プロトコル構成設定の変更

このアダプターは DAML プロトコルを使用して IBM® Security Identity サーバーと通信します。

このタスクについて

DAML プロトコル

は非セキュア環境対応として構成されます。セキュア環境を構成するには、Secure Socket Layer (SSL) を使用し、証明書をインストールします。

DAML プロトコルは、唯一の使用可能なサポートされているプロトコルです。プロトコルを追加または削除しないでください。

手順

「Agent Main Configuration Menu」にアクセスします。

B と入力します。DAML プロトコルが構成され、デフォルトでアダプターで使用可能になります。

Agent Protocol Configuration Menu
-----------------------------------
Available Protocols: DAML
Configured Protocols: DAML
A. Add Protocol.
B. Remove Protocol.
C. Configure Protocol.

X. Done

Select menu option

「Agent Protocol Configuration Menu」で C を入力して、「Configure Protocol Menu」を表示します。
```
Configure Protocol Menu
-----------------------------------
A. DAML

X. Done

Select menu option:
```

A 文字を入力して、プロトコルのプロパティーが含まれる、構成済みプロトコルの「Protocol Properties」メニューを表示します。

以下の画面は、DAML プロトコル・プロパティーの例です。

DAML Protocol Properties
--------------------------------------------------------

A. USERNAME           ****** ;Authorized user name.
B. PASSWORD           ****** ;Authorized user password.
C. MAX_CONNECTIONS    100    ;Max Connections.
D. PORTNUMBER         45580  ;Protocol Server port number.
E. USE_SSL            FALSE  ;Use SSL secure connection.
F. SRV_NODENAME       -----  ;Event Notif. Server name.
G. SRV_PORTNUMBER     9443   ;Event Notif. Server port number.
H. HOSTADDR           ANY    ;Listen on address < or "ANY" >
I. VALIDATE_CLIENT_CE FALSE  ;Require client certificate.
J. REQUIRE_CERT_REG   FALSE  ;Require registered certificate.
K. READ_TIMEOUT       0      ;Socked read timeout (seconds)
L. DISABLE_SSLV3      TRUE   ;Disable SSLv3 and earlier
M. DISABLE_TLS10      FALSE  ;Disable TLS 1.0 and earlier
X. Done
Select menu option:

以下のステップに従い、プロトコル値を変更します。

構成するプロトコル・プロパティー用のメニュー・オプションの文字を入力します。次の表では、それぞれのプロパティーについて説明しています。

次のいずれかのアクションを取ります。

プロパティー値を変更し、Enter キーを押して、新しい値が適用された「Protocol Properties」メニューを表示します。
値を変更しない場合は、Enter キーを押します。

表 1. DAML プロトコルメニューのオプション
オプション	構成タスク
A	以下のプロンプトが表示されます。 `Modify Property 'USERNAME':` ユーザー ID (例えば `agent`) を入力します。IBM Security Identity サーバーは、この値を使用してアダプターに接続します。デフォルトのユーザー ID は、`agent` です。
B	以下のプロンプトが表示されます。 `Modify Property 'PASSWORD':` パスワード (例えば `agent`) を入力します。IBM Security Identity サーバーは、この値を使用してアダプターに接続します。デフォルトのパスワードは、`agent` です。
C	以下のプロンプトが表示されます。 `Modify Property 'MAX_CONNECTIONS':` 同時にオープンする接続でアダプターがサポートする最大数を入力します。デフォルトの数は、`100` です。
D	以下のプロンプトが表示されます。 `Modify Property 'PORTNUMBER':` 異なるポート番号を入力します。この値は、IBM Security Identity サーバーがアダプターとの接続に使用するポート番号です。デフォルトのポート番号は、`45580` です。
E	以下のプロンプトが表示されます。 `Modify Property 'USE_SSL':` TRUE では、セキュア SSL 接続を使用してアダプターに接続することが指定されます。USE_SSL を TRUE に設定する場合、証明書をインストールする必要があります。デフォルト値の FALSE にすると、セキュア SSL 接続を使用しないように指定されます。注: イベント通知を使用するには、デフォルトでは、 USE_SSL が TRUE に設定されている必要があります。イベント通知を使用するには、USE_SSL を TRUE に設定し、証明書と鍵を PKCS12 ファイルからアダプターに追加する必要があります。
F	以下のプロンプトが表示されます。 `Modify Property 'SRV_NODENAME':` IBM Security Identity サーバーをインストールしたワークステーションのサーバー名または IP アドレスを入力します。この値は、イベント通知および非同期要求処理で使用する、IBM Security Identity サーバーの DNS 名または IP アドレスです。注: ご使用のオペレーティング・システムが、インターネット・プロトコル・バージョン 6 (IPv6) 接続をサポートしている場合、IPv6 サーバーを指定できます。
G	以下のプロンプトが表示されます。 `Modify Property 'SRV_PORTNUMBER':` IBM Security Identity サーバーにアクセスするための異なるポート番号を入力します。アダプターは、このポート番号を使用して IBM Security Identity サーバーに接続します。デフォルトのポート番号は、`9443` です。
H	HOSTADDR オプションは、アダプターが稼働しているシステムに複数のネットワーク・アダプターがある場合に役立ちます。アダプターが listen する必要がある IP アドレスを選択できます。デフォルト値は `ANY` です。
I	以下のプロンプトが表示されます。 `Modify Property 'VALIDATE_CLIENT_CE':` IBM Security Identity サーバーがアダプターと通信するときに証明書を送信するには、TRUE を指定します。このオプションを `TRUE` に設定する場合、オプション D から I を構成する必要があります。 IBM Security Identity サーバーに証明書なしでのアダプターとの通信を許可するには、デフォルト値である FALSE を指定します。注: プロパティー名は VALIDATE_CLIENT_CERT ですが、この名前は、`agentCfg` により画面に収まるように切り捨てられます。適切な CA 証明書のインストール、およびオプションとしての IBM Security Identity サーバー証明書の登録には、certTool を使用する必要があります。
J	以下のプロンプトが表示されます。 `Modify Property 'REQUIRE_CERT_REG':` この値は、オプション I が `TRUE` に設定されている場合に適用されます。アダプターが SSL 接続を受け入れる前に、IBM Security Identity サーバーからのクライアント証明書にアダプターを登録するには、`TRUE` と入力します。クライアント証明書を CA 証明書のリストと照合するには、`FALSE` を入力します。デフォルト値は `FALSE` です。
K	以下のプロンプトが表示されます。 `Modify Property 'READ_TIMEOUT':` IBM Security Identity Governance and Intelligence とアダプターの接続のタイムアウト値 (秒単位) を入力します。このオプションは、IBM Security Identity Governance and Intelligence とアダプターの間にファイアウォールがあるセットアップに適用されます。このファイアウォールのタイムアウト値は、IBM Security Identity Governance and Intelligence 上の最大接続経過時間 DAML プロパティーより小さい値です。トランザクションの実行時間がファイアウォール・タイムアウト値を超えると、ファイアウォールは接続を強制終了します。接続が強制終了されると、アダプターに残された不正な接続スレッドが原因で、アダプターがクラッシュすることがあります。指定されたセットアップが原因でアダプターがランダムに停止する場合は、READ_TIMEOUT の値を変更します。この値は、秒単位にする必要、およびファイアウォールのタイムアウト値未満にする必要があります。
L	以下のプロンプトが表示されます。 `Modify Property ‘DISABLE_SSLV3’:` SSLv3 は非セキュア・プロトコルと見なされており、デフォルトでは無効になっています。SSLv3 を有効にするには、この値を FALSE に設定します。この値が存在しない場合、または FALSE ではない場合は、SSL の使用時に SSLv3 プロトコルは無効になります。 DAML は、`ISIM_ADAPTER_CIPHER_LIST` という環境変数があるかをチェックします。この変数には、SSL プロトコルの暗号のリストが含まれている可能性があります。DAML は openSSL ライブラリーを使用して SSL をサポートします。暗号ストリングは初期化中に openSSL に渡されます。使用可能な暗号名と構文については、OpenSSL の Web サイト (https://www.openssl.org/docs/apps/ciphers.html) を参照してください。このストリングを使用すると、失敗が発生するのは、いずれの暗号もロードできない場合のみです。少なくともいずれか 1 つの暗号がロードされれば、成功と見なされます。
M	以下のプロンプトが表示されます。 `Modify Property 'DISABLE_TLS10':` いくつかある脆弱性のうち、TLS 1.0 には中間者攻撃に対する脆弱性があり、データ通信の完全性および認証がリスクにさらされます。サーバーでの TLS 1.0 サポートの無効化により、この問題は十分軽減されます。 TLS 1.0 を無効にするには、この値を `TRUE` に設定します。この値が存在しないか、`FALSE` ではない場合、SSL の使用時に TLS 1.0 プロトコルが無効になります。注: すべての SSL 通信で TLS 1.2 を使用してください。Identity Manager での TLS 1.2 の有効化を参照してください。

プロンプトで以下のステップに従います。
- プロパティー値を変更し、Enter キーを押して、新しい値が適用された「Protocol Properties」メニューを表示します。
- 値を変更しない場合は、Enter キーを押します。
その他のプロトコル・プロパティーを構成するには、ステップ 5 を繰り返します。
終了するには、「Protocol Properties」メニューで、X を入力します。

オプション	構成タスク
A	以下のプロンプトが表示されます。 `Modify Property 'USERNAME':` ユーザー ID (例えば `agent`) を入力します。IBM Security Identity サーバーは、この値を使用してアダプターに接続します。デフォルトのユーザー ID は、`agent` です。
B	以下のプロンプトが表示されます。 `Modify Property 'PASSWORD':` パスワード (例えば `agent`) を入力します。IBM Security Identity サーバーは、この値を使用してアダプターに接続します。デフォルトのパスワードは、`agent` です。
C	以下のプロンプトが表示されます。 `Modify Property 'MAX_CONNECTIONS':` 同時にオープンする接続でアダプターがサポートする最大数を入力します。デフォルトの数は、`100` です。
D	以下のプロンプトが表示されます。 `Modify Property 'PORTNUMBER':` 異なるポート番号を入力します。この値は、IBM Security Identity サーバーがアダプターとの接続に使用するポート番号です。デフォルトのポート番号は、`45580` です。
E	以下のプロンプトが表示されます。 `Modify Property 'USE_SSL':` TRUE では、セキュア SSL 接続を使用してアダプターに接続することが指定されます。USE_SSL を TRUE に設定する場合、証明書をインストールする必要があります。デフォルト値の FALSE にすると、セキュア SSL 接続を使用しないように指定されます。注: イベント通知を使用するには、デフォルトでは、 USE_SSL が TRUE に設定されている必要があります。イベント通知を使用するには、USE_SSL を TRUE に設定し、証明書と鍵を PKCS12 ファイルからアダプターに追加する必要があります。
F	以下のプロンプトが表示されます。 `Modify Property 'SRV_NODENAME':` IBM Security Identity サーバーをインストールしたワークステーションのサーバー名または IP アドレスを入力します。この値は、イベント通知および非同期要求処理で使用する、IBM Security Identity サーバーの DNS 名または IP アドレスです。注: ご使用のオペレーティング・システムが、インターネット・プロトコル・バージョン 6 (IPv6) 接続をサポートしている場合、IPv6 サーバーを指定できます。
G	以下のプロンプトが表示されます。 `Modify Property 'SRV_PORTNUMBER':` IBM Security Identity サーバーにアクセスするための異なるポート番号を入力します。アダプターは、このポート番号を使用して IBM Security Identity サーバーに接続します。デフォルトのポート番号は、`9443` です。
H	HOSTADDR オプションは、アダプターが稼働しているシステムに複数のネットワーク・アダプターがある場合に役立ちます。アダプターが listen する必要がある IP アドレスを選択できます。デフォルト値は `ANY` です。
I	以下のプロンプトが表示されます。 `Modify Property 'VALIDATE_CLIENT_CE':` IBM Security Identity サーバーがアダプターと通信するときに証明書を送信するには、TRUE を指定します。このオプションを `TRUE` に設定する場合、オプション D から I を構成する必要があります。 IBM Security Identity サーバーに証明書なしでのアダプターとの通信を許可するには、デフォルト値である FALSE を指定します。注: プロパティー名は VALIDATE_CLIENT_CERT ですが、この名前は、`agentCfg` により画面に収まるように切り捨てられます。適切な CA 証明書のインストール、およびオプションとしての IBM Security Identity サーバー証明書の登録には、certTool を使用する必要があります。
J	以下のプロンプトが表示されます。 `Modify Property 'REQUIRE_CERT_REG':` この値は、オプション I が `TRUE` に設定されている場合に適用されます。アダプターが SSL 接続を受け入れる前に、IBM Security Identity サーバーからのクライアント証明書にアダプターを登録するには、`TRUE` と入力します。クライアント証明書を CA 証明書のリストと照合するには、`FALSE` を入力します。デフォルト値は `FALSE` です。
K	以下のプロンプトが表示されます。 `Modify Property 'READ_TIMEOUT':` IBM Security Identity Governance and Intelligence とアダプターの接続のタイムアウト値 (秒単位) を入力します。このオプションは、IBM Security Identity Governance and Intelligence とアダプターの間にファイアウォールがあるセットアップに適用されます。このファイアウォールのタイムアウト値は、IBM Security Identity Governance and Intelligence 上の最大接続経過時間 DAML プロパティーより小さい値です。トランザクションの実行時間がファイアウォール・タイムアウト値を超えると、ファイアウォールは接続を強制終了します。接続が強制終了されると、アダプターに残された不正な接続スレッドが原因で、アダプターがクラッシュすることがあります。指定されたセットアップが原因でアダプターがランダムに停止する場合は、READ_TIMEOUT の値を変更します。この値は、秒単位にする必要、およびファイアウォールのタイムアウト値未満にする必要があります。
L	以下のプロンプトが表示されます。 `Modify Property ‘DISABLE_SSLV3’:` SSLv3 は非セキュア・プロトコルと見なされており、デフォルトでは無効になっています。SSLv3 を有効にするには、この値を FALSE に設定します。この値が存在しない場合、または FALSE ではない場合は、SSL の使用時に SSLv3 プロトコルは無効になります。 DAML は、`ISIM_ADAPTER_CIPHER_LIST` という環境変数があるかをチェックします。この変数には、SSL プロトコルの暗号のリストが含まれている可能性があります。DAML は openSSL ライブラリーを使用して SSL をサポートします。暗号ストリングは初期化中に openSSL に渡されます。使用可能な暗号名と構文については、OpenSSL の Web サイト (https://www.openssl.org/docs/apps/ciphers.html) を参照してください。このストリングを使用すると、失敗が発生するのは、いずれの暗号もロードできない場合のみです。少なくともいずれか 1 つの暗号がロードされれば、成功と見なされます。
M	以下のプロンプトが表示されます。 `Modify Property 'DISABLE_TLS10':` いくつかある脆弱性のうち、TLS 1.0 には中間者攻撃に対する脆弱性があり、データ通信の完全性および認証がリスクにさらされます。サーバーでの TLS 1.0 サポートの無効化により、この問題は十分軽減されます。 TLS 1.0 を無効にするには、この値を `TRUE` に設定します。この値が存在しないか、`FALSE` ではない場合、SSL の使用時に TLS 1.0 プロトコルが無効になります。注: すべての SSL 通信で TLS 1.2 を使用してください。Identity Manager での TLS 1.2 の有効化を参照してください。