成を簡素化するために応答ファイルを作成できます。応答ファイルは、コンポーネントをインストールして構成するために必要な製品とシステム情報を含んでいるテキスト・ファイルです。不在 (サイレント) インストールを実行する場合に役立ちます。インストール・プロセスでは、ブランクを埋めるためのプロンプトを出す代わりに応答ファイルから情報を読み取ります。テキスト・エディターを使用してコンポーネントを追加したり、オプションをカスタマイズしたりして、将来のインストールで応答ファイルを再使用することもできます。

応答ファイルのテンプレートにある値を編集して、以下のように、スクリプトを実行します。

install_amrte -options filename

ここで、filename は、テンプレート・ファイルの名前です。以下に例を示します。

install_amrte -options d:¥temp¥response

表 48 には、インストール・ウィザード方式を使用して、Tivoli Access Manager

Base システムのインストール用の応答ファイル・テンプレートをリストします。これらのテンプレートは、サポートされるプラットフォームの ¥rspfile directory on

IBM Tivoli Access Manager Base CD に収納されています。

表 48. インストール・ウィザードの応答ファイル・テンプレート

次の Tivoli Access Manager Baseシステムをインストールして構成します。

テンプレート

許可サーバー install_amacld.options.template

開発 (ADK) install_amadk.options.template

Java ランタイム環境 install_amjrte.options.template

ポリシー・サーバー install_ammgr.options.template

ポリシー・プロキシー・サーバー install_amproxy.options.template

ランタイム install_amrte.options.template

Web Portal Manager install_amwpm.options.template

IBM DB2 を使用する IBM Tivoli Directory

Server

install_ldap_server.options.template

install_db2.options.template

530ページの表 49 には、インストール・ウィザード方式を使用して、Tivoli Access

Manager Web Security システムのインストール用の応答ファイル・テンプレートをリストします。 Attribute Retrieval Service テンプレートを除いて、これらのテンプレートは、IBM Tivoli Access Manager Web Security CD の ¥rspfile ディレクトリーに収納されています。Attribute Retrieval Service テンプレートは、サポートされるプラットフォームの IBM Tivoli Access Manager Attribute Retrieval Service CD に収納されています。



次の Tivoli Access Manager WebSecurity システムをインストールして構成します。

テンプレート

Tivoli Access Manager for WebSphere install_amwas.options.template

WebSEAL サーバー install_amweb.options.template

WebSEAL 開発 (ADK) install_amwebadk.options.template

Attribute Retrieval Service install_amwebars.options.template

Tivoli Access Manager for WebLogic install_amwls.options.template

応答ファイルは、以下の Tivoli Access Manager コンポーネント用のネイティブ・インストール・ユーティリティーを使用して構成でも使用可能です。


Tivoli Access Manager コンポーネントテンプレート

Access Manager WebSEAL Server (構成) amweb_config.rsp.template

Access Manager WebSEAL Server (構成解除)

amweb_unconfig.rsp.template

Access Manager Web Portal Manager (構成) amwpmcfg.rsp.template

Access Manager Java Runtime Environment

(構成)

pdjrtecfg.rsp.template

Access Manager Policy Proxy Server (構成) pdproxycfg.rsp.template

応答ファイル・テンプレート以下は、ポリシー・サーバー・システムをインストールして構成するための応答ファイルを作成するために使用されるテンプレートの例です。テンプレートを完了するために必要になる構成オプションについては、 357ページの『第 22 章インストール・ウィザードのオプション』を参照してください。

################################################################################## InstallShield Options File Template## Wizard name: Setup# Wizard source: install_ammgr_setup.jar# Created on: Thu Oct 02 17:06:17 CDT 2003# Created by: InstallShield Options File Generator# Recorded for IBM Tivoli Access Manager 5.1## This file can be used to create an options file (i.e. response file) for the# wizard "Setup". Options files are used with "-options" on the command line to# modify wizard settings.## The settings that can be specified for the wizard are listed below. To use# this template, follow these steps:## 1. Enable a setting below by removing leading ’###’ characters from the# line (search for ’###’ to find settings you can change).## 2. Specify a value for a setting by replacing the characters ’<value>’.# Read each settings documentation for information on how to specify its# value.

応答ファイルを使用する


## 3. Save the changes to the file.## 4. To use the options file with the wizard, specify -options <file-name># as a command line argument to the wizard, where <file-name> is the name# of this options file.#################################################################################

################################################################################## User Input Field - regType## Enter the registry type. The valid options are: LDAP, Active Directory, or# Domino.#

### -W AMRTE_RegistryTypeUIPanel.regType="<value>"

################################################################################## Directory name## Specify the product’s installation directory.#

### -W GSKIT_DestinationPanel.productInstallLocation=<value>


### -W LDAPC_DestinationPanel.productInstallLocation=<value>


### -W AMRTE_DestinationPanel.productInstallLocation=<value>

################################################################################## User Input Field - useTcd## Enable Tivoli Common Logging (yes or no)#

### -W AM_TCDPanel.useTcd="<value>"

#################################################################################


第 27 章応答ファイルを使用する 531

# User Input Field - tcdDir## Tivoli Common Directory - full path#

### -W AM_TCDPanel.tcdDir="<value>"

################################################################################## User Input Field - hostName## Host name of the Policy Server in the secure domain.#

### -W AMRTE_ServerOptionsUIPanel.hostName="<value>"

################################################################################## User Input Field - listeningPort## Port on which the policy server listens.#

### -W AMRTE_ServerOptionsUIPanel.listeningPort="<value>"

################################################################################## User Input Field - certFile## If the policy server allows the automatic download of the cerfificate file,# leave this option blank. Otherwise you must specify the file name here.#

### -W AMRTE_ServerOptionsUIPanel.certFile="<value>"

################################################################################## User Input Field - localDomain## Enter the local domain name. Use Default if you do not need to specify one.#

### -W AMRTE_ServerOptionsUIPanel.localDomain="<value>"

################################################################################## User Input Field - localHostName## Local host name with domain extension#

### -W AMRTE_ServerOptionsUIPanel.localHostName="<value>"

################################################################################## User Input Field - ldapHost## Host name of the IBM Directory server (LDAP)#



### -W AMRTE_LDAPOptionsUIPanel.ldapHost="<value>"

################################################################################## User Input Field - ldapPort## LDAP Listening Port#

### -W AMRTE_LDAPOptionsUIPanel.ldapPort="<value>"

################################################################################## User Input Field - enableSSL## Enable SSL communication with the LDAP server - yes or no#

### -W AMRTE_LDAPOptionsUIPanel.enableSSL="<value>"

################################################################################## User Input Field - multipleDomains## Use multiple domains for Active Directory configuration: 1=Yes or 0=No#

### -W AMRTE_ADServerInfoUIPanel.multipleDomains="<value>"

################################################################################## User Input Field - hostName## Active Directory host name#

### -W AMRTE_ADServerInfoUIPanel.hostName="<value>"

################################################################################## User Input Field - domainName##

### -W AMRTE_ADServerInfoUIPanel.domainName="<value>"

################################################################################## User Input Field - encryptedConnection## Enable encrypted connections with the Active Directory server: 1=Yes, 0=No#

### -W AMRTE_ADServerInfoUIPanel.encryptedConnection="<value>"

################################################################################## User Input Field - multipleDomains#



# Use multiple domains for Active Directory configuration: 1=Yes or 0=No#

### -W AMRTE_ADServerInfoDifDomUIPanel.multipleDomains="<value>"

################################################################################## User Input Field - hostName## Active Directory host name#

### -W AMRTE_ADServerInfoDifDomUIPanel.hostName="<value>"

################################################################################## User Input Field - domainName## Active Directory domain name#

### -W AMRTE_ADServerInfoDifDomUIPanel.domainName="<value>"

################################################################################## User Input Field - enableSSL##

### -W AMRTE_ADServerInfoDifDomUIPanel.enableSSL="<value>"

################################################################################## User Input Field - adminId## Active Directory administrator id#

### -W AMRTE_ADAdminInfoUIPanel.adminId="<value>"

################################################################################## User Input Field - adminPwd## Active Directory administrator password#

### -W AMRTE_ADAdminInfoUIPanel.adminPwd="<value>"

################################################################################## User Input Field - sslKeyfile## Full path to the LDAP SSL client keyfile#



### -W AMRTE_SSLOptionsUIPanel.sslKeyfile="<value>"

################################################################################## User Input Field - sslKeyfilePassword## Password of the LDAP SSL client keyfile#

### -W AMRTE_SSLOptionsUIPanel.sslKeyfilePassword="<value>"

################################################################################## User Input Field - sslKeyfileLabel## LDAP SSL client keyfile label (DN) - only if required#

### -W AMRTE_SSLOptionsUIPanel.sslKeyfileLabel="<value>"

################################################################################## User Input Field - sslPort## LDAP SSL port number#

### -W AMRTE_SSLOptionsUIPanel.sslPort="<value>"

################################################################################## User Input Field - distName## Access Manager data location: distinguished name#

### -W AMRTE_ADDataInfoUIPanel.distName="<value>"


### -W LDAPC_DestinationPanel_AD.productInstallLocation=<value>

################################################################################## User Input Field - dominoServer## Domino Server name#

### -W AMRTE_DominoUIPanel.dominoServer="<value>"



################################################################################## User Input Field - notesClientPwd## Notes client password#

### -W AMRTE_DominoUIPanel.notesClientPwd="<value>"

################################################################################## User Input Field - nabDbName## NAB database name#

### -W AMRTE_DominoUIPanel.nabDbName="<value>"

################################################################################## User Input Field - amDbName## Access Manager database name#

### -W AMRTE_DominoUIPanel.amDbName="<value>"


### -W AMMGR_DestinationPanel.productInstallLocation=<value>

################################################################################## User Input Field - secmasterPwd##

### -W AMMGR_ConfigOptions.secmasterPwd="<value>"

################################################################################## User Input Field - secmasterPwdConfirm## Re-enter the password for confirmation.#

### -W AMMGR_ConfigOptions.secmasterPwdConfirm="<value>"



################################################################################## User Input Field - secmasterPort##

### -W AMMGR_ConfigOptions.secmasterPort="<value>"

################################################################################## User Input Field - SSLcertlife##

### -W AMMGR_ConfigOptions.SSLcertlife="<value>"

################################################################################## User Input Field - SSLtimeout##

### -W AMMGR_ConfigOptions.SSLtimeout="<value>"

################################################################################## User Input Field - ldapadminid##

### -W AMMGR_ConfigOptions.ldapadminid="<value>"

################################################################################## User Input Field - ldapadminpwd##

### -W AMMGR_ConfigOptions.ldapadminpwd="<value>"

################################################################################## User Input Field - enableSSL## Enable SSL - 1=Yes, 0=No#

### -W AMMGR_EnableSSLUIPanel.enableSSL="<value>"

################################################################################## User Input Field - sslKeyfile## Full path to the SSL client keyfile#



### -W AMMGR_SSLOptionsUIPanel.sslKeyfile="<value>"

################################################################################## User Input Field - sslKeyfilePassword## Password for the SSL client keyfile#

### -W AMMGR_SSLOptionsUIPanel.sslKeyfilePassword="<value>"

################################################################################## User Input Field - sslKeyfileLabel## SSL client keyfile label#

### -W AMMGR_SSLOptionsUIPanel.sslKeyfileLabel="<value>"

################################################################################## User Input Field - sslPort## SSL port number#

### -W AMMGR_SSLOptionsUIPanel.sslPort="<value>"



特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM

の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒106-0032東京都港区六本木 3-2-31IBM World Trade Asia CorporationLicensing

以下の保証は、国または地域の法律に沿わない場合は、適用されません。IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム (本プログラムを含む) との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。


IBM Corporation2Z4A/10111400 Burnet RoadAustin, TX 78758 U.S.A.

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、IBM より提供されます。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。

本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品などの名前が含まれている場合があります。これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。

著作権使用許諾:

本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・プラットフォームのアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。従って IBM は、これらのサンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。お客様は、IBM のアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、 IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。

それぞれの複製物、サンプル・プログラムのいかなる部分、またはすべての派生的創作物にも、次のように、著作権表示を入れていただく必要があります。

© (お客様の会社名) (西暦年). このコードの一部は、IBM Corp. のサンプル・プログラムから取られています。 © Copyright IBM Corp. _年を入れる_. All rights

reserved.


この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示されない場合があります。

製品と共に配布されているコードの一部は第三者から提供されており、これらには別の使用許諾条件があります。以下は、その条件です。

OpenSSL第三者の使用許諾条件、注意事項およびお知らせ本製品の使用許諾契約書には、本製品に含まれる第三者のソフトウェア・コードに適用される使用条件の詳細、および特定のソフトウェア・コードの使用権に基づき、 IBM がお客様にあらかじめお知らせしなければならない注意事項とその他のお知らせを記載しています。関連する使用許諾条件、注意事項、およびお知らせは、以下で提供もしくはご覧いただけます。下記使用許諾の英語以外のバージョンは、非公認であり、便宜のためにのみ提供されています。本書の英語バージョンの一部として提供される、以下のライセンスの英語バージョンのみが、正式に発表されているものです。

お客様が IBM あるいは他の関連会社 (総称して IBM といいます) との間で、たとえどのような使用条件を取り交わしていても、以下に示す第三者のソフトウェア・コードは「適用除外コンポーネント」であり、以下の条件が適用されます。

v 「適用除外コンポーネント」は、特定物として現状のままの状態で提供されます。

v IBM は、「適用除外コンポーネント」に関連して、法律上の瑕疵担保責任、商品性の保証および特定目的適合性の保証を含むすべての明示もしくは黙示の保証責任を負わないものとします。

– IBM は、「適用除外コンポーネント」に関するいかなる請求についても、お客様に対して賠償責任を負わないものとします。

– IBM は、「適用除外コンポーネント」に関するいかなる直接的、間接的、特別、偶発的、懲罰的、あるいは結果的損害に対しても責任を負わないものとします。

OpenSSL: 本プログラムには、OpenSSL Project (http://www.openssl.org/) によって現在開発されているソフトウェアが付属しています。 IBM は、以下に示すライセンスの使用許諾条件下で、OpenSSL ソフトウェアの大部分を取得しました。

LICENSE ISSUES==============

The OpenSSL toolkit stays under a dual license, i.e. both the conditions ofthe OpenSSL License and the original SSLeay license apply to the toolkit.See below for the actual license texts. Actually both licenses are BSD-styleOpen Source licenses. In case of any license issues related to OpenSSLplease contact [email protected].

OpenSSL License---------------

/* ====================================================================* Copyright (c) 1998-2003 The OpenSSL Project. All rights reserved.** Redistribution and use in source and binary forms, with or without* modification, are permitted provided that the following conditions* are met:** 1. Redistributions of source code must retain the above copyright

特記事項 541

* notice, this list of conditions and the following disclaimer.** 2. Redistributions in binary form must reproduce the above copyright* notice, this list of conditions and the following disclaimer in* the documentation and/or other materials provided with the* distribution.** 3. All advertising materials mentioning features or use of this* software must display the following acknowledgment:* "This product includes software developed by the OpenSSL Project* for use in the OpenSSL Toolkit. (http://www.openssl.org/)"** 4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to* endorse or promote products derived from this software without* prior written permission. For written permission, please contact* [email protected].** 5. Products derived from this software may not be called "OpenSSL"* nor may "OpenSSL" appear in their names without prior written* permission of the OpenSSL Project.** 6. Redistributions of any form whatsoever must retain the following* acknowledgment:* "This product includes software developed by the OpenSSL Project* for use in the OpenSSL Toolkit (http://www.openssl.org/)"** THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS’’ AND ANY* EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR* PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR* ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,* SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT* NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;* LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,* STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)* ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED* OF THE POSSIBILITY OF SUCH DAMAGE.* ====================================================================** This product includes cryptographic software written by Eric Young* ([email protected]). This product includes software written by Tim* Hudson ([email protected]).**/

Original SSLeay License

/* Copyright (C) 1995-1998 Eric Young ([email protected])* All rights reserved.** This package is an SSL implementation written* by Eric Young ([email protected]).* The implementation was written so as to conform with Netscapes SSL.** This library is free for commercial and non-commercial use as long as* the following conditions are aheared to. The following conditions* apply to all code found in this distribution, be it the RC4, RSA,* lhash, DES, etc., code; not just the SSL code. The SSL documentation* included with this distribution is covered by the same copyright terms* except that the holder is Tim Hudson ([email protected]).** Copyright remains Eric Young’s, and as such any Copyright notices in* the code are not to be removed.* If this package is used in a product, Eric Young should be given attribution* as the author of the parts of the library used.


* This can be in the form of a textual message at program startup or* in documentation (online or textual) provided with the package.** Redistribution and use in source and binary forms, with or without* modification, are permitted provided that the following conditions* are met:* 1. Redistributions of source code must retain the copyright* notice, this list of conditions and the following disclaimer.* 2. Redistributions in binary form must reproduce the above copyright* notice, this list of conditions and the following disclaimer in the* documentation and/or other materials provided with the distribution.* 3. All advertising materials mentioning features or use of this software* must display the following acknowledgement:* "This product includes cryptographic software written by* Eric Young ([email protected])"* The word ’cryptographic’ can be left out if the rouines from the library* being used are not cryptographic related :-).* 4. If you include any Windows specific code (or a derivative thereof) from* the apps directory (application code) you must include an acknowledgement:* "This product includes software written by Tim Hudson ([email protected])"** THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS’’ AND* ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE* ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE* FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL* DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)* HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT* LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY* OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF* SUCH DAMAGE.** The licence and distribution terms for any publically available version or* derivative of this code cannot be changed. i.e. this code cannot simply be* copied and put under another distribution licence* [including the GNU Public Licence.]*/

XML Parser Toolkit LicenseCopyright © 1998, 1999, 2000 Thai Open Source Software Center Ltd

Permission is hereby granted, free of charge, to any person obtaining a copy of this

software and associated documentation files (the ″Software″), to deal in the Software

without restriction, including without limitation the rights to use, copy, modify, merge,

publish, distribute, sublicense, and/or sell copies of the Software, and to permit

persons to whom the Software is furnished to do so, subject to the following

conditions:

The above copyright notice and this permission notice shall be included in all copies

or substantial portions of the Software.

THE SOFTWARE IS PROVIDED ″AS IS″, WITHOUT WARRANTY OF ANY

KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE

WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR

PURPOSE AND NONINFRINGEMENT.

IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE

FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN

特記事項 543

ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR

IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS

IN THE SOFTWARE.

Pluggable Authentication Module LicenseCopyright © 1995 by Red Hat Software, Marc Ewing Copyright (c) 1996-8, Andrew

G. Morgan <[email protected]>

All rights reserved

Redistribution and use in source and binary forms, with or without modification, are

permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice, and the

entire permission notice in its entirety, including the disclaimer of warranties.

2. Redistributions in binary form must reproduce the above copyright notice, this list

of conditions and the following disclaimer in the documentation and/or other

materials provided with the distribution.

3. The name of the author may not be used to endorse or promote products derived

from this software without specific prior written permission.

THIS SOFTWARE IS PROVIDED ″AS IS″’ AND ANY EXPRESS OR IMPLIED

WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED

WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR

PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR BE LIABLE

FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR

CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,

PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,

DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND

ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT

LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING

IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF

THE POSSIBILITY OF SUCH DAMAGE.

Apache Axis ServletCopyright ©2002 The Apache Software Foundation. All rights reserved.



1. Redistributions of source code must retain the above copyright notice, this list of

conditions and the following disclaimer.




3. The end-user documentation included with the redistribution, if any, must include

the following acknowledgment: ″This product includes software developed by the


Apache Software Foundation (http://www.apache.org/).″ Alternately, this

acknowledgment may appear in the software itself, if and wherever such third-party

acknowledgments normally appear.

4. The names ″Apache Forrest″ and ″Apache Software Foundation″ must not be used

to endorse or promote products derived from this software without prior written

permission. For written permission, please contact [email protected].

5. Products derived from this software may not be called ″Apache″, nor may

″Apache″ appear in their name, without prior written permission of theApache

Software Foundation.

THIS SOFTWARE IS PROVIDED ``AS IS’’ AND ANY EXPRESSED OR IMPLIED



PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE APACHE SOFTWARE

FOUNDATION OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT,

INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL

DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF

SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR

BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF

LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT

(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF

THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF

SUCH DAMAGE.

This software consists of voluntary contributions made by many individuals on behalf

of the Apache Software Foundation. For more information on the Apache Software

Foundation, please see http://www.apache.org/.

JArgs command line option parsing suite for JavaCopyright ©2001, Stephen Purcell All rights reserved.








3. Neither the name of the copyright holder nor the names of its contributors may be

used to endorse or promote products derived from this software without specific

prior written permission.

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND

CONTRIBUTORS ″AS IS″ AND ANY EXPRESS OR IMPLIED WARRANTIES,

INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF

MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE

DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE

特記事項 545

LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY,

OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,

PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,

DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND

ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT

LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING

IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF

THE POSSIBILITY OF SUCH DAMAGE.

Java DOM implementationCopyright © 2000-2002 Brett McLaughlin & Jason Hunter. All rights reserved.




conditions, and the following disclaimer.


of conditions, and the disclaimer that follows these conditions in the documentation

and/or other materials provided with the distribution.

3. The name ″JDOM″ must not be used to endorse or promote products derived from

this software without prior written permission. For written permission, please

contact [email protected].

4. Products derived from this software may not be called ″JDOM″, nor may ″JDOM″appear in their name, without prior written permission from the JDOM Project

Management ([email protected]).

5. In addition, we request (but do not require) that you include in the end-user

documentation provided with the redistribution and/or in the software itself an

acknowledgement equivalent to the following: ″This product includes software

developed by the JDOM Project (http://www.jdom.org/).″

6. In addition, we request (but do not require) that you include in the end-user

documentation provided with the redistribution and/or in the software itself an

acknowledgement equivalent to the following: ″This product includes software

developed by the JDOM Project (http://www.jdom.org/).″ Alternatively, the

acknowledgment may be graphical using the logos available at

http://www.jdom.org/images/logos.

THIS SOFTWARE IS PROVIDED ``AS IS’’ AND ANY EXPRESSED OR IMPLIED



PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE JDOM AUTHORS OR

THE PROJECT CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT,

INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES

(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE

GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,

WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING


NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF

THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH

DAMAGE.

This software consists of voluntary contributions made by many individuals on behalf

of the JDOM Project and was originally created by Brett McLaughlin

([email protected]) and Jason Hunter ([email protected]). For more information on the

JDOM Project, please see http://www.jdom.org/.

Alfalfa SoftwareCopyright for Alfalfa Software Copyright 1990, by Alfalfa Software Incorporated,

Cambridge, Massachusetts.

All Rights Reserved

Permission to use, copy, modify, and distribute this software and its documentation for

any purpose and without fee is hereby granted, provided that the above copyright

notice appear in all copies and that both that copyright notice and this permission

notice appear in supporting documentation, and that Alfalfa’s name not be used in

advertising or publicity pertaining to distribution of the software without specific,

written prior permission.

ALFALFA DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS

SOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY

AND FITNESS, IN NO EVENT SHALL ALFALFA BE LIABLE FOR ANY

SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES

WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS,

WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER

TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE

OR PERFORMANCE OF THIS SOFTWARE.

KerberosCopyright for IBM Kerberos

Copyright (C) 1985-2001 by the Massachusetts Institute of Technology.

All rights reserved.

Export of this software from the United States of America may require a specific

license from the United States Government. It is the responsibility of any person or

organization contemplating export to obtain such a license before exporting.

WITHIN THAT CONSTRAINT, permission to use, copy, modify, and distribute this

software and its documentation for any purpose and without fee is hereby granted,

provided that the above copyright notice appear in all copies and that both that

copyright notice and this permission notice appear in supporting documentation, and

that the name of M.I.T. not be used in advertising or publicity pertaining to

distribution of the software without specific, written prior permission. Furthermore if

特記事項 547

you modify this software you must label your software as modified software and not

distribute it in such a fashion that it might be confused with the original MIT

software. M.I.T. makes no representations about the suitability of this software for any

purpose. It is provided ″as is″ without express or implied warranty.

THIS SOFTWARE IS PROVIDED ``AS IS’’ AND WITHOUT ANY EXPRESS OR

IMPLIED WARRANTIES, INCLUDING, WITHOUT LIMITATION, THE IMPLIED


PURPOSE.

Individual source code files are copyright MIT, Cygnus Support, OpenVision, Oracle,

Sun Soft, FundsXpress, and others.

Project Athena, Athena, Athena MUSE, Discuss, Hesiod, Kerberos, Moira, and Zephyr

are trademarks of the Massachusetts Institute of Technology (MIT). No commercial

use of these trademarks may be made without prior written permission of MIT.

″Commercial use″ means use of a name in a product or other for-profit manner. It

does NOT prevent a commercial firm from referring to the MIT trademarks in order

to convey information (although in doing so, recognition of their trademark status

should be given).

InfoZipCopyright for InfoZip

Copyright (c) 1990-2002 Info-ZIP. All rights reserved.

For the purposes of this copyright and license, ″Info-ZIP″ is defined as the following

set of individuals: Mark Adler, John Bush, Karl Davis, Harald Denker, Jean-Michel

Dubois, Jean-loup Gailly, Hunter Goatley, Ian Gorman, Chris Herborth, Dirk Haase,

Greg Hartwig, Robert Heath, Jonathan Hudson, Paul Kienitz, David Kirschbaum,

Johnny Lee, Onno van der Linden, Igor Mandrichenko, Steve P. Miller, Sergio

Monesi, Keith Owens, George Petrov, Greg Roelofs, Kai Uwe Rommel, Steve

Salisbury, Dave Smith, Christian Spieler, Antoine Verheijen, Paul von Behren, Rich

Wales, Mike White

This software is provided ″as is,″ without warranty of any kind, express or implied.

In no event shall Info-ZIP or its contributors be held liable for any direct, indirect,

incidental, special or consequential damages arising out of the use of or inability to

use this software.

Permission is granted to anyone to use this software for any purpose, including

commercial applications, and to alter it and redistribute it freely, subject to the

following restrictions:

1. Redistributions of source code must retain the above copyright notice, definition,

disclaimer, and this list of conditions.

2. Redistributions in binary form (compiled executables) must reproduce the above

copyright notice, definition, disclaimer, and this list of conditions in documentation

and/or other materials provided with the distribution. The sole exception to this


condition is redistribution of a standard UnZipSFX binary as part of a

self-extracting archive; that is permitted without inclusion of this license, as long

as the normal UnZipSFX banner has not been removed from the binary or

disabled.

3. Altered versions--including, but not limited to, ports to new operating systems,

existing ports with new graphical interfaces, and dynamic, shared, or static library

versions--must be plainly marked as such and must not be misrepresented as being

the original source. Such altered versions also must not be misrepresented as being

Info-ZIP releases--including, but not limited to, labeling of the altered versions

with the names ″Info-ZIP″ (or any variation thereof, including, but not limited to,

different capitalizations), ″Pocket UnZip,″ ″WiZ,″ or ″MacZip″ without the explicit

permission of Info-ZIP. Such altered versions are further prohibited from

misrepresentative use of the Zip-Bugs or Info-ZIP e-mail addresses or of the

Info-ZIP URL(s).

4. Info-ZIP retains the right to use the names ″Info-ZIP,″ ″Zip,″ ″UnZip,″″UnZipSFX,″ ″WiZ,″ ″Pocket UnZip,″ ″Pocket Zip,″ and ″MacZip″ for its own

source and binary releases.

gSOAPPart of the software embedded in this product is gSOAP software.

Portions created by gSOAP are Copyright (C) 2001-2003 Robert A. van Engelen,

Genivia inc. All Rights Reserved.

THE SOFTWARE IN THIS PRODUCT WAS IN PART PROVIDED BY GSOAP

SOFTWARE AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING,

BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY

AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO

EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,

INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES

(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE

GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,

WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING

NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF

THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH

DAMAGE.

gSOAP source code is available under the terms of the gSOAP Public License and is

available at http://gsoap2.sourceforge.net.

A copy of the license is available at http://www.cs.fsu.edu/~engelen/soaplicense.html

Any terms in the IBM Tivoli Access Manager for e-business license that differ from

the gSOAP license are offered by IBM and not offered by the Initial Developer or

any Contributor originator of the gSOAP source code.

特記事項 549

Apache SoftwareApache software License Terms

Certain components include Apache Xalan, Xerces, FOP, and Log4J Library, which

are licensed under the following terms:

The Apache Software License, Version 1.1 Copyright (c) 1999 The Apache Software

Foundation. All rights reserved. Redistribution and use in source and binary forms,

with or without modification, are permitted provided that the following conditions are

met:






3. The end-user documentation included with the redistribution, if any, must include

the following acknowledgment: ″This product includes software developed by the

Apache Software Foundation (http://www.apache.org/).″ Alternately, this

acknowledgment may appear in the software itself, if and wherever such third-party

acknowledgments normally appear.

4. The names ″Xerces″ and ″Apache Software Foundation″ must not be used to

endorse or promote products derived from this software without prior written

permission. For written permission, please contact [email protected].

5. Products derived from this software may not be called ″Apache″, nor may

″Apache″ appear in their name, without prior written permission of the Apache

Software Foundation.

THIS SOFTWARE IS PROVIDED ″AS IS″ AND ANY EXPRESSED OR IMPLIED



PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE APACHE SOFTWARE

FOUNDATION OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT,

INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL

DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF

SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR

BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF

LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT

(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF

THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF

SUCH DAMAGE.

商標以下は、IBM Corporation の商標です。


AIX

DB2

IBM

IBM ロゴJ2EE

Lotus

Notes

MVS

OS/390

SecureWay

Tivoli

Tivoli ロゴUniversal Database

WebSphere

zSeries

z/OS

Java およびすべての Java 関連の商標およびロゴは、Sun Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation

の米国およびその他の国における商標です。

UNIX は、The Open Group の米国およびその他の国における登録商標です。

他の会社名、製品名およびサービス名などはそれぞれ各社の商標または登録商標です。

特記事項 551

用語集

［ア行］アクション (action). アクセス・コントロール・リスト (ACL) 許可属性。アクセス・コントロール・リスト(access control list) も参照。

アクセス許可 (access permission). オブジェクト全体に適用するアクセス権。

アクセス・コントロール (access control). コンピューター・セキュリティーにおいて、許可ユーザーがコンピューター・システムのリソースに許可された方法でしかアクセスできないようにするプロセス。

アクセス・コントロール・リスト (ACL)(accesscontrol list (ACL)). コンピューター・セキュリティーにおいて、オブジェクトにアクセスできるすべての対象、およびそのアクセス権限を識別するオブジェクトに関連するリスト。たとえば、アクセス・コントロール・リストは、ファイルにアクセスできるユーザーを識別し、そのファイルへのユーザーのアクセス権限を識別するファイルに関連するリストである。

アドミニストレーション・サービス (administrationservice). Tivoli Access Manager リソース・マネージャー・アプリケーションへのアドミニストレーション要求を実行する場合に使用できる、許可 API ランタイム・プラグイン。アドミニストレーション・サービスは、pdadmin コマンドからのリモート要求に応答して、保護オブジェクト・ツリーの特定のノードの下のオブジェクトをリストするなどの、タスクを実行する。お客さまは、これらのサービスを許可 ADK を使用して開発できる。

暗号 (cipher). 鍵を用いて平易なデータに変換しなければ読めない暗号化されたデータ。

暗号化 (encryption). コンピューター・セキュリティーにおいて、元データを入手できないようにしたり、あるいは暗号化解除プロセスを使用しなければ入手できないような方法で、データを理解できない形式に変換するプロセス。

インターネット・スイートのプロトコル (Internet suiteof protocols). インターネットで使用するために開発され、Internet Engineering Task Force (IETF) を介してRequests for Comments (RFC) として公開される一連のプロトコル。

インターネット・プロトコル (IP)(Internet protocol(IP)). インターネット・スイートのプロトコルにおいて、データをネットワークまたは相互接続ネットワークを介して経路指定し、高位プロトコル層と物理ネットワーク間を中継する接続のないプロトコル。

応答ファイル (response file). プログラムからの質問に対する事前定義された一連の応答、およびそれらの値を一度に 1 つずつ入力する代わりに使用するファイル。

［カ行］外部許可サービス (external authorization service).Tivoli Access Manager 許可決定チェーンの一部としてアプリケーションまたは環境固有の許可決定を行う場合に使用できる、許可 API ランタイム・プラグイン。お客さまは、これらのサービスを許可 ADK を使用して開発できる。

鍵 (key). コンピューター・セキュリティーにおいて、データの暗号化または暗号化解除用の暗号アルゴリズムと一緒に使用する一連のシンボル。秘密鍵 (private key)

および公開鍵 (public key) を参照。

鍵データベース・ファイル (key database file). 鍵リング (key ring) を参照。

鍵ペア (key pair). コンピューター・セキュリティーにおいて、公開鍵と秘密鍵。鍵ペアが暗号化に使用されると、送信側は公開鍵を使用してメッセージを暗号化し、受信側は秘密鍵を使用してメッセージを暗号化解除する。鍵ペアが署名に使用されると、署名者は公開鍵を使用してメッセージの表記を暗号化し、受信側は秘密鍵を使用してメッセージの表記を暗号化解除して、シグニチャーの検査を行う。

鍵リング (key ring). コンピューター・セキュリティーにおいて、公開鍵、秘密鍵、トラステッド・ルート、および証明書の入ったファイル。

仮想ホスト (virtual hosting). インターネットに対して複数のホストとして発生することができる Web サーバーの能力。

管理サーバー (management server). 廃止。ポリシー・サーバー (policy server) を参照。


管理ドメイン (management domain). Tivoli Access

Manager が認証、許可、およびアクセス・コントロールのためにセキュリティー・ポリシーを施行するデフォルトのドメイン。ポリシー・サーバーを構成すると、このドメインが作成される。ドメイン (domain) も参照。

キー・ファイル (key file). 鍵リング (key ring) を参照。

基本認証 (basic authentication). ユーザーが有効なユーザー名とパスワードを入力しなければ、セキュア・オンライン・リソースへのアクセスが認可されない認証の方式。

共通ゲートウェイ・インターフェース (CGI)(commongateway interface (CGI)). HTTP 要求を通じて、情報を Web サーバーからアプリケーション・プログラムに(またその逆に) 受け渡すスクリプトを定義する場合のインターネット標準。CGI スクリプトは、PERL のようなスクリプト記述言語で書かれた CGI プログラム。

許可 (authorization). (1) コンピューター・セキュリティーにおいて、コンピューター・システムと通信し、それを使用する、ユーザーに認可された権限。 (2) オブジェクト、リソース、または機能への完全アクセスか制限付きのアクセスのいずれかをユーザーに認可するプロセス。

許可 (permission). ファイルまたはディレクトリーなどの保護オブジェクトにアクセスする能力。オブジェクトの許可の数および意味は、アクセス・コントロール・リスト (ACL) によって定義される。アクセス・コントロール・リスト (access control list) も参照。

許可規則 (authorization rule). ルール (rule) を参照。

許可サービス・プラグイン (authorization serviceplug-in). 許可 API 内のサービス・インターフェースを拡張する操作を実行するために、Tivoli Access

Manager 許可 API ランタイム・クライアントが初期化時にロードできる動的ロード可能ライブラリー (DLL または共用ライブラリー)。現在使用可能なサービス・インターフェースには、アドミニストレーション、外部許可、信任状変更、資格および PAC 操作インターフェースがある。お客さまは、これらのサービスを許可 ADK

を使用して開発できる。

グローバル・サインオン (GSO)(global signon(GSO)). ユーザーが、バックエンド Web アプリケーション・サーバーに代替ユーザー名およびパスワードを指定できるようにする、柔軟な単一サインオン・ソリューション。ユーザーは、グローバル・サインオンにより、単一のログインで — 使用の許可を得ているコンピ

ューター・リソースへのアクセスを認可される。異機種の分散コンピューティング環境内の複数のシステムおよびアプリケーションから構成される大企業向けに設計されていて、GSO を利用すれば、ユーザーは複数のユーザー名およびパスワードを管理する必要がない。単一サインオン (single signon) も参照。

クロスドメイン認証サービス (CDAS)(cross domainauthentication service (CDAS)). デフォルトのWebSEAL 認証メカニズムを、Tivoli Access Manager ID

を WebSEAL に戻すカスタム・プロセスに換えることができる、共用ライブラリー・メカニズムを備えたWebSEAL サービス。 WebSEAL も参照。

クロスドメイン・マッピング・フレームワーク(CDMF)(cross domain mapping framework(CDMF)). 開発者が、WebSEAL e-Community SSO 機能が使用された際に、ユーザー ID のマッピングやユーザー属性の処理をカスタマイズできる、プログラミング・インターフェース。

公開鍵 (public key). コンピューター・セキュリティーにおいて、だれでも使用できる鍵。秘密鍵 (private

key) と対比。

構成 (configuration). (1) 情報処理システムのハードウェアおよびソフトウェアを編成し、相互接続する方法。 (2) システム、サブシステム、またはネットワークを構成するマシン、デバイス、およびプログラム。

コンテナー・オブジェクト (container object). オブジェクト・スペースを、個別の機能領域内に編成する構造に関する指定。

［サ行］サービス (service). サーバーが行う作業。サービスは、データの送信または保管といった単純な要求 (ファイル・サーバー、HTTP サーバー、E メール・サーバーおよびフィンガー・サーバーによる要求のような) の場合もあれば、プリント・サーバーまたはプロセス・サーバーの作業のようなより複雑な作業の場合もある。

サイレント・インストール (silent installation). メッセージをコンソールに送信しないで、代わりに、メッセージおよびエラーをログ・ファイルに保管するインストール。また、サイレント・インストールはデータ入力の代わりに応答ファイルを使用できる。応答ファイル(response file) も参照。

サフィックス (suffix). ローカルに保持されたディレクトリー階層の上部エントリーを識別する、識別名。Lightweight Directory Access Protocol (LDAP) で使用される相対命名方式のために、このサフィックスは、その


ディレクトリー階層内の他のすべてのエントリーに適用される。ディレクトリー・サーバーは、それぞれローカルに保持されたディレクトリー階層を識別する複数のサフィックスを持つことができる。

資格 (entitlement). 外部化セキュリティー・ポリシー情報の入ったデータ構造。資格には、特定のアプリケーションに理解できる方法でフォーマットされたポリシー・データまたは能力が入っている。

資格サービス (entitlement service). プリンシパルの外部ソースまたは条件のセットから資格を戻す場合に使用できる、許可 API ランタイム・プラグイン。資格は、通常はアプリケーション固有のデータであり、ある意味ではリソース・マネージャー・アプリケーションによって使い尽くされるか、あるいは将来許可プロセスで使用するためにプリンシパルの信任状に追加される。お客さまは、これらのサービスを許可 ADK を使用して開発できる。

識別名 (DN)(distinguished name (DN)). ディレクトリー内のエントリーを一意的に識別する名前。識別名は、コンマで分離した、attribute:value のペアから構成される。

自己登録 (self-registration). ユーザーが、アドミニストレーターの関与なしに、必要なデータを入力して、登録 Tivoli Access Manager ユーザーになれるプロセス。

証明書 (certificate). コンピューター・セキュリティーにおいて、公開鍵を証明書所有者の ID とバインドし、それによって証明書所有者の認証を可能にするディジタル文書。証明書は認証局が発行する。

信任状. 認証の際に獲得され、ユーザー、すべてのグループ関連、およびその他のセキュリティー関連の識別属性を記述する詳細情報。信任状は、許可、監査、および代行などの多数のサービスを行う際に使用できる。

信任状変更サービス (credentials modificationservice). Tivoli Access Manager 信任状を変更する場合に使用できる、許可 API ランタイム・プラグイン。お客さまによって外部で開発された信任状変更サービスは、信任状属性リストでの追加および除去操作の実行、ならびに変更可能と考えられる属性のみに限定されます。

スキーマ (schema). データベースの構造を完全に記述する、データ定義言語で表されたステートメントの集合。リレーショナル・データベースで、スキーマがテーブル、各テーブルのフィールド、およびフィールドとテーブル間の関係を定義する。

スケーラビリティー (scalability). ネットワーク・システムの、リソースにアクセスするユーザー数の増加に対応する能力。

ステップアップ認証 (step-up authentication). 認証レベルの事前構成階層に依存し、リソースに設定されたポリシーに従って特定レベルの認証を実施する、保護オブジェクト・ポリシー (POP)。ステップアップ認証 POP

は、一定のリソースへのアクセスの場合に、複数レベルの認証を使用した認証をユーザーに強制することはないが、少なくともリソースを保護するポリシーが必要とする高さのレベルで認証することをユーザーに求める。

セキュリティー管理 (security management). アプリケーションや、組織の成功にとって重要なデータへのアクセスを制御する、組織の能力について述べた管理規律。

接続 (connection). (1) データ通信において、情報を運ぶ機能単位間ので確立される関連。 (2) TCP/IP において、確実なデータ・ストリーム送達サービスを提供する、2 つのプロトコル・アプリケーション間のパス。インターネットにおいては、接続は、あるシステムのTCP アプリケーションから別のシステムの TCP アプリケーションへ拡張する。 (3) システム通信において、2

つのシステムの間、またはステムとデバイス間でデータの受け渡しを行える回線。

属性リスト (attribute list). 許可決定を下すために使用する拡張情報の入ったリンク・リスト。属性リストは、一連の name = value のペアから構成される。

［タ行］多因子の認証 (multi-factor authentication). ユーザーに複数レベルの認証を使用した認証を強制する、保護オブジェクト・ポリシー (POP)。たとえば、保護リソースへのアクセス・コントロールでは、ユーザー名/パスワードとユーザー名/トークン・パスコードの両方によるユーザー認証を求められることがある。保護オブジェクト・ポリシー (protected object policy) も参照。

多重化プロキシー・エージェント (MPA)(multiplexingproxy agent (MPA)). 複数のクライアント・アクセスを収容するゲートウェイ。これらのゲートウェイは、クライアントが WAP を使用してセキュア・ドメインにアクセスするときは、Wireless Access Protocol (WAP) ゲートウェイとして知られている場合もある。ゲートウェイは、発信サーバーへ単一の認証チャネルを確立して、すべてのクライアント要求および応答をこのチャネルを介して通す。

用語集 555

単一サインオン (SSO)(single signon (SSO)). 一度ログオンしたら、アプリケーションごとに別々にログオンせずに、複数のアプリケーションにアクセスするユーザーの能力。グローバル・サインオン (global signon) も参照。

デーモン (daemon). ネットワーク制御などの、連続的または定期的なシステム全体の機能を実行する場合無人で実行するプログラム。デーモンには、自動的に起動してそのタスクを実行するものもあれば、定期的に動作するものもある。

ディジタル署名 (digital signature). e-commerce において、データ単位に付加されるか、あるいはその暗号変形であり、しかもデータ単位の受信側がその単位のソースおよび保全性を検査できて、偽造の可能性を認識できるデータ。

ディレクトリー・スキーマ (directory schema). ディレクトリー内に表示できる有効な属性タイプおよびオブジェクト・クラス。属性タイプおよびオブジェクト・クラスは属性値の構文、ディレクトリーについてどの属性が存在しなければならないか、どの属性が存在してもよいかを定義する。

トークン (token). (1) ローカル・エリア・ネットワークにおいて、データ装置が一時的に伝送メディアの制御下にあることを示すために、データ装置間で連続して渡される権限のシンボル。各データ装置には、トークンを獲得し、使用して、メディアを制御する機会が与えられる。トークンは、伝送の許可を意味する特定のメッセージまたはビット・パターンである。 (2) ローカル・エリア・ネットワーク (LAN) において、伝送メディアとともにデバイスからデバイスに渡される一連のビット。トークンにデータが付加されると、フレームになる。

特権属性証明書 (privilege attribute certificate). プリンシパルの認証と許可属性およびプリンシパルの能力が含まれるディジタル文書。

特権属性証明書サービス (privilege attributecertificate service). 所定のフォーマットの PAC からTivoli Access Manager 信任状へ、およびその逆の変換を行う、許可 API ランタイム・クライアント・プラグイン。これらのサービスは、セキュア・ドメインの他のメンバーへの伝送で、Tivoli Access Manager 信任状を圧縮または整理する際に使用することもできる。お客さまは、これらのサービスを許可 ADK を使用して開発できる。特権属性証明書 (privilege attribute certificate) も参照。

ドメイン (domain). (1) 共通サービスを共用し、通常は共通の目的で機能する、ユーザー、システム、およびリソースの論理グループ化。 (2) データ処理リソースが

共通のコントロール下にあるコンピューター・ネットワークのその部分。ドメイン名 (domain name) も参照。

ドメイン名 (domain name). インターネット・スイートのプロトコルにおいて、ホスト・システムの名前。ドメイン名は、区切り文字で分離された一連のサブネームから構成される。たとえば、ホスト・システムの完全修飾ドメイン名 (FQDN) が as400.rchland.vnet.ibm.com であるとすると、次のそれぞれがドメイン名である。as400.rchland.vnet.ibm.com、vnet.ibm.com、 ibm.com

トラステッド・ルート (trusted root). Secure Socket

Layer (SSL) において、認証局 (CA) の公開鍵および関連識別名。

［ナ行］認証 (authentication). (1) コンピューター・セキュリティーにおいて、ユーザー ID またはユーザーのオブジェクトにアクセスする資格の検査。 (2) コンピューター・セキュリティーにおいて、メッセージの変更または破壊の有無を検査。 (3) コンピューター・セキュリティーにおいて、情報システムまたは保護リソースのユーザーを検査する際に使用するプロセス。多因子の認証(multi-factor authentication)、ネットワーク・ベースの認証 (network-based authentication)、およびステップアップ認証 (step-up authentication) も参照。

認証局 (CA)(certificate authority (CA)). 証明書を発行する組織。認証局は、証明書所有者の ID および所有者が使用を許可されたサービスの認証、新しい証明書の発行、既存の証明書の更新、ならびに使用の許可がなくなったユーザーに属する証明書の取り消しを行う。

ネットワーク・ベースの認証 (network-basedauthentication). ユーザーのインターネット・プロトコル (IP) アドレスに基づいてオブジェクトへのアクセスを制御する、保護オブジェクト・ポリシー (POP)。保護オブジェクト・ポリシー (protected object policy) も参照。

［ハ行］ハイパーテキスト転送プロトコル (HTTP)(hypertexttransfer protocol (HTTP)). インターネット・スイートのプロトコルにおいて、ハイパーテキスト文書の転送および表示に使用するプロトコル。

バインド (bind). ID をプログラム内の別のオブジェクトに関連付けること。たとえば、ID を値、アドレスまたは別の ID に関連付けるか、仮パラメーターと実パラメーターを関連付けること。


ビジネス資格 (business entitlement). リソースの要求許可で使用できるきめ細かい条件を記述するユーザー信任状の補足属性。

秘密鍵 (private key). コンピューター・セキュリティーにおいて、その所有者のみが知る鍵。公開鍵 (public

key) と対比。

ファイル転送プロトコル (FTP)(file transfer protocol(FTP)). インターネット・スイートのプロトコルにおいて、伝送制御プロトコル (TCP) および Telnet サービスを使用してマシンまたはホスト間で大量データのファイルを伝送する、アプリケーション層プロトコル。

ブレード (blade). アプリケーション固有のサービスおよびコンポーネントを提供するコンポーネント。

プロセス間通信 (IPC)(interprocess communication(IPC)). (1) プログラムがデータを相互に通信し、プログラムのアクティビティーを同期化するプロセス。セマフォー、シグナル、およびメッセージ・キューはプロセス間通信の共通のメソッドである。 (2) プロセスが同じコンピューター内またはネットワークで相互に通信できる、オペレーティング・システムの仕組み。

ポータル (portal). 特定ユーザーのアクセス許可に基づいて特定のユーザーに使用できる、リンク、content、またはサービスなど、カスタマイズされた Web リソースのリストを動的に作成する統合 Web サイト。

ポーリング (polling). データを送信する必要があるかどうかを判別するために正規のインターバルでデータベースに質問するプロセス。

保護オブジェクト (protected object). ACL およびPOP を適用するために使用され、ユーザー・アクセスを許可するために使用される、実際のシステム・リソースの論理表現。保護オブジェクト・ポリシー (protected

object policy) および保護オブジェクト・スペース(protected object space) も参照。

保護オブジェクト・スペース (protected objectspace). ACL および POP を適用するために使用され、ユーザー・アクセスを許可するために使用される、実際のシステム・リソースの仮想オブジェクト表現。保護オブジェクト (protected object) および保護オブジェクト・ポリシー (protected object policy) も参照。

保護オブジェクト・ポリシー (POP)(protected objectpolicy (POP)). セキュリティー・ポリシーの 1 つのタイプで、保護オブジェクトにアクセスするために ACL

ポリシーが許可する操作で、追加の条件を課す。 POP

条件を適用するのはリソース・マネージャーの役割です。アクセス・コントロール・リスト (access control

list)、保護オブジェクト (protected object)、および保護オブジェクト・スペース (protected object space) も参照。

保護の品質 (quality of protection). 認証、保全性、およびプライバシー条件を組み合わせて決定されるデータ・セキュリティーのレベル。

ホスト (host). ネットワーク (インターネットまたはSNA ネットワーク) に接続し、そのネットワークにアクセス・ポイントを提供するコンピューター。また、環境によっては、ホストがネットワークの中央制御を行う場合もある。ホストは、クライアントでもサーバーでもよく、あるいは同時にその両方の場合もある。

ポリシー (policy). 管理対象リソースに適用される一連のルール。

ポリシー・サーバー (policy server). セキュア・ドメイン内のほかのサーバーに関するロケーション情報を保持している Tivoli Access Manager サーバー。

［マ行］マイグレーション (migration). プログラムの旧バージョンまたはリリースに換わる、新規バージョンまたはリリースのインストール。

メタデータ (metadata). 保管データの特性を記述するデータ。

［ヤ行］役割の活動化 (role activation). 役割にアクセス許可を適用するプロセス。

役割の割り当て (role assignment). ユーザーが、その役割に定義されたオブジェクトへの適切なアクセス許可を持つなどの、ユーザーに役割を割り当てるプロセス。

ユーザー (user). 他から提供されたサービスを使用する人、組織、プロセス、デバイス、プログラム、プロトコル、またはシステム。

ユーザー・レジストリー (user registry). レジストリー (registry) を参照。

［ラ行］ランタイム (run time). コンピューター・プログラムが実行する間の時間。ランタイム環境は、実行環境のこと。

用語集 557

リソース・オブジェクト (resource object). サービス、ファイル、およびプログラムなどの実際のネットワーク・リソースの表現。

ルーティング・ファイル (routing file). メッセージの構成を制御するコマンドを収めた ASCII ファイル。

ルール (rule). 1 つ以上の論理ステートメントで、それによってイベント・サーバーがイベント間の関係 (イベント・コリレーション) を認識でき、それに応じて自動的な応答を実行できるようになる。

レジストリー (registry). ユーザー、システム、およびソフトウェアに関するアクセスおよび構成情報が入っているデータストア。

レプリカ (replica). 他のサーバーのディレクトリーのコピーが入ったサーバー。レプリカは、パフォーマンスまたは応答時間を強化し、データ保全性を確保するために、サーバーをバックアップする。

A

ACL. アクセス・コントロール・リスト (access control

list) を参照。

B

BA. 基本認証 (basic authentication) を参照。

C

CA. 認証局 (certificate authority) を参照。

CDAS. クロスドメイン認証サービス (Cross Domain

Authentication Service) を参照。

CDMF. クロスドメイン・マッピング・フレームワーク(Cross Domain Mapping Framework) を参照。

CGI. 共通ゲートウェイ・インターフェース (common

gateway interface) を参照。

Cookie. サーバーがクライアント・マシン上に保管し、次のセッションの際にアクセスする情報。サーバーは、Cookies を使用して、クライアントに関する特定情報を記憶できる。

D

DN. 識別名 (distinguished name) を参照。

E

EAS. 外部許可サービス (External Authorization

Service) を参照。

G

GSO. グローバル・サインオン (global signon) を参照。

H

HTTP. ハイパーテキスト転送プロトコル (Hypertext

Transfer Protocol) を参照。

I

IP. インターネット・プロトコル (Internet Protocol) を参照。

IPC. プロセス間通信 (Interprocess Communication) を参照。

J

junction. フロントエンド WebSEAL サーバーとバックエンド Web アプリケーション・サーバー間の HTTP

または HTTPS 接続。 WebSEAL は junction を使用して、バックエンド・サーバーに代わって保護サービスを提供できる。

L

LDAP. Lightweight Directory Access Protocol を参照。

Lightweight Directory Access Protocol (LDAP).(a) TCP/IP を使用して X.500 モデルをサポートするディレクトリーへのアクセスを行い (b) さらに複雑なX.500 Directory Access Protocol (DAP) のリソース要件を発生させない、オープン・プロトコル。 LDAP を使用するアプリケーション (ディレクトリー対応アプリケーションとして知られる) は、このディレクトリーを共通のデータストアとして使用し、かつ E メール・アドレス、公開鍵、またはサービス固有の構成パラメーターなどの人またはサービスに関する情報の検索に使用できる。 LDAP は、最初 RFC 1777 で指定された。 RFC

2251 では LDAP バージョン 3 が指定され、IETF は引き続き追加の標準機能として作動する。 LDAP 用のIETF 定義標準スキーマには、RFC 2256 にあるものもある。


Lightweight Third Party Authentication (LTPA). 単一のサインオンが、インターネット・ドメイン内に入る一連の Web サーバーを横断できるようになる、認証フレームワーク。

LTPA. Lightweight Third Party Authentication を参照。

P

PAC. 特権属性証明書 (privilege attribute certificate) を参照。

POP. 保護オブジェクト・ポリシー (protected object

policy) を参照。

R

RSA の暗号化 (RSA encryption). 暗号化と認証に使用される公開鍵暗号方式のシステム。 1977 年に Ron

Rivest、Adi Shamir、および Leonard Adleman によって発明された。システムのセキュリティーは、2 つの大きな素数の積を因数処理する難易度によって変わる。

S

Secure Socket Layer (SSL). 通信のプライバシーを提供する、セキュリティー・プロトコル。 SSL により、クライアント/サーバー・アプリケーションは、盗聴、改ざん、およびメッセージの偽造を予防するように設計された方法で、通信することができる。 SSL は、Netscape Communications Corp. と RSA Data Security,

Inc. の開発による。

SSL. Secure Sockets Layer を参照。

SSO. 単一サインオン (Single Signon) を参照。

U

uniform resource identifier (URI). 文字ストリングで、インターネット上のコンテンツ、リソースの名前(ディレクトリーおよびファイル名)、リソースのロケーション (ディレクトリーおよびファイル名が存在するコンピューター)、およびリソースにアクセスする方法(HTTP などのプロトコル) を識別するために使用される。URI の例として URL がある。

uniform resource locator (URL). コンピューター、またはインターネットなどのネットワークの情報リソースを表す一連の文字。この文字のシーケンスには、(a)

情報リソースへのアクセスに使用するプロトコルの省略名および (b) プロトコルが情報リソースを探すときに使用する情報が組み込まれている。たとえば、インターネ

ットのコンテキストにおいて、これらは、各種情報リソースへのアクセスに使用するある種のプロトコルの省略名 (http、ftp、gopher、telnet、および news) であり、http://www.ibm.com は IBM ホーム・ページの URL である。

URI. uniform resource identifier を参照。

URL. uniform resource locator を参照。

W

Web Portal Manager (WPM). セキュア・ドメイン内の Tivoli Access Manager Base および WebSEAL セキュリティー・ポリシーの管理に使用する、Web ベースのグラフィカル・アプリケーション。 pdadmin コマンド行インターフェースの代わりである、この GUI を使用すると、リモート・アドミニストレーターのアクセスを可能にし、アドミニストレーターは代行ユーザー・ドメインを作成し、代行アドミニストレーターをそのドメインに割り当てることができる。

WebSEAL. Tivoli Access Manager ブレード。WebSEAL は、セキュリティー・ポリシーを保護オブジェクト・スペースに適用する、ハイパフォーマンスで、マルチスレッドの Web サーバーである。 WebSEAL

は、シングル・サインオン・ソリューションを持ち、バックエンドの Web アプリケーション・サーバー・リソースをそのセキュリティー・ポリシーに統合することができます。

WPM. Web Portal Manager を参照。

用語集 559

索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］アンインストール言語サポート 53

アンインストール、コンポーネントのSolaris で 332

Tivoli Access Manager 330

Windows で 333

インストール 224

概説 3

計画 1

言語サポート 49, 51

コンポーネント 6

コンポーネントの説明 6, 8

ネイティブ・ユーティリティー 24

プラットフォーム固有の JRE

AIX 上で 301

Solaris で 303

Windows で 304

プロセス 25

方法 23

AIX 上で 224

GSKit

AIX 上で 291

Solaris で 293

Windows で 293

IBM Tivoli Directory Client

AIX 上で 297

Solaris で 299

Windows で 299

IBM Tivoli Directory Server

Solaris で 68, 72

Windows で 74

Java ランタイム環境Solaris で 141

Windows で 142

Tivoli Access Manager パッケージSolaris で 117, 126, 150, 158

WebSphere Application Server

AIX 上で 305

インストール・ウィザード概要 23

リスト 23

install_ampfs 24

ウィザード、インストールインストール・ウィザードを参照 23

ウェブ・セキュリティー、コンポーネント 8

概要 10

オペレーティング・システム、サポートされる 36

［カ行］概説インストール 3

開発 (ADK) システムサポートされるプラットフォーム 14

必須コンポーネント 14

概要インストール・ウィザード 23

ウェブ・セキュリティー、コンポーネント 10

許可サーバー 6

セキュア・ドメイン 5

属性検索サービス 9

プラグイン、Web サーバーの 10

ポリシー・サーバー 7

ポリシー・プロキシー・サーバー 7

ランタイム 7

ADK 6

AM for WebLogic Server 9

AM for WebSphere 9

GSKit 10

IBM JRE 11

IBM Tivoli Directory Client 11

IBM Tivoli Directory Server 11

Java ランタイム環境 6

provisioning fast start 8

Web Admin Tool 11

Web Portal Manager 8

WebSEAL 10

WebSEAL ADK 10

WebSphere Application Server 12

鍵データベース・ファイル 412, 430, 433

管理サーバーアンインストール 330

関連資料 xvi

基本、コンポーネント 6

許可、ユーザー 196

許可サーバーアンインストール 330

Solaris で 332

Windows で 333

インストールSolaris で 117, 126, 150, 158

概要 6

構成オプション 403, 409

サポートされるプラットフォーム 14



計画、インストールの 1

権限、証明書 413, 434

言語サポート概要 48

コード・セット 57

メッセージ・カタログ 56

ロケールの変形、インプリメント 55

ロケール変数 54

ロケール名UNIX 55

Windows 55

言語サポート、アンインストール 53

言語サポート、インストール 49, 51

言語設定、変更 54

コード・セット言語サポート 57

ファイル・ディレクトリー 57

構成について 194

要約 201

構成オプション許可サーバー 403, 409

ポリシー・サーバー 407

WebSEAL サーバー 410

構成解除、コンポーネントAIX 上で 327

構成するIBM Tivoli Directory Server 80

後方互換性 43

互換性、後方 43

国際化対応 47

言語、サポートされる 48

言語サポート 51, 53

コード・セット 57

メッセージ・カタログ 56

ロケールの変形 55

ロケール変数 54

個人証明書 412, 413, 434

コンポーネントインストール 6

ウェブ・セキュリティー 8

基本 6

前提条件 10

必須 13

［サ行］サーバーおよびクライアントの認証 411, 433

サーバー証明書 426, 428

サーバー認証 411

サーバーの構成モデル 195

サフィックス 85

サポート、ハードウェア・アクセラレーション・カード 44


サポートされるプラットフォーム、必須パッチ 36

サポートされるレジストリー 27

自己署名証明書 414, 435

自己署名証明書を作成する 414, 435

自己署名証明書を抽出する 414, 435

システムのタイプ 13

システム要件 27

後方互換性 43

サポートされるレジストリー 27

ディスク・スペースおよびメモリー 32, 33, 35

パッチ 36

プラットフォーム 36

Active Directory 30

IBM Security Server for OS/390 30


IBM z/OS Security Server LDAP Server 30

iPlanet Directory 31

Lotus Domino 30

Novell eDirectory 31

Sun ONE Directory 31

Web admin tool 28

証明書権限 413, 434

個人 412, 413, 434

サーバー 426, 428

自己署名 414, 435

除去参照、アンインストール 330

除去、パッケージのAIX 上で 329

署名者証明書証明書署名者 431, 436

シングル・サインオンの構成モデル 200

セキュア・ドメイン、概要 5

説明、コンポーネント 6, 8

前提条件製品 10

属性検索サービス概要 9



［タ行］タイプ、Tivoli Access Manager システムの 13

地域設定、Windows の 54

抽出、データ 492

ディスク・スペースおよびメモリー所要量 32, 33, 35

テキスト・エンコードコード・セットを参照 57

統合、Tivoli Identity Manager 8

ドメイン、セキュア 5

［ナ行］認証サーバー 411


認証 (続き)

サーバーおよびクライアント 411, 433

ネイティブ・インストール概要 24

［ハ行］ハードウェア・アクセラレーション・カード・サポート 44

配置計画 4

配置の計画 4

バックアップ、データ 492

パッチ、プラットフォーム固有の 36

必須、プラットフォーム固有のパッチ 36


ファイル鍵データベース 430, 433

鍵データベース (.kdb) 412

鍵データベース・ファイル (.kdb) 413

gsk7ikm.exe 413, 430, 433, 435

復元、データ 492

プラグイン、Apache Web Server 用サポートされるプラットフォーム 20


プラグイン、Edge Server 用サポートされるプラットフォーム 21


プラグイン、IBM HTTP Server 用サポートされるプラットフォーム 21


プラグイン、IIS 用サポートされるプラットフォーム 21


プラグイン、Sun ONE Web Server 用サポートされるプラットフォーム 22


プラグイン、Web サーバーの概要 10

プラットフォーム、サポートされる 13

プロセス、インストール 25

変形、言語ロケール 55

変数ロケール変数 54

LANG

UNIX 55

Windows 55

NLSPATH

使用 56

方法、インストール 23

ポリシー・サーバー概要 7

構成オプション 407



ポリシー・プロキシー・サーバーアンインストール

Solaris で 332

インストール、Solaris での 117, 126, 150, 158

概要 7



［マ行］マイグレーション・ユーティリティー最初の使用 263, 265

ロギング 263, 265

メッセージ・カタログ言語ディレクトリー 56

国際化対応 56

メモリーおよびディスク・スペース所要量 32, 33, 35

［ヤ行］ユーティリティー

AMWLSConfigure -action config 473

AMWLSConfigure -action create_realm 476

AMWLSConfigure -action delete_realm 478

AMWLSConfigure -action unconfig 475

amwpmcfg 479

ivrgy_tool 482

migrateEAR4 484

migrateEAR5 488

pdbackup 492

pdconfig 501

pdinfo (お勧めしません) 492

pdinfo (お勧めしません)、pdbackup を参照 492

pdjrtecfg 502

pdwascfg 508

pdweb 467, 512

pdwebpi 515

pdwebpi_start 516

pdweb_start 513

pdwpicfg -action config 519

pdwpicfg -action unconfig 522

pdwpi-version 518

pd_start 506

wesosm 524

wslstartwte 527

wslstopwte 528

要件、システム 36

システム要件を参照 27

［ラ行］ランタイムアンインストール

Solaris で 332

Windows で 333

索引 563

ランタイム (続き)

概要 7

ランタイム・システムサポートされるプラットフォーム 17


レジストリー、サポートされる 27

ロケールの変形 55

ロケール名UNIX 55

Windows 55

AActive Directory、要件 30

ADK

アンインストールSolaris で 332

Windows で 333

AIX

インストール 224

プラットフォーム固有の JRE 301

GSKit 291


WebSphere Application Server 305

構成解除、コンポーネント 327

除去、パッケージの 329

AM for WebLogic Server

概要 9

AM for WebSphere

概要 9

AMWLSConfigure -action config 473

AMWLSConfigure -action create_realm 476

AMWLSConfigure -action delete_realm 478

AMWLSConfigure -action unconfig 475

amwpmcfg ユーティリティー 479

authorization ADK

アンインストール 330

CCLASSPATH

設定、startWebLogic 用に 234

GGlobal Security Kit


GSKit を参照 10

gsk7ikm ファイル 413, 430, 433, 435

GSKit


Windows で 333

インストールAIX 上で 291

GSKit (続き)

インストール (続き)

Solaris で 293

Windows で 293

概要 10

HHP-UX

インストールGSKit 292


Tivoli Access Manager パッケージ 114, 123, 131, 147,

156

IIBM JRE

概要 11

IBM Security Server for OS/390、要件 30


クライアントアンインストール 330

サーバー構成する 80

IBM Tivoli Directory Client


Windows で 333


Solaris で 299

Windows で 299

概要 11

IBM Tivoli Directory Server

インストールSolaris で 68, 72

Windows で 74

概要 11



IBM Tivoli Directory Server、要件 27

IBM z/OS Security Server LDAP Server、要件 30

iKeyman 鍵管理ユーティリティー作成、鍵データベース・ファイル 430

SSL を使用可能にする 412

installp 224

install_ampfs 24

iPlanet Directory Server

製品資料 106

iPlanet Directory、要件 31

ivrgy_tool ユーティリティー 482


JJava Runtime Environment (JRE)

IBM JRE を参照 11

Java ランタイム環境アンインストール

Solaris で 332

Windows で 333


Solaris で 141

Windows で 142

概要 6



junction

構成する 240

LLANG 変数目的 54

UNIX 55

Windows 55

LDAP サーバーSSL を使用可能にする 415

Lotus Domino、要件 30

MmigrateEAR4 ユーティリティー 484

migrateEAR5 ユーティリティー 488

NNLSPATH 変数使用 56

Novell eDirectory、要件 31

Ppdbackup ユーティリティー 492

pdconfig ユーティリティー 501

pdinfo コマンド (お勧めしません) 492

pdinfo ユーティリティー (お勧めしません)

pdbackup コマンドを参照 492

pdjrtecfg

構成、Java ランタイム・コンポーネント 502

pdwascfg ユーティリティー 508

pdwas_migrate.log 263, 265

pdweb ユーティリティー 467, 512

pdwebpi 515

pdwebpi_start 516

pdweb_start ユーティリティー 513

pdwpicfg -action config 519

pdwpicfg -action unconfig 522

pdwpi-version 518

pd_start ユーティリティー 506

provisioning fast start、概要 8

Rruntime environment


SsecAuthority=Default 85, 109

Secure Sockets Layer (SSL)

使用可能にする 411

テスト 422, 432, 437

LDAP サーバーでアクセスを使用可能にする 415

Solaris

アンインストール、コンポーネントの 332

インストールGSKit 293


IBM Tivoli Directory Server 68, 72


Tivoli Access Manager パッケージ 117, 126, 133, 150,

158

インストール、プラットフォーム固有の JRE 303

startWebLogic、用に CLASSPATH を設定する 234

Sun ONE Directory Server

製品資料 106

Sun ONE Directory、要件 31

TTivoli Access Manager ADK

概要 6

Tivoli Access Manager for WebLogic






Tivoli Access Manager システム 13

Tivoli Identity Manager の統合 8

UUnicode 57

UNIX

言語サポート 55

UTF-8 エンコード 57

索引 565

WWAS_HOME

設定 262, 263

Web Admin Tool

概要 11

Web admin tool、要件 28

Web Portal Manager

概要 8

構成、amwpmcfg ユーティリティーを使用 479



WebSEAL

概要 10

シングル・サインオン 240

WebSEAL ADK

概要 10

WebSEAL junction

構成する 240

WebSEAL 開発 (ADK)



WebSEAL サーバー構成オプション 410



WebSphere Application Server

概要 12

wesosm ユーティリティー 524

Windows

アンインストール、コンポーネントの 333

インストールプラットフォーム固有の JRE 304

GSKit 293




言語サポート 55

wslstartwte ユーティリティー 527

wslstopwte ユーティリティー 528

［特殊文字］.kdb 413


��

Printed in Japan

SC88-9853-00

Web Security インストール・ガイド - IBMWebSphere security を使用可能にする...

Documents

Transcript of Web Security インストール・ガイド - IBMWebSphere security を使用可能にする...