Windows サーバーでのインストールと構成

オンラインで編集

始める前に

時刻
最初の同期には長い時間がかかることがあります。 例えば、500,000 のユーザーおよびグループが存在する Active Directory サーバーの場合、2 日かかることがあります。 その間に、ディレクトリー・サーバーに対して行われたすべての変更は Active Directory サーバーによって累積され、初期同期後に適用されます。 最終的に、 Verify ディレクトリーはほぼリアルタイムで更新されます。
プロセス・メモリー
初期パスでは、 Active Directory ユーザーおよびグループ ID から対応する Verify-SCIM ユーザーおよびグループ ID へのマッピングがキャッシュされます。 このマッピングにはユーザーごとに 512 バイトが必要です。したがって、500,000 ユーザーの場合、メモリー使用量が 244 MB 増加します。
一時ファイル・システム・ストレージ
IBM® Security Directory Serverの場合、 IcbLdapSync.exe アプリケーションはディレクトリーの完全コピーをローカル・ファイルに抽出します (関連する属性のみがコピーされます)。 一例として、500,000 のユーザーおよびグループが含まれているディレクトリーでは、275 MB の一時ローカル・ディスク・スペースが必要になることがあります。 このローカル・ファイルは暗号化されています。
注: このプログラムを実行するには、管理者特権が必要です。

このタスクについて

  • 最初の同期が完了すると、Windows™ イベント ログが生成され、管理者はすべてのユーザーとグループが -SCIM Verifyディレクトリに作成されたことを確認できます。
  • 複製状態はファイル cookie.bin に保管されます。 このファイルを削除してはなりません。 このファイルを削除すると、完全な複製が再度行われます。
  • デフォルトの構成ファイルでは、すべてのユーザーは以下の設定で追加されます。
    "realm":"cloudBridgeRealm"
"userCategory":"federated”
    この構成は必要に応じて変更できます。 変更を加えた場合は、構成ファイル内の “cloudBridgeRealm” へのすべての参照が更新されていることを確認してください。
  • -clean オプションを使用して、同期されたすべてのユーザーおよびグループを Verify-SCIM ディレクトリーから削除します。ただし、その他の項目はそのままにします。 このオプションは、 cookie.bin を削除し、通常は同期されるすべてのユーザーおよびグループを読み取り、それらを Verify ディレクトリーから削除します。

手順

  1. App Exchange から最新の IBM Verify Bridge for Directory Sync アプリケーションを見つけてダウンロードします。
    このアプリケーションは、インストーラーの実行可能ファイルを含む .zip ファイルと、 IBM Verify Bridge for Directory Sync への変更をリストする README.txt ファイルで構成されています。
    1. . https://exchange.xforce.ibmcloud.com/hub へ移動
    2. App Exchange にログインします。
    3. IBM Security Bridge を検索します。
    4. IBM Security Verify Bridge for Directory Sync」を選択します。
    5. アプリケーションをダウンロードします。
  2. ターゲット Windows システムに IBMSecurityVerifybridgeforDirectorySync_version.zip ファイルを解凍します。
    この製品をインストールする前に、Windows Visual Studio 2017 64 ビット再頒布可能パッケージをインストールする必要があります。 それがない場合、この製品は動作しません。 まだインストールされていない場合は、setup_dirsync.exe ファイルの実行時にインストールされます。
  3. setup_dirsync.exeを実行します。
    1. setup_dirsync.exeをダブルクリックします。
    2. 言語を選択します。
    3. 「インストール」をクリックします。
      Windows Visual Studio 2017 64 ビット再頒布可能パッケージがウィザードによってインストールされている場合は、コンピューターを再始動して setup_dirsync.exeを再実行することが必要な場合があります。
    4. InstallShield ウィザードで、 「次へ」をクリックします。
    5. 条件に同意して、 「次へ」をクリックします。
    6. インストール・ディレクトリーを選択して、 「次へ」をクリックします。
    7. 「インストール」をクリックします。
    8. 「終了」をクリックします。
  4. インストール・ディレクトリーに IcbLdapSync.json をセットアップします。
    • ISDS LDAP から同期する場合は、IcbLdapSync.json.isds-sample を現在の IcbLdapSync.json ファイルに上書きコピーして、開始点にします。
    • Active Directory の場合、IcbLdapSync.json.ad-sample ファイルを IcbLdapSync.json ファイルにコピーして、同期に適した開始点にします。
    注: IcbLdapSync.json ファイルに変更を加えてディレクトリー同期を実行する前に、 Verifyに同期される属性と値について十分に理解していること、およびそれらを確認してください。
    1. “cloud-bridge” -”ldap”の下で ISDS または AD サーバーの LDAP 接続設定を設定します。
      LDAPサーバーへの接続にTLSを使用している場合、LDAPサーバーの署名者証明書がWindows証明書ストアの「 信頼された RootCertification 証明書機関 」>「 コンピューターアカウント 」>「 ローカルコンピューター 」に存在することを確認してください。 ご使用の LDAP サーバーが既知の CA によって署名されていない証明書を使用している場合は、「certificate」スナップインを使用して mmc コマンドを使用します。
    2. ibm-auth-apiの下で Verify サーバー接続設定を設定します。
    3. 必要に応じて、 ldap-search-filter などの他の値を調整します。
      サンプル AD フィルターでは、isCriticalSystemObject 属性が設定されているすべてのユーザーおよびグループがスキップされます。 該当するユーザーおよびグループは通常、コンピューター・アカウント、システム・グループ、ゲスト・アカウント、および管理者アカウントです。 サンプル ISDS フィルターでは、person オブジェクト・クラスのユーザー、および groupOfUniqueNames オブジェクト・クラスのグループが検索されます。
      注:
      • IcbLdapSync.exe プロセスでは、Active Directory LDAP の DirSync コントロールが使用されます。 DirSync コントロールを使用する権限を持つには、 IcbLdapSync.exe を実行するユーザー・アカウントに、モニター対象のパーティションのルートに対する directory get changes 権限が割り当てられている必要があります。 デフォルトでは、この権限はドメイン・コントローラーの管理者アカウントおよびローカル・システム・アカウントに割り当てられます。 呼び出し側は、DS-Replication-Get-Changes 拡張制御アクセス権限も持っている必要があります。 詳細については、を参照してください https://docs.microsoft.com/en-us/windows/win32/ad/polling-for-changes-using-the-dirsync-control

      • ISDS の場合、そのアクセスに使用するアカウントは、Paging 制御を使用するための権限および changelog 項目を読み取るための権限を備えている必要があります。

      • 以下の権限が、構成されている API クライアントで必要とされます。
        • Manage users and standard groups
        • Synchronize users and groups
      • 同期が開始すると、同期中の構成されている属性に対して属性の追加および削除を行うことはできません。 この製品は、同期されたユーザーおよびグループを遡及的に調整して、属性の構成変更を一致させることはできません。 最初の呼び出しの前に、必要なすべての属性が構成されていることを確認してください。
  5. IcbLdapSync.json 構成ファイルのシークレットとパスワードに難読化を追加します。
    一般的なセキュリティー・プラクティスとして、構成ファイルではパスワードとクライアント秘密鍵を平文で指定しないようにしてください。 IBM の難読化ツールを使用して、パスワードと秘密鍵を難読化してください。
    例えば、以下のとおりです。
    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU

    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
    生成された値を IcbLdapSync.json ファイルに追加します。
  6. Windows サービスを手動で開始してください。
    IBM Verify Bridge for Directory Sync サービスは IcbLdapSync.exe プロセスを実行します。 サービスが正常に動作するようになった後に、サービスを自動的に開始するように変更できます。 同期対象のユーザーおよびグループの数に応じて、最初の実行には長時間かかることがあります。