Windowsサーバーへのインストールと設定

オンラインで編集

始める前に

時刻
最初の同期には長い時間がかかることがあります。 たとえば、50万のユーザーとグループを持つサーバー Active Directory の場合、2日かかることがあります。 その間、ディレクトリサーバーに加えられた変更はサーバー Active Directory によって蓄積され、最初の同期後に適用されます。 最終的には、ディレクトリが Verify ほぼリアルタイムで更新されます。
プロセス・メモリー
Verify最初の処理では、ユーザーIDおよびグループIDから Active Directory 、対応するSCIMユーザーIDおよびグループIDへのマッピングがキャッシュされます。 このマッピングにはユーザーごとに 512 バイトが必要です。したがって、500,000 ユーザーの場合、メモリー使用量が 244 MB 増加します。
一時ファイル・システム・ストレージ
IBM® Security Directory Server の場合、この IcbLdapSync.exe アプリケーションはディレクトリの完全なコピー(関連する属性のみがコピーされます)をローカルファイルに抽出します。 一例として、500,000 のユーザーおよびグループが含まれているディレクトリーでは、275 MB の一時ローカル・ディスク・スペースが必要になることがあります。 このローカルファイルは暗号化されています。
注: このプログラムを実行するには、管理者権限が必要です。

このタスクについて

  • Verify最初の同期が完了すると、すべてのユーザーとグループが -SCIM ディレクトリに作成されたことを管理者が確認できるよう、Windows™ イベント ログが生成されます。
  • 複製状態はファイル cookie.bin に保管されます。 このファイルを削除してはなりません。 このファイルを削除すると、完全な複製が再度行われます。
  • デフォルトの構成ファイルでは、すべてのユーザーは以下の設定で追加されます。
    "realm":"cloudBridgeRealm"
"userCategory":"federated”
    この構成は必要に応じて変更できます。 変更を行った場合は、設定ファイル内のすべての参照箇所を “cloudBridgeRealm” 更新してください。
  • Verifyこの -clean オプションを使用すると、-SCIMディレクトリから同期されたユーザーとグループをすべて削除できますが、その他のエントリは変更されません。 このオプションは、通常同期されるすべてのユーザーとグループを削除 cookie.bin し、それらを読み込んでディレクトリ Verify から削除します。

手順

  1. App Exchange から最新の IBM Verify 「Bridge for Directory Sync」アプリケーションを検索してダウンロードしてください。
    このアプリケーションは、インストーラーの実行ファイルを含むファイル .zip と、Bridge for Directory Sync の IBM Verify 変更点を記載したファイル README.txt で構成されています。
    1. https://exchange.xforce.ibmcloud.com/hub にアクセスしてください。
    2. App Exchange にログインします。
    3. IBM Security Bridge を検索します。
    4. 「 IBM 」 を選択し、「 Security Verify 」をディレクトリ同期用のブリッジとして設定します。
    5. アプリケーションをダウンロードします。
  2. 対象のWindowsシステム上でファイルを IBMSecurityVerifybridgeforDirectorySync_version.zip 解凍してください。
    本製品をインストールする前に、Windows Visual Studio 2017 64ビット再配布可能パッケージをインストールする必要があります。 それがない場合、この製品は動作しません。 まだインストールされていない場合は、setup_dirsync.exe ファイルの実行時にインストールされます。
  3. setup_dirsync.exe実行する。
    1. setup_dirsync.exeダブルクリックしてください。
    2. 言語を選択します。
    3. 「インストール」 をクリックします。
      setup_dirsync.exeウィザードによって Windows Visual Studio 2017 64 ビット再配布可能パッケージがインストールされた場合、コンピュータを再起動して、再度実行する必要がある場合があります。
    4. 「 InstallShield 」ウィザードで、 「次へ」 をクリックします。
    5. 利用規約に同意し、 「次へ」 をクリックしてください。
    6. インストール先を選択し、 「次へ」 をクリックします。
    7. 「インストール」 をクリックします。
    8. 「完了」 をクリックします。
  4. インストールディレクトリに設定します IcbLdapSync.json
    • ISDS LDAP から同期する場合は、IcbLdapSync.json.isds-sample を現在の IcbLdapSync.json ファイルに上書きコピーして、開始点にします。
    • Active Directory の場合、IcbLdapSync.json.ad-sample ファイルを IcbLdapSync.json ファイルにコピーして、同期に適した開始点にします。
    Verify注: ファイル IcbLdapSync.json に変更を加えてディレクトリ同期を実行する前に、同期対象となる属性と値について十分に理解し、確認してください。
    1. “cloud-bridge” -”ldap”ISDSまたは ADサーバーの LDAP 接続設定を、以下の設定で指定してください。
      LDAP サーバーへの接続に TLS を使用している場合は、 LDAP サーバーの署名者証明書が、Windowsの証明書ストア内の「 信頼された RootCertification 認証局 > 「コンピュータアカウント 」>「ローカルコンピュータ」 に存在することを確認してください。 ご使用の LDAP サーバーが既知の CA によって署名されていない証明書を使用している場合は、「certificate」スナップインを使用して mmc コマンドを使用します。
    2. ibm-auth-apiVerify の下のサーバー接続設定を設定してください。
    3. 必要に応じて、その他の値(例:)などを ldap-search-filter 調整してください。
      サンプル AD フィルターでは、isCriticalSystemObject 属性が設定されているすべてのユーザーおよびグループがスキップされます。 該当するユーザーおよびグループは通常、コンピューター・アカウント、システム・グループ、ゲスト・アカウント、および管理者アカウントです。 サンプル ISDS フィルターでは、person オブジェクト・クラスのユーザー、および groupOfUniqueNames オブジェクト・クラスのグループが検索されます。
      注:
      • IcbLdapSync.exe プロセスでは、Active Directory LDAP の DirSync コントロールが使用されます。 この DirSync コントロールを使用するには、実行 IcbLdapSync.exe するユーザーアカウントに、監視対象のパーティションのルートに対して権限が directory get changes 割り当てられている必要があります。 デフォルトでは、この権限はドメイン・コントローラーの管理者アカウントおよびローカル・システム・アカウントに割り当てられます。 呼び出し側は、DS-Replication-Get-Changes 拡張制御アクセス権限も持っている必要があります。 詳細については、 https://docs.microsoft.com/en-us/windows/win32/ad/polling-for-changes-using-the-dirsync-control をご覧ください。

      • ISDS の場合、そのアクセスに使用するアカウントは、Paging 制御を使用するための権限および changelog 項目を読み取るための権限を備えている必要があります。

      • 以下の権限が、構成されている API クライアントで必要とされます。
        • Manage users and standard groups
        • Synchronize users and groups
      • 同期が開始すると、同期中の構成されている属性に対して属性の追加および削除を行うことはできません。 この製品は、同期されたユーザーおよびグループを遡及的に調整して、属性の構成変更を一致させることはできません。 最初の呼び出しの前に、必要なすべての属性が構成されていることを確認してください。
  5. 設定ファイル内の IcbLdapSync.json シークレットとパスワードに難読化処理を適用する。
    一般的なセキュリティー・プラクティスとして、構成ファイルではパスワードとクライアント秘密鍵を平文で指定しないようにしてください。 IBM の難読化ツールを使用して、パスワードと秘密鍵を難読化してください。
    例えば、以下のとおりです。
    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU

    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
    生成された値を IcbLdapSync.json ファイルに追加します。
  6. Windows サービスを手動で開始します。
    この IBM Verify Bridge for Directory Sync サービスは、その IcbLdapSync.exe プロセスを実行します。 サービスが正常に動作するようになった後に、サービスを自動的に開始するように変更できます。 同期対象のユーザーおよびグループの数に応じて、最初の実行には長時間かかることがあります。