IBM Security Directory Server のセットアップ

オンライン編集

LDAP を使用して認証情報、ユーザー情報、グループ情報を提供する LDAP セキュリティー情報サーバーとしてシステムをセットアップするには、最初に LDAP サーバーとクライアントのパッケージをインストールする必要があります。

Secure Sockets Layer (SSL) または Transport Layer Security (TLS) のサポートが必要であれば、IBM Security Directory Server バージョン 6.4 対応 Global Security Kit Version 8 (GSKitV8) パッケージもインストールする必要があります。 システム管理者は、GSKit キー管理コマンドを使用して鍵データベースを作成する必要があります。 GSKitV8 パッケージに用意されている gsk8capicmd コマンドまたは gsk8capicmd_64 コマンドを使用してください。 SSL を使用するように LDAP サーバーを構成する方法について詳しくは、「 SSL を使用したセキュア通信 」トピックを参照してください。

クライアントをセットアップする前に、LDAP サーバーをセットアップする必要があります。 LDAP サーバーをインストールしてセットアップするには、以下の手順に従ってください。
  1. root ユーザーとして GSKit 関連ファイルセットをインストールします。
    1. AIX 7.2 拡張パック DVD をマウントします。
    2. ディレクトリーを GSKit ファイルセットのロケーションに変更します。
      cd <mount_point>/installp/ppc
  2. すべての GSKit パッケージをインストールするには、installp コマンドを実行します。
    • GSKit 64 ビット・パッケージをインストールするには、以下のコマンドを入力します。
      installp -acXgYd . GSKit8.gskcrypt64.ppc.rte
installp -acXgYd . GSKit8.gskssl64.ppc.rte
    • GSKit 32 ビット・パッケージをインストールするには、以下のコマンドを入力します。
      installp -acXgYd . GSKit8.gskcrypt32.ppc.rte
installp -acXgYd . GSKit8.gskssl32.ppc.rte
      注: SMIT または SMITTY を使用して、DVD から GSKit ファイルセットをインストールすることもできます。
  3. IBM Db2 Database バージョン 10.5 をインストールします。
    1. AIX 7.2 DVD の 2 つ目のボリューム (2/2) をマウントします。
    2. ディレクトリーを IBM Db2 Database バージョン 10.5 のロケーションに変更します。
      cd <mount_point>/ismp/ppc/db2_10_05*
    3. setupaix.bin ファイルを開いて、Db2 サーバーを /opt/IBM/db2/V10.5 フォルダーにインストールし、Vital Product Database (VPD) に追加します。 Db2 サーバーを VPD に追加すると、lslpp コマンドでその Db2 サーバーをリスト表示できます。 グラフィカル・ユーザー・インターフェース (GUI) がない場合は、db2_install コマンドを使用して Db2 サーバーをインストールできます。
      ./db2_install
Choose either the default installation folder, /opt/IBM/db2/V10.5,
 or provide a custom folder on the same system.
Choose SERVER as the Db2 product that needs to be installed. 
Choose NO for the Db2 pureScale feature.
    4. IBM Db2 Database バージョン 10.5 ライセンスを適用します。 <mount_point>/ismp/ppc/db2_10_05* パスで、以下のコマンドを実行する必要があります。
      db2_installation_folder>/adm/db2licm -a ./db2/license/db2ese_t.lic
  4. root ユーザーとして、idsldap クライアントおよびサーバーのファイルセットをインストールします。
    1. AIX 7.2 DVD の 2 つ目のボリューム (2/2) をマウントします。
    2. idsLicense コマンドを実行します。
      cd <mount_point>/license
./idsLicense
  5. ソフトウェアのご使用条件に同意する場合は、次の使用可能なオプションのリストから 1 を入力します。
    1: To accept the license agreement.
2: To decline the license agreement and exit the installation. 
3: To print the license agreement. 
4: To read non-IBM terms in the license agreement. 
99: To go back to the previous screen.

    ソフトウェアのご使用条件に同意すると、LAPID ファイルおよびライセンス・フォルダーが、IBM Security Directory Server のインストール場所に作成されます。 ライセンス・フォルダーには、すべてのサポート対象言語で IBM Security Directory Server ライセンス・ファイルが入っています。

  6. IBM Security Directory Server を判別します。idsldapインストールする必要があるクライアント・パッケージ。
    • SSL 以外の LDAP クライアントおよびサーバーの機能のためには、以下のファイルセットをインストールします。
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.cltjava64
      • idsldap.msg64.en_US
      • idsldap.srvbase64bit64
      • idsldap.srv64bit64
      • idsldap.srvproxy64bit64
    • SSL LDAP クライアントおよびサーバーの機能のためには、以下のファイルセットをインストールします。
      • idsldap.license64
      • idsldap.cltbase64
      • idsldap.clt32bit64
      • idsldap.clt64bit64
      • idsldap.clt_max_crypto32bit64
      • idsldap.clt_max_crypto64bit64
      • idsldap.cltjava64
      • idsldap.msg64.en_US
      • idsldap.srvbase64bit64
      • idsldap.srv64bit64
      • idsldap.srvproxy64bit64
      • idsldap.srv_max_cryptobase64bit64
        注: SSL 機能を使用するには、 GSKitv8 ファイルセットをインストールする必要があります。
    • IBM Security Directory Server Web 管理ツールを取得するには、以下のファイルセットをインストールします。
      • idsldap.webadmin64
      • idsldap.webadmin_max_crypto64 (SSL enabled)

    IBM Security Directory Server Web 管理ツールをインストールすると、IDSWebApp.war ファイルのみ、/opt/IBM/ldap/V6.4/idstools/ フォルダーに入っています。 この WAR ファイルをデプロイする先の、サポート対象レベルの WebSphere Application Server が必要です。 Web 管理ツールのデプロイについて詳しくは、「 Web 管理ツールの手動デプロイメント 」トピックを参照してください。

  7. 以下のコマンドを実行して、IBM Directory Server idsldap クライアント・パッケージをインストールします。
    • 1 つ以上の IBM Security Directory Server idsldap クライアント・パッケージをインストールするには、次のコマンドを実行します。
      cd <mount_point>/installp/ppc/
installp -acXgYd . <package_names>
    • すべての IBM Security Directory Server パッケージを現在のパスからインストールするには、以下のコマンドを実行します。
      installp -acXgYd . idsldap
  8. システム生成インストール・サマリーを使用して、IBM Security Directory Server インストールが正常に行われたかどうかを確認します。
    注: SMIT または SMITTY を使用して、識別されたファイルセットおよびパッケージを DVD からインストールすることもできます。
  9. サーバーを構成するには、環境に応じて値を置き換えて、次の mksecldap コマンドを実行します。
    mksecldap -s -a cn=admin -p adminpwd -S rfc2307aix

mksecldap コマンドは、LDAP サーバーと ldapdb2 という名前のバックエンド・データベースを設定し、その LDAP サーバーにローカル・ホストからのユーザーおよびグループの情報を取り込んで、LDAP サーバー管理者 DN (識別名) およびパスワードを設定します。 必要に応じて、クライアント/サーバー通信のための SSL をセットアップすることができます。 mksecldap コマンドは、再始動のたびに LDAP サーバーが始動するよう、/etc/inittab ファイルに項目を追加することもできます。 mksecldap コマンドについて詳しくは、「 mksecldap 」トピックを参照してください。

AIX®のユーザーとグループは、以下のスキーマのいずれかを使用してLDAPサーバーに保存されます:
AIX スキーマ
aixAccount および aixAccessGroup オブジェクト・クラスを含んでいます。 このスキーマは、 AIX ユーザーおよびグループの属性の完全なセットを提供します。
RFC 2307 スキーマ
posixAccountshadowAccount、および posixGroup オブジェクト・クラスを含んでおり、さまざまなベンダーのディレクトリー製品で使用します。 RFC 2307 スキーマは、 AIX が使用する属性の小さなサブセットのみを定義します。
RFC2307AIX スキーマ
posixAccountshadowAccount、および posixGroup オブジェクト・クラスのほか、aixAuxAccount および aixAuxGroup オブジェクト・クラスが組み込まれています。 aixAuxAccount および aixAuxGroup オブジェクト・クラスは、 AIX で使用される属性を提供しますが、RFC 2307 スキーマでは定義されません。

ユーザーおよびグループには RFC2307AIX スキーマ・タイプの使用を強くお勧めします。 RFC2037AIX スキーマ・タイプは、追加の AIX ユーザー管理機能をサポートするための追加属性を使用して、RFC 2307 に完全に準拠しています。 RFC2307AIXスキーマ構成のIBM® Tivoli® Directory Serverサーバーは、AIXLDAP クライアントだけでなく、他の RFC2307 準拠の UNIX およびLinux®LDAP クライアントもサポートします。

すべてのユーザーおよびグループ情報は、共通の AIX ツリー (サフィックス) の下に保管されます。 デフォルトのサフィックスは「cn=aixdata」です。 mksecldap コマンドは、-d フラグを介して、ユーザー提供のサフィックスを受け入れます。 ユーザー、グループ、ID、などのために作成するサブツリーの名前は、sectoldif.cfg 構成ファイルによって制御されます。 詳細については、sectoldif.cfg ファイルを参照してください。

AIX ツリーは ACL (アクセス制御リスト) 保護されています。 デフォルトの ACL は、-a コマンド・オプションで管理者として指定されたエンティティーにのみ、管理特権を 認可します。 -x-X コマンド・オプションを使用すれば、プロキシー ID に追加の特権を認可できます。 これらのオプションを使用すると、/etc/security/ldap/proxy.ldif.template ファイル内で定義した、 プロキシー ID と構成アクセス特権が作成されます。 プロキシー ID を作成すると、管理者 ID を使用せずに LDAP クライアントをサーバーにバインドすることが可能となり、LDAP サーバーに関するクライアント管理者特権が制限されることになります。

mksecldap コマンドは、他の目的、 例えば、ユーザー ID ルックアップ情報のためにセットアップされる場合でも LDAP サーバー上で実行できます。 この例では、 mksecldapAIX ツリーを追加し、 AIX セキュリティー情報を既存の LDAP サーバーに取り込みます。 このツリーは、他の既存のツリーとは独立して ACL 保護されます。
注: mksecldap コマンドを実行してサーバーを AIX セキュリティー情報サーバーに展開する前に、既存の LDAP サーバーをバックアップする必要があります。

LDAP セキュリティー情報サーバーが正常にセットアップされた場合、 LDAP ユーザーおよびグループを管理し、LDAP ユーザーがこのサーバーにログオンできるように、 同じホストをクライアントとしてセットアップすることができます。

LDAP セキュリティー情報サーバーのセットアップが正常に行われなかった場合は、mksecldap コマンドに -U フラグを指定して実行し、このセットアップを元に戻すことができます。 これによって、ファイル ibmslapd.confslapd.conf、または slapd32.conf がセットアップ前の状態に戻されます。 正常にセットアップできなかった場合は、mksecldap コマンドをもう一度試行する前に、-U フラグを指定した mksecldap コマンドを実行してください。 そうでない場合、 未処理のセットアップ情報が構成ファイルに残り、 以降のセットアップの失敗の原因になることがあります。 安全な予防措置として、この元に戻すオプションはデータベースやその中のデータには何もしません。 mksecldap コマンドが実行される前に、 データベースが存在していた可能性もあるからです。 mksecldap コマンドで作成されたデータベースがあるときは、それらは手動で削除してください。 また、mksecldap コマンドが以前から存在するデータベースにデータを加えた場合は、 失敗したセットアップ試行をリカバリーするためにどのステップを行うべきか、 決定してください。