Active Directory アダプターインストールと構成の …publib.boulder.ibm.com/tividd/td/ITIM/SC32-1376-09/ja_JA/...Tivoli ® Identity Manager Active Directory アダプターインストールと構成のガイド

Tivoli® Identity Manager

Active Directory アダプターインストールと構成のガイド

バージョン 4.6

SD88-7580-00(英文原典：SC32-1376-09)

��


Active Directory アダプターインストールと構成のガイド

バージョン 4.6

SD88-7580-00(英文原典：SC32-1376-09)

��

注:

本書および本書で紹介する製品をご使用になる前に、77 ページの『付録 D. 特記事項』に記載されている情報をお読みください。

本書は、このアダプターのバージョン 4.6、および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。

本マニュアルに関するご意見やご感想は、次の URL からお送りください。今後の参考にさせていただきます。

http://www.ibm.com/jp/manuals/main/mail.html

なお、日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは

http://www.ibm.com/jp/manuals/ の「ご注文について」をご覧ください。

(URL は、変更になる場合があります)

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　原　典： SC32–1376–09


Version 4.6

Active Directory Adapter Installation and Configuration Guide

　発　行：日本アイ・ビー・エム株式会社

　担　当：ナショナル・ランゲージ・サポート

第1刷 2005.8

この文書では、平成明朝体™W3、平成明朝体™W7、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™

W5、および平成角ゴシック体™W7を使用しています。この(書体*)は、（財）日本規格協会と使用契約を締結し使用しているものです。フォントとして無断複製することは禁止されています。

　　注* 平成明朝体™W3、平成明朝体™W7、平成明朝体™W9、平成角ゴシック体™W3、平成角ゴシック体™W5、平成角ゴシック体™W7

© Copyright International Business Machines Corporation 2003, 2005. All rights reserved.

© Copyright IBM Japan 2005

目次まえがき. . . . . . . . . . . . . . . v本書の対象読者 . . . . . . . . . . . . . v資料と関連情報 . . . . . . . . . . . . . v

Tivoli Identity Manager ライブラリー . . . . . v前提製品の資料 . . . . . . . . . . . . vii関連資料 . . . . . . . . . . . . . . ix

アクセシビリティ . . . . . . . . . . . . ixサポート情報 . . . . . . . . . . . . . . ix本書の規則 . . . . . . . . . . . . . . . x書体の規則 . . . . . . . . . . . . . . xオペレーティング・システムによる違い . . . . xHOME およびその他のディレクトリー変数の定義 xi

第 1 章 Active Directory アダプターの概要 . . . . . . . . . . . . . . . . . 1アダプターの機能 . . . . . . . . . . . . . 1

第 2 章 Active Directory アダプターのインストールと構成 . . . . . . . . . . . 3前提条件 . . . . . . . . . . . . . . . . 3アダプターのインストール . . . . . . . . . . 3アダプター・プロファイルの Tivoli Identity Managerサーバーへのインポート . . . . . . . . . . 5アダプター・プロファイルのインポート . . . . 5

Active Directory サービスの作成 . . . . . . . . 6アダプターの構成 . . . . . . . . . . . . . 7

第 3 章 IBM Tivoli Identity Manager 用Active Directory アダプターの構成 . . . 9アダプター構成ツールの開始 . . . . . . . . . 9構成設定の表示 . . . . . . . . . . . . . 10プロトコル構成設定の変更 . . . . . . . . . 10イベント通知の構成 . . . . . . . . . . . 14イベント通知トリガーの設定 . . . . . . . 17イベント通知コンテキストの変更 . . . . . . 18

構成キーの変更 . . . . . . . . . . . . . 21アクティビティー・ロギング設定の変更 . . . . . 21レジストリー設定の変更 . . . . . . . . . . 23暗号化されないレジストリー設定値の変更 . . . 24

拡張設定の変更 . . . . . . . . . . . . . 27統計の表示 . . . . . . . . . . . . . . 28コード・ページ設定の変更 . . . . . . . . . 29ヘルプおよび追加オプションへのアクセス . . . . 29

第 4 章 Active Directory アダプターのSSL 認証の構成 . . . . . . . . . . . 33SSL およびデジタル証明書の概要 . . . . . . . 33秘密鍵、公開鍵、およびデジタル証明書 . . . . 34自己署名証明書 . . . . . . . . . . . . 35証明書および鍵フォーマット . . . . . . . 35

SSL 認証の使用 . . . . . . . . . . . . . 36SSL 認証用証明書の構成 . . . . . . . . . . 36片方向 SSL 認証用証明書の構成 . . . . . . 36両方向 SSL 認証用証明書の構成 . . . . . . 37アダプターが SSL クライアントとして作動する際の証明書の構成 . . . . . . . . . . . 38

CertTool を使用した SSL 証明書の管理 . . . . . 39CertTool の始動 . . . . . . . . . . . . 40秘密鍵および認証要求の生成 . . . . . . . 42証明書のインストール . . . . . . . . . . 43PKCS12 ファイルからの証明書および鍵のインストール . . . . . . . . . . . . . . . 43インストール済みの証明書の表示 . . . . . . 44CA 証明書のインストール . . . . . . . . 44CA 証明書の表示 . . . . . . . . . . . 45CA 証明書の削除 . . . . . . . . . . . 45登録証明書の表示 . . . . . . . . . . . 45証明書の登録 . . . . . . . . . . . . . 45証明書の登録抹消 . . . . . . . . . . . 46PKCS12 ファイルへの証明書と鍵のエクスポート 46

第 5 章 Active Directory アダプターのカスタマイズ . . . . . . . . . . . . 47ステップ 1: スキーマの拡張および拡張属性の追加 47ステップ 2. ADProfile.jar ファイルのコピーおよびファイルの抽出 . . . . . . . . . . . . . . 48ステップ 3. exschema.txt ファイルの変更 . . . . 49ステップ 4: schema.dsml ファイルの更新 . . . . 49ステップ 5: CustomLabels.properties ファイルの変更 50ステップ 6: 新規 JAR ファイルの作成および TivoliIdentity Manager サーバーへの新規属性のインストール . . . . . . . . . . . . . . . . . 50ステップ 7: アダプター・フォームの変更 (オプション) . . . . . . . . . . . . . . . . . 51アカウントの復元時のパスワード管理 . . . . . 51アダプターの基本ポイントの構成 . . . . . . . 52

第 6 章 Active Directory アダプターまたは ADK のアップグレード . . . . . . 55Active Directory アダプターのアップグレード . . . 55ADK のアップグレード . . . . . . . . . . 55ログ・ファイル . . . . . . . . . . . . 56

第 7 章 Active Directory アダプターのアンインストール . . . . . . . . . . 57

付録 A. ファイル . . . . . . . . . . 59xforms.xml ファイル . . . . . . . . . . . 59schema.dsml ファイル . . . . . . . . . . . 59オブジェクト ID. . . . . . . . . . . . 60

© Copyright IBM Corp. 2003, 2005 iii

属性定義 . . . . . . . . . . . . . . 61クラス . . . . . . . . . . . . . . . 62

CustomLabels.properties ファイル . . . . . . . 62

付録 B. アダプター属性 . . . . . . . . 65属性説明 . . . . . . . . . . . . . . . 65アクション別の Active Directory アダプター属性 . . 72

System Login Add . . . . . . . . . . . 72System Login Change . . . . . . . . . . 72System Login Delete . . . . . . . . . . 73System Login Suspend . . . . . . . . . . 73System Login Restore . . . . . . . . . . 73Reconciliation . . . . . . . . . . . . . 73

付録 C. サポート情報. . . . . . . . . 75知識ベースの検索 . . . . . . . . . . . . 75ローカル・システムまたはネットワーク上のインフォメーション・センターの検索 . . . . . . 75インターネットの検索 . . . . . . . . . . 75

フィックスの取得 . . . . . . . . . . . . 76お客様サポートとの連絡 . . . . . . . . . . 76

付録 D. 特記事項 . . . . . . . . . . 77商標 . . . . . . . . . . . . . . . . . 78

索引 . . . . . . . . . . . . . . . . 81

iv IBM Tivoli Identity Manager: Active Directory アダプターインストールと構成のガイド

まえがき

IBM® Tivoli® Identity Manager Active Directory アダプター (Active Directory アダプター) は、Active Directory サーバーを実行する複数のシステムから成るネットワークと IBM Tivoli Identity Manager サーバーとの間の接続を確立します。アダプターがインストールおよび構成されると、Tivoli Identity Manager は、既存のサイトのセキュリティー・システムを使用して Active Directory リソースへのアクセスを管理します。本書では、Active Directory アダプターのインストールと構成の方法について説明します。

注: 管理対象リソースを Tivoli Identity Manager サーバーに接続するために使用されるプログラムを、アダプターと呼びます。アダプターという用語は、従来使用されていたエージェントという用語に代わるものです。アダプターを構成するために使用するユーザー・インターフェースでは、現在でもアダプターをエージェントと呼びます。

本書の対象読者本書の対象読者は、サイトのコンピューター・システム上にソフトウェアをインストールする Microsoft® Windows® システム管理者およびセキュリティー管理者です。本書は、読者が Windows で使用される概念を理解していることを前提にしています。インストール手順を実行するユーザーは、対象となるサイトのシステム規格にも精通している必要があり、Active Directory に関して十分な経験と知識を持っている必要があります。読者は、通常の Windows システム管理タスクおよびセキュリティー管理タスクを実行できる必要があります。

資料と関連情報Tivoli Identity Manager ライブラリーの説明をお読みください。どの追加資料が役立つかを判断するには、 viiページの『前提製品の資料』と ixページの『関連資料』をお読みください。

Tivoli Identity Manager ライブラリーTivoli Identity Manager 技術文書ライブラリーの資料は、以下のカテゴリーで構成されています。

v リリース情報

v オンライン・ユーザー・アシスタンス

v サーバー・インストールと構成

v 問題判別

v 技術的な補足

v アダプター・インストールと構成

リリース情報:

v IBM Tivoli Identity Manager リリース情報

© Copyright IBM Corp. 2003, 2005 v

Tivoli Identity Manager のソフトウェアとハードウェアの要件、および追加修正やパッチなどのサポート情報を提供します。

v IBM Tivoli Identity Manager はじめにお読みください

Tivoli Identity Manager 資料のリストを示します。

オンライン・ユーザー・アシスタンス

すべての Tivoli Identity Manager 管理用タスクのオンライン・ヘルプ・トピックとインフォメーション・センターを提供します。インフォメーション・センターには、従来は「IBM Tivoli Identity Manager 構成ガイド」と「IBM Tivoli Identity

Manager Policy および Organization 管理ガイド」で提供されていた情報が含まれます。

サーバー・インストールと構成:

「IBM Tivoli Identity Manager サーバーインストールと構成のガイド (WebSphere

環境用)」は、Tivoli Identity Manager のインストールと構成の情報を提供します。

従来は「IBM Tivoli Identity Manager 構成ガイド」で提供されていた構成情報が、現在ではインストール・ガイドまたは「IBM Tivoli Identity Manager インフォメーション・センター」で提供されています。

問題判別:

「IBM Tivoli Identity Manager 問題判別ガイド」は、Tivoli Identity Manager 製品の問題判別、ロギング、およびメッセージの情報を提供します。

技術的な補足:

以下の技術的な補足情報は、この製品に関心を持つ開発者などのグループにより提供されているものです。

v IBM Tivoli Identity Manager Performance Tuning Guide

実稼働環境用に Tivoli Identity Manager サーバーをチューニングするために必要な情報を提供します。以下の Web サイトで入手できます。

http://publib.boulder.ibm.com/tividd/td/tdprodlist.html

A-Z 製品リストの I の文字をクリックし、次に Tivoli Identity Manager リンクをクリックします。インフォメーション・センターで「Technical Supplements」セクションを参照します。

v Redbooks とホワイト・ペーパーは、以下の Web サイトで入手できます。

http://www.ibm.com/software/sysmgmt/products/support/

IBMTivoliIdentityManager.html

「Self Help」セクションの「Learn」カテゴリーを参照し、Redbooks リンクをクリックします。

v 技術情報は、以下の Web サイトで入手できます。

http://www.redbooks.ibm.com/redbooks.nsf/tips/

vi IBM Tivoli Identity Manager: Active Directory アダプターインストールと構成のガイド


http://www-306.ibm.com/software/sysmgmt/products/support/IBMTivoliIdentityManager.html



v フィールド・ガイドは、以下の Web サイトで入手できます。

http://www.ibm.com/software/sysmgmt/products/support/Field_Guides.html

v その他の Tivoli Identity Manager リソースを含む詳細なリストについては、以下の IBM developerWorks Web アドレスを検索してください。

http://www.ibm.com/developerworks/

アダプター・インストールと構成:

Tivoli Identity Manager サーバー技術文書ライブラリーにも、Tivoli Identity Manager

サーバー実装のアダプター・コンポーネントに関するプラットフォーム固有の最新のインストール文書が含まれています。アダプターは、以下の Web サイトで検索できます。

http://www.lotus.com/services/passport.nsf/WebDocs/

Passport_Advantage_Home

「Support & downloads」をクリックします。「Downloads and drivers」を参照します。リンクをクリックして、現在のアダプターのリストを表示します。

スキルとトレーニング:

以下は英語のみの対応となります。また、日本のお客様のためには、 Tivoli 研修サイト (http://www-6.ibm.com/jp/software/tivoli/training/roadmap.html) と Tivoli Identity

Manager 構成と管理のサイト(http://www-6.ibm.com/jp/lsj/newcees/WMAdmi.wss?__FORM__

=CM_CurrCatDisp.html&course=CT161) があります。このマニュアルの発行の時点で、以下の追加スキルおよび技術トレーニングの情報が利用可能です。

v Virtual Skills Center for Tivoli Software の Web ページは、以下の URL にあります。

http://www.cgselearning.com/tivoliskills/

v Tivoli Education Software Training Roadmaps の Web ページは、以下の URL にあります。

http://www.ibm.com/software/tivoli/education/eduroad_prod.html

v Tivoli Technical Exchange の Web ページは、以下の URL にあります。


supp_tech_exch.html

前提製品の資料本書の情報を効果的に使用するには、Tivoli Identity Manager サーバーの前提製品についての知識が必要です。資料は以下の場所で入手できます。

v Active Directory サーバー

– Active Directory を実行している Microsoft Windows 2000 サーバー

http://www.microsoft.com/windows2000/en/server/help/

– Active Directory を実行している Microsoft Windows 2003 サーバー

まえがき vii



http://www.lotus.com/services/passport.nsf/WebDocs/Passport_Advantage_Home

http://www.lotus.com/services/passport.nsf/WebDocs/Passport_Advantage_Home

http://www.cgselearning.com/tivoliskills/

http://www.ibm.com/software/tivoli/education/eduroad_prod.html

http://www.ibm.com/software/sysmgmt/products/support/supp_tech_exch.html

http://www.ibm.com/software/sysmgmt/products/support/supp_tech_exch.html

http://www.microsoft.com/windows2000/en/server/help/

http://www.microsoft.com/resources/documentation/

WindowsServ/2003/standard/proddocs/en-us/default.asp

– Active Directory を実行している Microsoft Windows XP サーバー

http://www.microsoft.com/resources/documentation/

Windows/XP/all/reskit/en-us/Default.asp

?url=/resources/documentation/Windows/XP/all/reskit/en-us/prcf_omn_gjjv.asp

v オペレーティング・システム

– IBM AIX®

http://www16.boulder.ibm.com/pseries/en_US/infocenter/base/aix52.htm

– Sun Solaris

http://docs.sun.com/db?q=solaris+9

– Red Hat Linux®

http://www.redhat.com/docs/

– Microsoft® Windows Server 2003

http://www.microsoft.com/windowsserver2003/proddoc/default.mspx

v データベース・サーバー

– IBM DB2®

- サポート: http://www.ibm.com/software/data/db2/udb/support.html

- インフォメーション・センター:

http://publib.boulder.ibm.com/infocenter/db2help/index.jsp

- 文書: http://www.ibm.com/cgi-bin/db2www/data/db2/udb/

winos2unix/support/v8pubs.d2w/en_main

- DB2 製品ファミリー: http://www.ibm.com/software/data/db2

- フィックスパック:

http://www.ibm.com/software/data/db2/udb/support/downloadv8.html

- システム要件: http://www.ibm.com/software/data/db2/udb/sysreqs.html

– Oracle

http://www.oracle.com/technology/documentation/index.html

http://otn.oracle.com/tech/index.html

http://otn.oracle.com/tech/linux/index.html

– Microsoft SQL Server 2000

http://www.msdn.com/library/

http://www.microsoft.com/sql/

v ディレクトリー・サーバー・アプリケーション

– IBM Directory Server

http://publib.boulder.ibm.com/tividd/td/IBMDS/IDSapinst52/

en_US/HTML/ldapinst.htm

viii IBM Tivoli Identity Manager: Active Directory アダプターインストールと構成のガイド

http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/default.asp

http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/default.asp

http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en-us/prcf_omn_gjjv.asp



http://www16.boulder.ibm.com/pseries/en_US/infocenter/base/aix52.htm

http://docs.sun.com/db?q=solaris+9

http://www.redhat.com/docs/

http://www.microsoft.com/windowsserver2003/proddoc/default.mspx

http://www.ibm.com/software/data/db2/udb/support.html

http://publib.boulder.ibm.com/infocenter/db2help/index.jsp

http://www.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/v8pubs.d2w/en_main

http://www.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/v8pubs.d2w/en_main

http://www.ibm.com/software/data/db2

http://www.ibm.com/software/data/db2/udb/support/downloadv8.html

http://www.ibm.com/software/data/db2/udb/sysreqs.html

http://www.oracle.com/technology/documentation/index.html

http://otn.oracle.com/tech/index.html

http://otn.oracle.com/tech/linux/index.html

http://www.msdn.com/library/

http://www.microsoft.com/sql/

http://publib.boulder.ibm.com/tividd/td/IBMDS/IDSapinst52/en_US/HTML/ldapinst.htm

http://publib.boulder.ibm.com/tividd/td/IBMDS/IDSapinst52/en_US/HTML/ldapinst.htm

http://www.ibm.com/software/network/directory

– Sun ONE ディレクトリー・サーバー

http://docs.sun.com/app/docs/coll/S1_DirectoryServer_52

v WebSphere Application Server

追加情報は、製品ディレクトリーまたは Web サイトで入手できます。

http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp

http://www.redbooks.ibm.com/

v WebSphere Embedded Messaging

http://www.ibm.com/software/integration/wmq/

v IBM HTTP Server

http://www.ibm.com/software/webservers/httpservers/library.html

関連資料Tivoli Identity Manager サーバーに関連する情報は、以下の資料で入手できます。

v Tivoli Software Library には、ホワイト・ペーパー、データ・シート、デモンストレーション、Redbooks、発表レターなど各種の Tivoli 資料があります。Tivoli

Software Library の Web ページは、以下の URL にあります。

http://www.ibm.com/software/tivoli/literature/

v Tivoli Software Glossary には、Tivoli ソフトウェアに関連する多数の技術用語の定義があります。Tivoli Software Glossary には、Tivoli Software Library Web ページの以下の Glossary リンクからアクセスできます。

http://publib.boulder.ibm.com/tividd/glossary/tivoliglossarymst.htm

アクセシビリティこの製品資料には、アクセシビリティを補助する以下のような特徴があります。

v スクリーン・リーダー・ソフトウェアを利用するユーザーの便宜を考慮して、変換可能な PDF 形式の文書が提供されています。

v 文書内のすべてのイメージに代替テキストが提供されているため、視覚障害のあるユーザーもイメージの内容を理解できます。

サポート情報IBM ソフトウェアで問題が発生した場合は、速やかに解決する必要があります。IBM では、以下の方法で必要なサポートを提供します。

v 知識ベースの検索: 既知の問題、予備手段、技術情報などの情報を収集した大規模なデータベースを検索できます。

v フィックスの入手: 製品用に既に提供されている最新のフィックスを入手できます。

まえがき ix

http://www.ibm.com/software/network/directory

http://docs.sun.com/app/docs/coll/S1_DirectoryServer_52

http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp

http://www.redbooks.ibm.com/

http://www.ibm.com/software/integration/wmq/

http://www-3.ibm.com/software/webservers/httpservers/library.html

http://www.ibm.com/software/tivoli/literature/

http://publib.boulder.ibm.com/tividd/glossary/tivoliglossarymst.htm

v お客様サポートとの連絡: 資料およびお客様サポートについては営業担当員にお問い合わせください。

問題を解決するこれらの方法について詳しくは、 75ページの『付録 C. サポート情報』を参照してください。

本書の規則本書では、特殊な用語と操作およびオペレーティング・システム依存のコマンドとパスを表記する場合に、いくつかの規則を使用します。

書体の規則本書では、次の書体の規則を使用しています。

太字

v 周囲のテキストと区別しにくい小文字のコマンドまたは大/小文字混合のコマンド

v インターフェース・コントロール (チェック・ボックス、プッシュボタン、ラジオ・ボタン、スピン・ボタン、フィールド、フォルダー、アイコン、リスト・ボックス、リスト・ボックス内の項目、複数列のリスト、コンテナー、メニュー選択、メニュー名、タブ、プロパティー・シート)、ラベル (ヒント:、オペレーティング・システムの考慮事項: など)

v テキスト内のキーワードおよびパラメーター

イタリック

v テキスト内で定義された用語

v 用語の強調 (通常の単語として)

v テキスト内の新規用語 (定義リスト内を除く)

v ユーザーが指定する変数および値

モノスペース

v 例およびコード例

v 周囲のテキストと区別しにくいファイル名、プログラミング・キーワードなどのエレメント

v ユーザーに対するメッセージ・テキストおよびプロンプト

v ユーザーが入力するテキスト

v 引数またはコマンド・オプションの値

オペレーティング・システムによる違い本書では、環境変数の指定およびディレクトリーの表記に UNIX® の規則を使用します。

Windows のコマンド行を使用するときには、環境変数の場合は $variable を%variable% に、ディレクトリー・パスの場合は各スラッシュ (/) を円記号 (¥) に置き換えてください。Windows と UNIX では環境変数の名前が異なることがあります。例えば、Windows オペレーティング・システムでの %TEMP% は、UNIX オペレーティング・システムでの $tmp に相当します。

x IBM Tivoli Identity Manager: Active Directory アダプターインストールと構成のガイド

注: Windows システム上で bash シェルを使用している場合は、UNIX の規則を使用できます。

HOME およびその他のディレクトリー変数の定義以下の表は、さまざまな製品インストール・パスの HOME ディレクトリー・レベルを表現するために本書で使用されるデフォルトの定義を示します。インストール・ディレクトリーと HOME ディレクトリーは、個別の実装に応じてカスタマイズできます。その場合には、この表に示す各変数の定義を適切な値で置き換える必要があります。

path の値はオペレーティング・システムごとに異なります。

v Windows: drive:¥Program Files

v AIX: /usr

v その他の UNIX: /opt

パス変数デフォルト定義説明

DB_INSTANCE_HOME Windows:

path¥IBM¥SQLLIB

UNIX:

v AIX、Linux: /home/dbinstancename

v Solaris: /export/home/dbinstancename

Tivoli Identity

Manager のデータベースを格納するディレクトリー。

まえがき xi


LDAP_HOME v IBM Directory Server Version 5.2 の場合

Windows:

path¥IBM¥LDAP

UNIX:

– AIX、Linux: path/ldap

– Solaris: path/IBMldaps

path/IBM/LDAP

v IBM Directory Server Version 6.0 の場合

Windows:

path¥IBM¥LDAP¥V6.0

UNIX:

path/IBM/LDAP/V6.0

– AIX、Solaris

– Linux: opt/ibm/ldap/V6.0

v Sun ONE ディレクトリー・サーバーの場合

Windows:

path¥Sun¥MPS

UNIX:

/var/Sun/mps

ディレクトリー・サーバー・コードを格納するディレクトリー。

xii IBM Tivoli Identity Manager: Active Directory アダプターインストールと構成のガイド


IDS_instance_HOME IBM Directory Server Version 6.0 の場合

Windows:

drive¥ibmslapd-instance_owner_name

Windows システム上での drive の値の例は C:¥ です。instance_owner_name の例はldapdb2 です。例えば、ログ・ファイルはC:¥idsslapd-ldapdb2¥logs¥ibmslapd.log になります。

UNIX:

INSTANCE_HOME/idsslapd-instance_name

Linux および AIX システム上でのデフォルト・ホーム・ディレクトリーは/home/instance_owner_name ディレクトリーです。 Solaris システム上でのディレクトリーの例は/export/home/ldapdb2/idsslapd-ldapdb2 ディレクトリーです。

IBM Directory Server

Version 6.0 インスタンスを格納するディレクトリー。

HTTP_HOME Windows:

path¥IBMHttpServer

UNIX:

path/IBMHttpServer

IBM HTTP Server

コードを格納するディレクトリー。

ITIM_HOME Windows:

path¥IBM¥itim

UNIX:

path/IBM/itim

Tivoli Identity

Manager コード、構成、および文書を格納する基本ディレクトリー。

WAS_HOME Windows:

path¥WebSphere¥AppServer

UNIX:

path/WebSphere/AppServer

WebSphere

Application Server ホーム・ディレクトリー。

WAS_MQ_HOME Windows:

path¥ibm¥WebSphere MQ

UNIX:

path/mqm

WebSphere MQ コードを格納するディレクトリー。

WAS_NDM_HOME Windows:

path¥WebSphere¥DeploymentManager

UNIX:

path/WebSphere/DeploymentManager

デプロイメント・マネージャー上のホーム・ディレクトリー。

まえがき xiii


Tivoli_Common_Directory Windows:

path¥ibm¥tivoli¥common¥CTGIM

UNIX:

path/ibm/tivoli/common/CTGIM

ログや First Failure

Data Capture などすべての保守サービス関連ファイルの中央の格納場所。

xiv IBM Tivoli Identity Manager: Active Directory アダプターインストールと構成のガイド

第 1 章 Active Directory アダプターの概要

アダプターは、管理対象リソースと Tivoli Identity Manager サーバーの間のインターフェースを提供するプログラムです。アダプターは、管理対象リソース上に配置される場合とそうでない場合とがあります。Tivoli Identity Manager サーバーは、既存のセキュリティー・システムを使用してリソースへのアクセスを管理します。アダプターは、ターゲット・プラットフォーム上の信頼された仮想アドミニストレーターとして機能して、ログイン ID の作成や ID のサスペンドなどのタスクを実行したり、通常はアドミニストレーターが手動で実行するその他の機能を実行したりします。アダプターは、ユーザーが Tivoli Identity Manager サーバーにログオンしているかどうかとは無関係に、サービスとして実行されます。

IBM Tivoli Identity Manager Active Directory アダプターは、Active Directory サーバーを実行中のシステムと Tivoli Identity Manager サーバーとの間の接続を確立します。このインストール・ガイドでは、Active Directory アダプターのインストールと構成に必要な基本情報を提供します。この章では、アダプターの概要およびアダプターの機能を説明します。

アダプターの機能Active Directory アダプターを使用して、以下の管理タスクを自動化することができます。

v Active Directory アカウントの作成

アダプターを使用して、Windows 2000 および Windows 2003 ドメイン・サーバーに Active Directory アカウントを作成できます。

v Active Directory アカウントの管理

アダプターを使用して、Windows 2000 および Windows 2003 ドメイン・サーバーの Active Directory アカウントを管理できます。

v Exchange メール・ボックスの管理

アダプターを使用して、Exchange 2000 Mailbox および Exchange 2003 Mailbox

を Active Directory ドメインで管理できます。

v ホーム・ディレクトリーの作成

アダプターを使用してホーム・ディレクトリーを作成できます。

Active Directory アダプターは、ローカル・システム・アカウントを作成または管理しません。この目的のためには、Windows Local Account Adapter を使用してください。

Active Directory アダプターには管理者権限が必要です。アダプターに要求されたタスクを実行できるだけの十分な権限が付与されていない場合、Tivoli Identity

Manager 要求は失敗します。

© Copyright IBM Corp. 2003, 2005 1

アダプターは、Windows 2000、Windows 2003、または Windows XP ワークステーションにインストールする必要があります。Active Directory アダプターは、管理されたドメインまたは異なるドメイン内にインストールできます。アダプターを異なるドメインにインストールした場合、管理されているドメインおよびアダプターがインストールされたドメインの両方に信頼を構成する必要があります。ドメインの信頼の構成について詳しくは、ご使用のオペレーティング・システムに対応したMicrosoft の資料を参照してください。

アダプター・サービス・フォームの基本ポイント機能を使用してサブドメインおよび複数のドメインの両方をサポートするように Active Directory アダプターを構成します。ご使用の環境に最適なデプロイメントは、Windows ドメインおよび Active

Directory 構造のトポロジーに基づきますが、最も重要な要素は、Tivoli Identity

Manager プロビジョニング・ポリシーおよび承認ワークフロー・プロセスの計画された設計内容です。プロビジョニング・ポリシーおよび承認ワークフローについて詳しくは、「Tivoli Identity Manager インフォメーション・センター」を参照してください。

2 IBM Tivoli Identity Manager: Active Directory アダプターインストールと構成のガイド

第 2 章 Active Directory アダプターのインストールと構成

Active Directory アダプターをインストールおよび構成するには、いくつかのステップを適切な順序で実行する必要があります。インストール・プロセスを開始する前に、前提条件を確認してください。管理対象リソース上に、アダプターが使用するアカウントを作成することもできます。

前提条件表 1 は、Active Directory アダプターのインストールに必要なハードウェア、ソフトウェア、許可の前提条件を識別します。Active Directory アダプターをインストールする前に、すべての前提条件を満たしているかどうか確認してください。

表 1. アダプターのインストールの前提条件

システム v 32 ビット、x86 ベースのマイクロプロセッサー

v 最小 256 MB のメモリー

v 最小 300 MB の空きディスク・スペース

v Exchange メール・ボックスを管理する場合は、Exchange 管理ツールをインストールする必要があります。

オペレーティング・システム v Windows® 2000

v Windows 2003

v Windows XP

Active Directory を実行する Windows サーバーが、アダプターをインストールするシステムのドメインで作動可能でなければなりません。

ネットワークの接続性 v TCP/IP ネットワーク

v セキュリティーの目的のために、アダプターが Windows

NT ファイル・システム (NTFS) にインストール済みでなければなりません。

システム管理者権限 Active Directory アダプター・インストール手順を完了するユーザーは、この章のステップを完了できるシステム管理者権限を保有している必要があります。

Tivoli Identity Manager サーバー

バージョン 4.6

アダプターのインストールTivoli Identity Manager Active Directory アダプター・インストール・プログラムは、IBM Web サイトからダウンロードして入手できます。Web アドレスおよびダウンロード手順については、IBM 担当者にお問い合わせください。

アダプターをインストールするには、以下のステップを完了します。


1. IBM Web サイトから Active Directory アダプター圧縮ファイルをダウンロードします。

2. 圧縮ファイルのコンテンツを一時ディレクトリーに抽出し、そのディレクトリーに移動します。

3. 一時ディレクトリーの setup.exe ファイルを使用してインストール・プログラムを始動します。例えば、「スタート」メニューから「ファイル名を指定して実行」を選択し、「名前」フィールドに C:¥TEMP¥setup.exe と入力します。

4. 「ようこそ」ウィンドウで「次へ」をクリックします。

5. 「使用許諾契約書」ウィンドウで、ご使用条件を確認して、条項を受け入れるかどうか決定します。受け入れる場合は、「承諾」をクリックして、「次へ」をクリックします。

6. 「宛先ディレクトリーの選択 (Select Destination Directory)」ウィンドウで、アダプターをインストールする場所を「ディレクトリー名 (Directory Name)」フィールドに指定します。デフォルトの場所を受け入れることも、「参照」をクリックして、異なるディレクトリーを指定することもできます。次に、「次へ」をクリックします。

7. 「インストールの要約 (Install Summary)」ウィンドウで、インストールの設定を確認します。設定を変更するには、「戻る」をクリックします。そうでない場合は、「次へ」をクリックし、インストールを開始します。

8. 「インストール完了」ウィンドウで「完了」をクリックして、プログラムを終了します。

図 1. 「宛先ディレクトリーの選択 (Select Destination Directory)」ダイアログ・ウィンドウ


アダプター・プロファイルの Tivoli Identity Manager サーバーへのインポート

サービスとしてアダプターを Tivoli Identity Manager サーバーに追加するには、サーバーにアダプターをサービスとして認識できるアダプター・プロファイルが必要です。Active Directory アダプターに同梱されているこのファイルには、アダプターJAR ファイル、ADProfile.jar が含まれています。 Tivoli Identity Manager サーバーのインポート機能を使用して、アダプター・プロファイルをサービス・プロファイルとしてサーバーにインポートすることができます。

ADProfile.jar ファイルには、アダプター・スキーマ、アカウント・フォーム、プロファイル・プロパティーの定義に必要なすべてのファイルが含まれています。ADProfile.jar ファイルは、スキーマまたはプロファイルに何らかの変更を加えるために、この資料で参照します。JAR ファイルからこれらのファイルを抽出し、必要なファイルに変更を加え、更新済みファイルと共に JAR ファイルを再度パッケージする必要があります。JAR ファイルの更新方法について詳しくは、 48ページの『ステップ 2. ADProfile.jar ファイルのコピーおよびファイルの抽出』を参照してください。

アダプター・プロファイルのインポートアダプター・プロファイルは、Tivoli Identity Manager サーバーが管理するリソースのタイプを定義します。Active Directory アダプターを使用する前に、アダプター・プロファイルを Tivoli Identity Manager サーバーにインポートする必要があります。このプロファイルを使用して、Tivoli Identity Manager サーバーに Active

Directory アダプター・サービスを作成し、アダプターと通信します。

アダプター・プロファイルをインポートする前に、以下の条件を満たしているかどうか確認してください。

v アダプター・プロファイルをインポートする前に、Tivoli Identity Manager サーバーをインストールし実行しておく必要があります。

v Active Directory アダプター・プロファイルを構成するには、Tivoli Identity

Manager サーバーでルート権限または管理者権限が必要です。

アダプター・プロファイルをインポートするには、以下のステップを完了します。

1. 管理者タスクを実行できる権限を保有したアカウントを使用して Tivoli Identity

Manager サーバーにログインします。

2. メインメニュー・ナビゲーション・バーで、「構成」タブを選択します。

3. 「構成」ウィンドウで、「インポート/エクスポート」 → 「インポート」タブを選択します。

4. 「インポート」ウィンドウで、「アップロードするファイル」フィールドに、ADProfile.jar ファイルの場所を入力するか、または「参照」をクリックしてファイルを検索します。

5. 「Identity Manager へのデータのインポート」リンクをクリックして、アダプター・プロファイルを Tivoli Identity Manager サーバーにインポートします。

v アダプター・プロファイルのインポートが正常終了したら、以下のメッセージが表示されます。

プロファイルのインストールが完了しました。

第 2 章 Active Directory アダプターのインストールと構成 5

v アダプター・プロファイルのインポートが失敗したら、以下のメッセージが表示されます。

プロファイルのインストールに失敗しました。(Profile installation failed.)

アダプター・プロファイルをインポートする際、スキーマ関連のエラーが発生したら、trace.log ファイルにそのエラーに関する情報が含まれています。trace.log ファイルの場所は、Tivoli Identity Manager enRoleLogging.properties

ファイルに定義された handler.file.fileDir プロパティーで指定します。このファイルは、Tivoli Identity Manager ¥data ディレクトリーにインストールされています。

Active Directory サービスの作成アダプター・プロファイルを Tivoli Identity Manager サーバーにインポートしたら、Tivoli Identity Manager がアダプターと通信できるようにプロビジョニング・サービスを作成する必要があります。

プロビジョニング・サービスを作成するには、以下のステップを完了します。

1. 管理者タスクを実行できる権限を保有したアカウントを使用して Tivoli Identity

Manager サーバーにログインします。

2. メインメニュー・ナビゲーション・バーで、「プロビジョニング」タブをクリックします。

3. 「プロビジョニング」ウィンドウで、「サービスの管理」タブをクリックします。

4. 「サービスの管理」ウィンドウで、「追加」をクリックします。

5. サービス・タイプのリストから、「AD プロファイル (AD Profile)」を選択し、「続行」をクリックします。「Active Directory アダプター」サービス・フォームが表示されます。サービス・フォームには、以下のフィールドが含まれています。

サービス名Tivoli Identity Manager サーバーで、この Active Directory サービスを定義する名前を指定します。サービス名は、必須フィールドです。

説明このサービスの説明を指定します。説明は、オプション・フィールドです。

URL Active Directory アダプターの場所およびポート番号を指定します。ポート番号は、agentCfg プログラムを使用して、プロトコル構成に定義します。プロトコル構成設定について詳しくは、 10ページの『プロトコル構成設定の変更』を参照してください。URL は必須フィールドです。

https が URL の一部として指定されている場合、SSL 認証を使用できるようにアダプターを構成する必要があります。SSL 認証を使用するようにアダプターを構成していない場合は、URL に対して HTTP を指定します。SSL 認証の使用に関するアダプターの構成について詳しい情報は、 33ページの『第 4 章 Active Directory アダプターの SSL 認証の構成』を参照してください。

ユーザー IDDirectory Access Markup Language (DAML) プロトコル・ユーザー名を


指定します。ユーザー名は、agentCfg プログラムを使用して、プロトコル構成に定義します。プロトコル構成設定について詳しくは、 10ページの『プロトコル構成設定の変更』を参照してください。ユーザー ID

は、必須フィールドです。

パスワードDAML プロトコルのユーザー名のパスワードを指定します。このパスワードは、agentCfg プログラムを使用して、プロトコル構成に定義します。プロトコル構成設定について詳しくは、 10ページの『プロトコル構成設定の変更』を参照してください。パスワードは必須フィールドです。

基本ポイント DN任意の基本ポイントを許可するように拡張されたドメイン名の DN を指定します。例:

v ou=users,dc=ibm,dc=com

v ADServer/ou=user,dc=ibm,dc=com

基本ポイント DN は、オプション・フィールドです。

管理ユーザー・アカウントActive Directory との接続に使用するユーザー ID を指定します。管理ユーザー・アカウントは、オプション・フィールドです。

管理ユーザー・パスワードActive Directory との接続に使用するユーザー ID のパスワードを指定します。管理ユーザー・パスワードは、オプション・フィールドです。

6. 接続を検査するには、「テスト」を押します。

7. サービスを作成するには、「実行」を押します。

アダプターの構成Tivoli Identity Manager Active Directory アダプターのインストールが完了したら、適切に機能させるために構成が必要です。

Active Directory アダプターを構成するには、以下のステップを完了します。

1. Windows Services Tool を使用して、Active Directory アダプター・サービスを始動します。

2. Tivoli Identity Manager サーバーとの通信を確保するために DAML を構成します。DAML の構成について詳しくは、 10ページの『プロトコル構成設定の変更』を参照してください。

3. Tivoli Identity Manager サーバーと通信するには、イベント通知用にアダプターを構成して、Active Directory アダプターを構成します。イベント通知の構成について詳しくは、 14ページの『イベント通知の構成』を参照してください。

4. セキュアな通信のために、アダプターが存在するマシンおよび Tivoli Identity

Manager サーバーに証明書をインストールしてください。証明書のインストールについて詳しくは、 33ページの『第 4 章 Active Directory アダプターの SSL

認証の構成』を参照してください。

第 2 章 Active Directory アダプターのインストールと構成 7

5. アダプターのスキーマにオプションの拡張属性を追加します。属性の拡張について詳しくは、 47ページの『第 5 章 Active Directory アダプターのカスタマイズ』を参照してください。

6. Tivoli Identity Manager サーバーにアダプター・プロファイルをインストールします。アダプター・プロファイルのインストールについて詳しくは、 5ページの『アダプター・プロファイルの Tivoli Identity Manager サーバーへのインポート』を参照してください。

7. アダプター・サービス・フォームを構成します。サービス・フォームの構成について詳しくは、 6ページの『Active Directory サービスの作成』を参照してください。

8. アダプター・パラメーターを変更するには、agentCfg ユーティリティーを使用してください。パラメーターの構成について詳しくは、 9ページの『第 3 章 IBM

Tivoli Identity Manager 用 Active Directory アダプターの構成』を参照してください。

9. アダプター・アカウント・フォームを構成します。アカウント・フォームの構成について詳しくは、 52ページの『アダプターの基本ポイントの構成』を参照してください。


第 3 章 IBM Tivoli Identity Manager 用 Active Directory アダプターの構成

Active Directory アダプター・パラメーターを表示または変更するには、アダプター構成プログラム、agentCfg を使用してください。このツールを使用したパラメーターの変更は、すべて即時有効になります。

アダプター構成ツールの開始アダプター構成ツール、agentCfg を Active Directory アダプター・パラメーター用に開始するには、以下のステップを完了してください。

1. 「スタート」メニューから、「プログラム」 → 「アクセサリ」 → 「コマンドプロンプト」を選択します。

2. コマンド・プロンプトで、アダプターの ¥bin ディレクトリーに移動します。例えば、Active Directory アダプターがデフォルトの場所にある場合、以下のコマンドを入力します。

cd ¥Tivoli¥Agents¥ADAgent¥bin

3. 以下のコマンドを入力します。

agentCfg -agent ADAgent

また、agentCfg を使用して、リモート・コンピューターから構成設定を表示または変更することができます。追加の引数を使用する手順については、 29ページの『ヘルプおよび追加オプションへのアクセス』の表を参照してください。

4. 「エージェント、’ADAgent’ の構成キーを入力してください (Enterconfiguration key for Agent ’ADAgent’)」プロンプトで、Active Directory アダプター用の構成キーを入力します。

デフォルトの構成キーは agent です。インストールが完了したら、アダプター構成への無許可アクセスを防ぐために構成キーを変更する必要があります。構成キーの変更手順については、 10ページの『プロトコル構成設定の変更』を参照してください。

「メイン構成メニュー (Main Configuration Menu)」が表示されます。

ADAgent 4.6 Agent Main Configuration Menu-------------------------------------------A. Configuration Settings.B. Protocol Configuration.C. Event Notification.D. Change Configuration Key.E. Activity Logging.F. Registry Settings.G. Advanced Settings.H. Statistics.I. Codepage Support.

X. Done.

Select menu option:


「メインメニュー (Main Menu)」から、プロトコルの構成、統計の表示、および構成、レジストリー、拡張設定などの設定の変更ができます。

表 2. メイン構成メニューのオプション

オプション構成タスク詳細

A 構成設定の表示 10 ページを参照してください。

B プロトコル構成設定の変更 10 ページを参照してください。

C イベント通知の構成 14 ページを参照してください。

D 構成キーの変更 21 ページを参照してください。

E アクティビティー・ロギング設定の変更

21 ページを参照してください。

F レジストリー設定の変更 23 ページを参照してください。

G 拡張設定の変更 27 ページを参照してください。

H 統計の表示 28 ページを参照してください。

I コード・ページ設定の変更 29 ページを参照してください。

構成設定の表示以下の手順は、Active Directory アダプター構成設定の表示方法を示しています。

1. 「エージェント・メイン構成メニュー (Agent Main Configuration Menu)」で、A

と入力します。 Active Directory アダプターの構成設定が表示されます。以下の画面は、Active Directory アダプター構成設定の例です。

Configuration Settings-------------------------------------------Name : ADAgentVersion : 4.6ADK Version : 4.65ERM Version : 4.65License : NONEAsynchronous ADD Requests : TRUE (Max.Threads:3)Asynchronous MOD Requests : TRUE (Max.Threads:3)Asynchronous DEL Requests : TRUE (Max.Threads:3)Asynchronous SEA Requests : TRUE (Max.Threads:3)Available Protocols : DAMLConfigured Protocols : DAMLLogging Enabled : TRUELogging Directory : C:¥Tivoli¥Agents¥ADAgent¥LogLog File Name : ADAgent.logMax. log files : 3Max.log file size (Mbytes) : 1Debug Logging Enabled : TRUEDetail Logging Enabled : FALSE

Press any key to continue

2. 「メインメニュー (Main Menu)」に戻るには任意のキーを押します。

プロトコル構成設定の変更Active Directory アダプターは、DAML プロトコルを使用して Tivoli Identity

Manager サーバーと通信します。デフォルトでは、アダプターのインストール時に、DAML プロトコルを非セキュア・モードで使用するように構成されます。セキュア環境を構成するには、SSL を使用するように DAML プロトコルを構成し、証


明書をインストールする必要があります。証明書のインストールについて詳しくは、 43ページの『証明書のインストール』を参照してください。

このアダプターの前のバージョンでは、プロトコルの追加および除去ができました。しかし、このアダプターの最新バージョンでは、DAML プロトコルは使用可能なただ 1 つのサポート対象プロトコルです。したがって、プロトコルを追加または除去する必要はありません。

Active Directory アダプター用に DAML プロトコルを構成するには、以下のステップを完了します。

1. 「エージェント・メイン構成メニュー (Agent Main Configuration Menu)」で、B

と入力します。 DAML プロトコルが構成され、Active Directory アダプター用のデフォルトで使用可能になります。

Agent Protocol Configuration Menu-----------------------------------Available Protocols: DAMLConfigured Protocols: DAMLA. Add Protocol.B. Remove Protocol.C. Configure Protocol.

X. Done

Select menu option

2. 「エージェント・プロトコル構成メニュー (Agent Protocol Configuration

Menu)」で、 C と入力します。「DAML プロトコル・プロパティー・メニュー(DAML Protocol Properties Menu)」が表示されます。

3. 「DAML プロトコル・プロパティー・メニュー (DAML Protocol Properties

Menu)」で、C と入力します。構成済みプロトコル用のプロトコル・プロパティーが表示されます。メニューに表示されるプロパティーは、例で示したものとは異なる場合があります。

以下の画面は、DAML プロトコル・プロパティーの例です。

DAML Protocol Properties--------------------------------------------------------------------A. USERNAME ****** ;Authorized user name.B. PASSWORD ****** ;Authorized user password.C. MAX_CONNECTIONS 100 ;Max Connections.D. PORTNUMBER 45580 ;Protocol Server port number.E. USE_SSL FALSE ;Use SSL secure connection.F. SRV_NODENAME 9.38.215.20 ;Event Notif. Server name.G. SRV_PORTNUMBER 9443 ;Event Notif. Server port number.

H. VALIDATE_CLIENT_CE FALSE ;Require client certificate.I. REQUIRE_CERT_REG FALSE ;Require registered certificate.

X. Done

Select menu option:

4. 構成するメニュー・オプションの文字を入力します。

DAML プロトコル用に構成できるプロパティーについて詳しくは、以下の 12ページの表 3 を参照してください。

第 3 章 IBM Tivoli Identity Manager 用 Active Directory アダプターの構成 11

表 3. DAML プロトコル・メニューのオプション

オプション構成タスク

A 以下のプロンプトが表示されます。

Modify Property ’USERNAME’:

ユーザー ID を入力します。

この値は、Tivoli Identity Manager サーバーがアダプターとの接続に使用するユーザー ID です。

デフォルトのユーザー ID は、agent です。

B 以下のプロンプトが表示されます。

Modify Property ’PASSWORD’:

パスワードを入力します。

この値は、Tivoli Identity Manager サーバーがアダプターとの接続に使用するユーザー ID のパスワードです。

デフォルトのパスワードは、agent です。

C 以下のプロンプトが表示されます。

Modify Property ’MAX_CONNECTIONS’:

同時にオープンする接続でアダプターがサポートする最大数を入力します。

デフォルトの数は、100 です。

D 以下のプロンプトが表示されます。

Modify Property ’PORTNUMBER’:

異なるポート番号を入力します。

この値は、Tivoli Identity Manager サーバーがアダプターとの接続に使用するポート番号です。デフォルトのポート番号は、45580 です。

E 以下のプロンプトが表示されます。

Modify Property ’USE_SSL’:

アダプターとの接続またはアダプターからの接続にセキュア SSL 接続を使用するかどうかを指定するために、TRUE または FALSE を入力してください。

デフォルト値は FALSE です。

USE_SSL が TRUE に設定されている場合、証明書をインストールする必要があります。証明書のインストールについて詳しくは、 43ページの『証明書のインストール』を参照してください。


表 3. DAML プロトコル・メニューのオプション (続き)


F 以下のプロンプトが表示されます。

Modify Property ’SRV_NODENAME’:

サーバー名または、9.38.215.20 のように IP アドレスを入力します。

この値はイベント通知および非同期要求処理で使用する、Tivoli Identity

Manager サーバーの DNS 名または IP アドレスです。注: ご使用のプラットフォームが、インターネット・プロトコル・バージョン 6 (IPv6) 接続をサポートしている場合、IPv6 サーバーを指定できます。

G 以下のプロンプトが表示されます。

Modify Property ’SRV_PORTNUMBER’:

Tivoli Identity Manager サーバーにアクセスするための異なるポート番号を入力します。

この値は、アダプターが Tivoli Identity Manager サーバーとの接続に使用するポート番号です。デフォルトのポート番号は、9443 です。

H 以下のプロンプトが表示されます。

Modify Property ’VALIDATE_CLIENT_CE’:

アダプターとの通信時に Tivoli Identity Manager サーバーに証明書を送信させるには、TRUE と入力してください。

証明書なしのアダプターとの通信を Tivoli Identity Manager サーバーに許可するには、FALSE と入力してください。デフォルト値は FALSE です。

注:

1. このオプションを TRUE に設定した場合、オプション D から H を構成する必要があります。

2. 実際のプロパティー名は VALIDATE_CLIENT_CERT です。agentCfg

によって画面に合わせて切り捨てられます。

3. 適切な CA 証明書のインストールおよびオプションの Tivoli Identity

Manager サーバー証明書の登録には、CertTool を使用する必要があります。CertTool の使用について詳しくは、 39ページの『CertTool を使用した SSL 証明書の管理』を参照してください。


表 3. DAML プロトコル・メニューのオプション (続き)


I 以下のプロンプトが表示されます。

Modify Property ’REQUIRE_CERT_REG’:

この値は、オプション H が TRUE に設定されている場合のみ適用されます。

SSL 接続を受信する前に、Tivoli Identity Manager サーバーからのクライアント証明書をアダプターで登録させるには、TRUE と入力します。

クライアント証明書を CA 証明書のリストと比較して検査するだけであれば、FALSE と入力します。デフォルト値は FALSE です。

証明書について詳しくは、 33ページの『第 4 章 Active Directory アダプターの SSL 認証の構成』を参照してください。

5. プロンプトで値を変更して Enter キーを押します。

「プロトコル・プロパティー・メニュー (Protocol Properties Menu)」が新しい設定で表示されます。

値を変更しない場合は、ただ Enter キーを押せば「プロトコル・プロパティー・メニュー (Protocol Properties Menu)」に戻ります。

6. 必要な多数のプロトコル・プロパティーを構成するには、ステップ 4 および 5

を繰り返します。

7. メニューを終了するには、「プロトコル・プロパティー・メニュー (Protocol

Properties Menu)」で、X を入力します。

イベント通知の構成イベント通知は、設定された間隔で Tivoli Identity Manager サーバーを更新するActive Directory アダプターの機能です。イベント通知は、管理対象リソースに対して行われた変更を検出し、その変更内容で Tivoli Identity Manager サーバーを更新します。完全な調整間で管理対象リソースから Tivoli Identity Manager サーバーに戻される更新された情報を保有したい場合に、イベント通知を使用可能にできます。イベント通知は、Tivoli Identity Manager サーバーの調整の置き換えを目的としたものではありません。

イベント通知を使用可能にすると、調整データのデータベースが、アダプターがインストールされているマシンに保持されます。データベースは、Tivoli Identity

Manager サーバーが要求する変更内容で更新され、サーバーと同期をとり続けます。データベースと、現在管理対象リソースに存在するデータを比較するイベント通知プロセスの間隔を指定できます。この間隔が経過すると、管理対象リソースとデータベース間のあらゆる差が Tivoli Identity Manager サーバーに転送され、ローカル・スナップショット・データベースで更新されます。

イベント通知を使用可能にするにはいくつかのステップがあります。これらのステップは、アダプターが管理対象リソースおよび Tivoli Identity Manager サーバーと正常に通信できていることを前提としています。


最初に、Tivoli Identity Manager サーバー用のホスト名、ポート番号、ログイン情報を構成する必要があります。使用する DAML プロトコルのサーバーを識別するには、以下のステップを完了します。

1. 「エージェント・プロトコル構成メニュー (Agent Protocol Configuration

Menu)」で、「プロトコルの構成 (Configure Protocol)」を選択します。プロトコルの構成について詳しくは、10 ページの『プロトコル構成設定の変更』を参照してください。

2. SRV_NODENAME プロパティーのメニュー・オプションの文字を入力します。

3. Tivoli Identity Manager サーバーを識別する IP アドレスまたはサーバー名を指定し、Enter キーを押します。


4. SRV_PORTNUMBER プロパティーのメニュー・オプションの文字を入力します。

5. アダプターが、イベント通知のために Tivoli Identity Manager サーバーとの接続に使用するポート番号を指定し、Enter キーを押します。


例のメニューには、イベント通知を使用可能にした場合に表示されるすべてのオプションが表示されています。イベント通知を使用不可にした場合、表示されるオプションは限られます。Tivoli Identity Manager サーバー用のイベント通知を設定するには、以下のステップを完了します。

1. 「エージェント・メイン構成メニュー (Agent Main Configuration Menu)」で、C

と入力します。「イベント通知メニュー (Event Notification Menu)」が表示されます。

Event Notification Menu--------------------------------------------------------------* Reconciliation interval : 1 day(s)* Next Reconciliation time : 23 hour(s) 56 min(s). 23 sec(s).* Configured Contexts : Jupiter, dd309A. EnabledB. Time interval between reconciliations.C. Set Processing cache size. (currently: 50 Mbytes)D. Start event notification now.E. Set attributes to be reconciled.F. Reconciliation process priority. (current: 1)G. Add Event Notification Context.H. Modify Event Notification Context.I. Remove Event Notification Context.J. List Event Notification Contexts.

X. Done

Select menu option:

注: このメニューには、イベント通知を使用可能にした場合に表示されるすべてのオプションが表示されています。イベント通知を使用不可にした場合、表示されるオプションは限られます。

2. 変更するメニュー・オプションの文字を入力します。


他のオプションの値を有効にするには、オプション A を使用可能にする必要があります。

値を変更せずに「エージェント・イベント通知メニュー (Agent Event

Notification Menu)」に戻るには、Enter キーを押します。

表 4. イベント通知メニューのオプション


A このオプションを使用可能にした場合、アダプターは一定の間隔でアダプターに対する変更によって Tivoli Identity Manager サーバーを更新します。

オプションが以下のように設定されている場合:

v 使用不可の場合、A キーを押すと値が使用可能に変わります

v 使用可能の場合、A キーを押すと値が使用不可に変わります

オプションを切り替えるには、A を入力します。


Enter new interval([ww:dd:hh:mm:ss])

異なる調整間隔を入力します。例:

[00:01:00:00:00]

注: この値はイベント通知が完了してから再び実行されるまで待機する間隔です。イベント通知プロセスは、リソースを消費するため、この値を必要以上に短く設定してはいけません。


Enter new cache size[5]:

処理キャッシュ・サイズを変更するには異なる値を入力します。

D このオプションを選択すると、イベント通知が開始されます。

E 「イベント通知エントリー・タイプ・メニュー (Event Notification Entry

Types Menu)」が表示されます。詳しくは、 17ページの『イベント通知トリガーの設定』を参照してください。

F 以下のプロンプトが表示されます。

Enter new thread priority [1-10]:

イベント通知プロセスの優先順位を変更するには異なるスレッド値を入力します。

スレッド優先順位を低い値に設定すると、イベント通知プロセスがアダプターのパフォーマンスに与える影響を削減できます。また、値が低くなるにつれてイベント通知に時間を要します。

G 以下のプロンプトが表示されます。

Context name:

新しいコンテキスト名を入力し、Enter キーを押してください。新しいコンテキストが追加されます。


表 4. イベント通知メニューのオプション (続き)


H 使用可能なコンテキストがリストされたメニューが表示されます。詳しくは、 18ページの『イベント通知コンテキストの変更』を参照してください。

I 「コンテキスト除去メニュー (Remove Context Menu)」が表示されます。除去するコンテキストを選択します。以下のプロンプトが表示されます。

Delete context context1? [no]:

コンテキストを削除せずに終了する場合は、Enter キーを押します、コンテキストを削除する場合は、Yes と入力して、Enter キーを押します。

J イベント通知コンテキストは、以下のフォーマットで表示されます。

Context Name : Context1Target DN :erservicename=context1,o=IBM,ou=IBM,dc=com--- Attributes for search request ---{search attributes listed}-----------------------------------------------

3. オプション B、C、E、または F の値を変更した場合、Enter キーを押します。その他のオプションは、メニュー・オプションの対応する文字を入力すると、自動的に変更されます。

「イベント通知メニュー (Event Notification Menu)」が新しい設定で表示されます。

イベント通知トリガーの設定デフォルトでは、値の変更に関してすべての属性が照会されます。頻繁に変更される特定の属性 (例えば、パスワードの使用日数または最後の正常なログオンなど)

は、省略する必要があります。

1. 「イベント通知メニュー (Event Notification Menu)」で、E と入力します。「イベント通知エントリー・タイプ・メニュー (Event Notification Entry Types

Menu)」が表示されます。

Event Notification Entry Types-------------------------------------------A. USERB. GROUPX. DoneSelect menu option:

USER および GROUP タイプは、以下の条件に一致するまで前述のメニューには表示されません。

a. イベント通知が使用可能になっている

b. コンテキストが作成され構成済みである

c. 完全な調整が実行済みである

2. ユーザー調整中に戻された属性のリストに対して A と入力するか、またはグループ調整中に戻された属性に対して B と入力します。


選択された調整タイプのイベント通知属性リストが表示されます。デフォルト設定では、アダプターがサポートするすべての属性がリストされます。以下の例では、サンプル属性がリストされており、ご使用のマシンで表示されるリストと異なる場合があります。

Event Notification Attribute Listing-------------------------------------(a) **erADEAlias (b) **erADAllowDialin (c) **erADBadLoginCount(d) **erADBasePoint (e) **erCompany (f) **erADContainer(g) **erADContainerCN (h) **erADContainerDN (i) **erADContainerRDN(j) **erADCountyCode (k) **erADEDelegates (l) **erDepartment(m) **erADDisplayName (n) **erADDomainPassword (o) **erADDomainUser(p) **erDivision (q) **erADEmployeeID (r) **erADExpirationDate

(p)rev page 1 of 3 (n)ext-----------------------------

X. DoneSelect menu option:

3. イベント通知から除外する属性の文字オプションを入力します。

2 つのアスタリスク (**) で印が付いた属性は、イベント通知中に戻されます。アスタリスクの印が付いていない属性はイベント通知中に戻されません。

イベント通知コンテキストの変更イベント通知コンテキストは、Tivoli Identity Manager サーバー上のサービスに対応します。アダプターには、複数のサービスをサポートするものがあります。サービスごとに異なる基本ポイントを指定すれば、1 つの Active Directory アダプターで、いくつかの Tivoli Identity Manager サービスを保有できます。

Active Directory アダプターの基本ポイントは、アダプターのルートとして使用されるディレクトリー・サーバー内のポイントです。このポイントは、組織単位 (OU)

の場合もありますし、ドメイン・コンテナー (DC) 基本ポイントの場合もあります。基本ポイントはオプション値なので、値を指定しない場合、アダプターはインストールされているマシンのデフォルト・ドメインを使用します。

複数のイベント通知コンテキストを保有できますが、少なくとも 1 つのアダプターを保有しなければなりません。以下のサンプル画面では、Context1、 Context2、Context3 がすべて異なる基本ポイントを持った 3 つの異なるコンテキストであることに注意してください。

イベント通知コンテキストを変更するには、以下のステップを完了します。

1. 「イベント通知メニュー (Event Notification Menu)」で、H と入力します。「コンテキストの変更メニュー (Modify Context Menu)」が表示されます。

Modify Context Menu------------------------------A. Context1B. Context2C. Context3X. DoneSelect menu option:

2. 変更するメニュー・オプションの文字を入力します。選択したコンテキストに関して「コンテキストの変更メニュー (Modify Context Menu)」が表示されます。


A. Set attributes for searchB. Target DN:C. Delete Baseline DatabaseX. DoneSelect menu option:

表 5. コンテキストの変更メニューのオプション

オプション

構成タスク詳細

A イベント通知の検索属性の追加 19 ページを参照してください。

B イベント通知コンテキスト用のターゲット DN

の構成20 ページを参照してください。

C イベント通知コンテキストのベースライン・データベースの除去

20 ページを参照してください。

イベント通知の検索属性の追加アダプターによっては、1 つ以上のコンテキストに対して属性値のペアを指定しなければならない場合があります。これらの属性値ペアは、以下のステップを完了することで定義され、複数の目的で役割を果たします。

v 単一のアダプターが複数のサービスをサポートしている場合、各サービスは他のサービスと識別するために、1 つ以上の属性を指定する必要があります。

v イベント通知間隔が発生するか、または手動で開始されると、検索属性がイベント通知プロセスに渡されます。コンテキストごとに、完全検索要求がアダプターに送信されます。また、このコンテキストに指定された属性がアダプターに渡されます。

v Tivoli Identity Manager サーバーが調整プロセスを開始すると、アダプターはこのサービスを表すローカル・データベースを新規のデータベースに置き換えます。

検索属性を追加するには、以下のステップを完了します。

1. コンテキストに対する「コンテキストの変更メニュー (Modify Context Menu)」で、A と入力します。「エージェントに渡された調整属性メニュー(Reconciliation Attribute Passed to Agent Menu)」が表示されます。

Reconciliation Attributes Passed to Agent for Context: Context1--------------------------------------------------------------------------------------------------------A. Add new attributeB. Modify attribute valueC. Remove attributeX. DoneSelect menu option:

Active Directory アダプターの有効な属性は以下のとおりです。

v erADBasePoint

v erADDomainUser

v erADDomainPassword


これらの属性を変更する場合は、アダプター・サービス・フォーム上で入力した値と新規の値が同じである必要があります。サービス・フォーム上のフィールドが空白である場合は、属性値を指定する必要はありません。


サポートされている属性名は、名前の先頭に 2 つのアスタリスク (**) が表示されます。属性の文字を入力すると、アスタリスク表示のオン/オフが切り替わります。アスタリスクのない属性はイベント通知中に更新されません。

「エージェントに渡された調整属性メニュー (Reconciliation Attribute Passed to

Agent Menu)」が変更内容と共に表示されます。

イベント通知コンテキスト用のターゲット DN の構成ターゲット DN フィールドには、イベント通知の更新を受信するサービスの固有の名前が含まれています。

ターゲット DN を構成するには、以下のステップを完了します。

1. コンテキストに対する「コンテキストの変更メニュー (Modify Context Menu)」で、B と入力します。

2. 「ターゲット DN の入力 (Enter Target DN)」プロンプトで、コンテキストのターゲット DN を入力し、Enter キーを押します。イベント通知コンテキストのターゲット DN は、以下のフォーマットでなければなりません。

erservicename=erservicename,o=organizationname,ou=tenantname,rootsuffix

DN の各エレメントは、以下のように定義されます。

表 6. DN エレメントおよび定義

エレメント定義

erservicename ターゲット・サービスの名前を指定します。

o 組織の名前を指定します。

ou 組織があるテナントの名前を指定します。

rootsuffix ディレクトリー・ツリーのルートを指定します。

「コンテキストの変更メニュー (Modify Context Menu)」が、新しいターゲット DN

のリストと共に表示されます。

イベント通知コンテキストのベースライン・データベースの除去このオプションは、コンテキストが作成され、ベースライン・データベース・ファイルを作成するためにそのコンテキストで調整が実行された場合のみ使用可能です。

コンテキストに対する「コンテキストの変更メニュー (Modify Context Menu)」で、C と入力します。「コンテキストの変更メニュー (Modify Context Menu)」が、ベースライン・データベースの削除オプションが除去されて表示されます。


構成キーの変更構成キーをパスワードとして使用して、アダプターの構成ツールにアクセスします。

Active Directory アダプター構成キーを変更するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、D と入力します。

2. 構成キーの値を変更し、Enter キーを押します。

構成キーを変更せずに「メイン構成メニュー (Main Configuration Menu)」に戻るには、Enter キーを押します。デフォルトの構成キーは agent です。容易に推測できないパスワードを必ず選択してください。

以下のメッセージが表示されます。

構成キーが正常に変更されました。(Configuration key successfully changed.)

構成プログラムが終了し、「メインメニュー (Main Menu)」プロンプトが表示されます。

アクティビティー・ロギング設定の変更ロギングを使用可能にした場合、Active Directory アダプターはすべてのトランザクションの日付付きログ・ファイル、WinADAgent.log を維持します。デフォルトでは、ログ・ファイルは ¥log ディレクトリーにあります。

Active Directory アダプター・アクティビティー・ロギング設定を変更するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、E と入力します。

「エージェント・アクティビティー・ロギング・メニュー (Agent Activity

Logging Menu)」が表示されます。以下の例は、デフォルトのアクティビティー・ロギング設定を表示しています。

Agent Activity Logging Menu-------------------------------------A. Activity Logging (Enabled).B. Logging Directory (current: C:¥Tivoli¥Agents¥ADAgent¥Log).C. Activity Log File Name (current: ADAgent.log).D. Activity Logging Max. File Size ( 1 mbytes)E. Activity Logging Max. Files ( 3 )F. Debug Logging (Enabled).G. Detail Logging (Disabled).H. Base Logging (Disabled).I. Thread Logging (Disabled).X. DoneSelect menu option:


他のオプションの値を有効にするには、オプション A を使用可能にする必要があります。

値を変更せずに「エージェント・アクティビティー・ロギング・メニュー (Agent

Activity Logging Menu)」に戻るには、Enter キーを押します。


表 7. アクティビティー・ロギング・メニューのオプション


A アダプターに、すべてのトランザクションの日付付きログ・ファイルを維持させるには、このオプションを使用可能に設定します。


v 使用不可の場合、A キーを押すと使用可能に変わります

v 使用可能の場合、A キーを押すと使用不可に変わります

オプションを切り替えるには、A を入力します。


Enter log file directory:

ロギング・ディレクトリーに異なる値を入力します。例:C:¥Log。ロギング・オプションが使用可能な場合、各アクセス要求に関する詳細が、このディレクトリーにあるロギング・ファイルに保管されます。


Enter log file name:

ログ・ファイル名に異なる値を入力します。ロギング・オプションが使用可能な場合、各アクセス要求に関する詳細がロギング・ファイルに保管されます。

D 以下のプロンプトが表示されます。

Enter maximum size of log files (mbytes):

10 など、新しい値を入力します。ログ・ファイルが最大ファイル・サイズに達した場合、最も古いデータがアーカイブされます。ファイル・サイズの尺度はメガバイトです。アクティビティー・ログのファイル・サイズはディスク容量を超えることが可能です。

E 以下のプロンプトが表示されます。

Enter maximum number of log files to retain:

5 など、最大 100 までの新しい値を入力します。アダプターは指定された制限値を超えた最も古いアクティビティー・ログを自動的に削除します。

F このオプションが使用可能に設定されている場合、アダプターはすべてのトランザクションのログ・ファイルにデバッグ・ステートメントを組み込みます。


v 使用不可の場合、F キーを押すと値が使用可能に変わります

v 使用可能の場合、F キーを押すと値が使用不可に変わります

オプションを切り替えるには、F を入力します。


表 7. アクティビティー・ロギング・メニューのオプション (続き)


G このオプションが使用可能に設定されている場合、アダプターはすべてのトランザクションの詳細ログ・ファイルを保守します。詳細ロギング・オプションは、診断以外の目的で使用してはいけません。詳細ロギングによってアダプターからより多くのメッセージを得られますが、ログのサイズが大きくなります。


v 使用不可の場合、G キーを押すと値が使用可能に変わります

v 使用可能の場合、G キーを押すと値が使用不可に変わります

オプションを切り替えるには、G を入力します。

H このオプションが使用可能に設定されている場合、アダプターは Adapter

Development Kit (ADK) およびライブラリー・ファイルにすべてのトランザクションのログ・ファイルを維持します。ベース・ロギングを使用するとログのサイズは極めて大きくなります。


v 使用不可の場合、H キーを押すと値が使用可能に変わります

v 使用可能の場合、H キーを押すと値が使用不可に変わります

オプションを切り替えるには、H を入力します。

I このオプションが使用可能になっている場合、ログ・ファイルには、ファイルの各行に日付およびタイム・スタンプが加わると同時に、スレッドID が含まれます。


v 使用不可の場合、I キーを押すと値が使用可能に変わります

v 使用可能の場合、I キーを押すと値が使用不可に変わります

オプションを切り替えるには、I を入力します。

3. オプションの値、B、C、D、または E を変更した場合、Enter キーを押します。その他のオプションは、メニュー・オプションの対応する文字を入力すると、自動的に変更されます。

「エージェント・アクティビティー・ロギング・メニュー (Agent Activity

Logging Menu)」が新しい設定で表示されます。

レジストリー設定の変更Active Directory アダプター・レジストリー設定を変更するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」で F と入力します。「レジストリー・メニュー (Registry Menu)」が表示されます。


ADAgent 4.6 Agent Registry Menu-------------------------------------------A. Modify Non-encrypted registry settings.B. Modify encrypted registry settings.C. Multi-instance settings.X. DoneSelect menu option:

2. レジストリー設定値の変更については、以下の手順を参照してください。

注: このアダプターには、暗号化されたレジストリー設定値はありません。

暗号化されないレジストリー設定値の変更暗号化されないレジストリー設定値を変更するには、次のステップを完了します。

1. 「エージェント・レジストリー・メニュー (Agent Registry Menu)」で A と入力します。「暗号化されないレジストリー設定値メニュー (Non-encrypted Registry

Settings Menu)」が表示されます。

Agent Registry Items-----------------------------------01. CreateUNCHomeDirectories ’FALSE’02. DeleteUNCHomeDirectories ’FALSE’03. ENROLE_VERSION ’4.0’04. ForceRASServerLookup ’FALSE’05. ForceTerminalServerLookup ’FALSE’06. IsRUSRunning ’TRUE’07. ManageHomeDirectories ’FALSE’08. ReconHomeDirSecurity ’FALSE’09. UnlockOnPasswordReset ’FALSE’-----------------------------------

Page 1 of 2

A. Add new attributeB. Modify attribute valueC. Remove attribute

D. Next Page

X. Done

Select menu option:DAgent Registry Items------------------------------------10. WtsDisableSearch ’TRUE’11. WtsEnabled ’FALSE’-------------------------------------

Page 2 of 2

A. Add new attributeB. Modify attribute valueC. Remove attribute

D. Prev Page

X. Done

Select menu option:

2. 属性に対して実行するアクションのメニュー・オプションの文字を入力します。

表 8. 属性構成オプションの説明


A 新規属性の追加


表 8. 属性構成オプションの説明 (続き)

B 属性値の変更

C 属性の除去

3. レジストリー項目名を入力し、Enter キーを押します。

各レジストリー・キーの説明については、表 9 を参照してください。

4. オプション A または B を選択した場合は、レジストリー項目値を入力し、Enter キーを押します。

暗号化されないレジストリー設定値メニューが再表示され、新規の設定値が表示されます。

表 9 は、レジストリー・キーと有効な設定値を示します。

表 9. レジストリー・キーの説明

キー説明

CreateUNCHomeDirectories このキーを TRUE に設定した場合は、UNC

ホーム・ディレクトリーの作成が使用可能になります。

DeleteUNCHomeDirectories このキーを TRUE に設定した場合は、delete

での UNC ホーム・ディレクトリーの削除が使用可能になります。

ForceRASServerLookup TRUE に設定した場合は、RASServer が常にドメイン情報から検索されます。

FALSE に設定した場合は、以下の条件のいずれかが適用されます。

v ターゲット・サーバーが基本ポイント内で指定されている場合は、ターゲット・サーバーが RAS サーバーとして使用されます。

v ターゲット・サーバーが基本ポイント内で指定されていない場合は、RAS サーバーがドメイン情報から検索されます。

ForceTerminalServerLookup TRUE に設定した場合は、端末サーバーが常にドメイン情報から検索されます。

FALSE に設定した場合は、以下の条件のいずれかが適用されます。

v ターゲット・サーバーが基本ポイント内で指定されている場合は、ターゲット・サーバーが端末サーバーとして使用されます。

v ターゲット・サーバーが基本ポイント内で指定されていない場合は、端末サーバーがドメイン情報から検索されます。


表 9. レジストリー・キーの説明 (続き)

キー説明

IsRUSRunning FALSE に設定した場合は、アカウント管理中に msExchUserAccountControl およびshowInAddressBook の拡張属性が考慮されます。

TRUE に設定した場合は、拡張属性が考慮されません。デフォルト値は TRUE です。

受信者更新サービス (RUS) について、および IsRUSRunning 属性と RUS を TRUE または FALSE に設定したときのアダプターの動作について詳しくは、 27ページの表 10 を参照してください。

ManageHomeDirectories TRUE に設定した場合は、アダプターが実際のディレクトリーの Add および Delete 操作を実行します。

FALSE に設定した場合は、アダプターがActive Directory 内のホーム・ディレクトリー情報のみを更新します。

ReconHomeDirSecurity TRUE に設定した場合は、アダプターが調整中にホーム・セキュリティー情報 (NTFS セキュリティー、共有名、および共有セキュリティー) を収集します。

UnlockOnPasswordReset TRUE に設定した場合は、アダプターがパスワード変更要求時にユーザーをアクティブ化します。

WtsDisableSearch このキーは、WtsEnabled が TRUE に設定されている場合にのみ有効になります。

このキーを FALSE に設定した場合は、WTS

属性の調整が使用可能になります。

TRUE に設定した場合は、調整の速度が向上します。

WtsEnabled このキーを TRUE に設定した場合は、Windows Terminal Server (WTS) 属性の処理が使用可能になります。

RUS をオンにすると、以下のタスクが実行されます。

v Exchange ユーザー ID が作成されると、最初に Active Directory 内にエントリーが作成されます。初期状態では、ユーザーは非アクティブです。RUS は、msExchUserAccountControl 拡張属性を 0 に設定することにより、ユーザー ID をアクティブ化します。

v Active Directory 内でユーザー、グループ、またはオブジェクトが追加または変更されると、そのエントリーが属している有効なアドレス・リストが RUS によっ


て判別されます。その後、RUS によって、更新されたアドレス・リストがユーザー、グループ、またはオブジェクトの showInAddressBook 拡張属性に追加されます。

RUS がオフであり、IsRUSRunning 属性が FALSE に設定されている場合は、Active

Directory アダプターが msExchUserAccountControl および showInAddressBook の拡張属性を考慮して上記のタスクを実行します。Active Directory アダプターのインストール時の IsRUSRunning フラグのデフォルト値は TRUE です。

表 10 は、IsRUSRunning 属性の値および RUS の状況別のアダプターの動作を示します。

表 10. 予期されるアダプター動作

IsRUSRunning フラグリソース上で実行される RUS

アダプターの動作

TRUE TRUE アダプターは拡張属性を管理しません。

TRUE FALSE アダプターはログ・ファイル内にエントリーを作成し、拡張属性を管理しません。

FALSE TRUE アダプターはログ・ファイル内にエントリーを作成し、拡張属性を管理しません。

FALSE FALSE アダプターは拡張属性を管理します。

拡張設定の変更以下のタイプの要求に関する Active Directory アダプター・スレッド・カウント設定を変更できます。

v System Login Add

v System Login Change

v System Login Delete

v Reconciliation

これらの設定で Active Directory アダプターが同時に処理できる要求の最大数が決まります。これらの設定を変更するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、G と入力します。

「拡張設定メニュー (Advanced Settings Menu)」が表示されます。以下の例は、デフォルトのスレッド・カウント設定を表示しています。

ADAgent 4.6 Advanced Settings Menu-------------------------------------------A. Single Thread Agent (current:TRUE)B. ADD max. thread count. (current:3)C. MODIFY max. thread count. (current:3)D. DELETE max. thread count. (current:3)E. SEARCH max. thread count. (current:3)F. Allow User EXEC procedures (current:FALSE)G. Archive Request Packets (current:FALSE)H. UTF8 Conversion support (current:TRUE)I. Pass search filter to agent (current:FALSE)J. Thread Priority Level (1-10) (current:4)X. DoneSelect menu option:


2. 変更するメニュー・オプションの文字を入力します。各オプションの説明については、表 11 を参照してください。

表 11. 拡張設定メニューのオプション

オプション説明

A アダプターが一度に 1 つの要求のみ許容するようにします。

デフォルト値は TRUE です。

B 一度に同時実行可能な ADD 要求の数を制御します。

デフォルト値は、3 です。

C 一度に同時実行可能な MODIFY 要求の数を制御します。


D 一度に同時実行可能な DELETE 要求の数を制御します。


E 一度に同時実行可能な SEARCH 要求の数を制御します。


F アダプターが実行前機能および実行後機能を許容するかどうか決定します。このオプションを使用可能にすると、潜在的なセキュリティー・リスクが発生します。

デフォルト値は FALSE です。

G このオプションは現在サポートされていません。

H このオプションは現在サポートされていません。

I 現在、このアダプターはフィルター処理を直接サポートしていません。このオプションは、常時 FALSE でなければなりません。

J アダプターのスレッド優先順位のレベルを設定します。


3. 値を変更し、Enter キーを押します。

「拡張設定メニュー (Advanced Settings Menu)」が新しい設定で表示されます。

統計の表示Active Directory アダプター用のイベント・ログを表示するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、H と入力します。

アダプターのアクティビティー・ヒストリーが表示されます。


ADAgent 4.6 Agent Request Statistics--------------------------------------------------------------------Date Add Mod Del Ssp Res Rec

-----------------------------------------------------------------

11/15/02 000001 000000 000000 000000 000000 000001

-----------------------------------------------------------------

X. Done

2. 「メイン構成メニュー (Main Configuration Menu)」に戻るには、X と入力します。

コード・ページ設定の変更Active Directory アダプターでサポートされているコード・ページ情報をリストするには、アダプターが稼働している必要があります。コード・ページ情報を表示するには、以下のコマンドを実行してください。

agentCfg -agent [adapter_name] -codepages

Active Directory アダプター用にコード・ページ設定を変更するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、I と入力します。

アダプターの「コード・ページ・サポート・メニュー (Code Page Support


ADAgent 4.6 Codepage Support Menu-------------------------------------------* Configured codepage: US-ASCII-------------------------------------------********************************************* Restart Agent After Configuring Codepages*******************************************

A. Codepage Configure.

X. Done

Select menu option:

2. コード・ページを構成するには、A を入力します。

注: ADAgent コード・ページはユニコードを使用しているため、このオプションは適用できません。

3. 「メイン構成メニュー (Main Configuration Menu)」に戻るには、X と入力します。

ヘルプおよび追加オプションへのアクセスagentCfg ヘルプ・メニューにアクセスし、ヘルプ引数を使用するには、以下のステップを完了します。


1. 「メインメニュー (Main Menu)」プロンプトで、X と入力します。コマンド・プロンプトが表示され、¥bin ディレクトリーに移動します。

2. ヘルプ・メニューを表示するには、プロンプトで agentCfg -help と入力します。

使用可能なコマンドのリストが以下のように表示されます。

-version ; Show version-hostname < value> ; Target nodename to connect to (Default:Local host IP address)-findall ; Find all agents on target node-list ; List available agents on target node-agent <value> ; Name of agent-tail ; Display agent’s activity log-schema ; Display agent’s attribute schema-portnumber <value>; Specified agent’s TCP/IP port number-netsearch <value> ; Lookup agents hosted on specified subnet-confidencetest ; Confidence test-setup ; Confidence test setup-help ; Display this help screen

表 12 は、各引数を説明しています。

表 12. agentCfg ヘルプ・メニューの引数および説明

引数説明

-version agentCfg ツールのバージョンを表示するにはこの引数を使用します。

-hostname <value> 異なるホストを指定するには、以下の引数のいずれかと共に-hostname 引数を使用します。

v -findall

v -list

v -tail

v -agent

値にはホスト名または IP アドレスを入力します。

-findall 44970 と 44994 間のすべてのポート・アドレスおよび割り当てられたアダプター名を検索、表示するにはこの引数を使用します。このオプションは、未使用のポート番号に達するとタイムアウトになるため、完了するには数分かかる場合があります。

リモート・ホストの検索には -hostname 引数を追加します。

-list Active Directory アダプターのローカル・ホストにインストール済みのアダプターを表示するには、この引数を使用します。デフォルトでは、最初にアダプターをインストールした際に、ポート・アドレス 44970 またはそれ以降で使用可能なポート番号に割り当てられます。続いてインストールされるすべてのアダプターは、以降の使用可能なポート・アドレスに順に割り当てられます。未使用のポートが見つかると、リスト処理は停止します。

リモート・ホストの検索には -hostname 引数を使用します。


表 12. agentCfg ヘルプ・メニューの引数および説明 (続き)

-agent <value> 構成するアダプターを指定するには、この引数を使用します。値にはアダプター名を入力します。リモート・ホストから構成設定を変更するには、-hostname 引数と共にこの引数を使用します。この引数は、-tail 引数と共に使用することもできます。

-tail アダプターのアクティビティー・ログを表示するには、-agent

引数と共にこの引数を使用します。異なるホスト上のアダプターのログ・ファイルを表示するには、-hostname 引数を追加します。

-schema このオプションは現在サポートされていません。

-portnumber <value> agentCfg ツールの接続に使用するポート番号を指定するには、-agent と共にこの引数を使用します。

-netsearch <value> システム上のすべてのアクティブなアダプターを表示するには、-findall 引数と共にこの引数を使用します。値にはサブネット・アドレスを指定する必要があります。

-confidencetest アダプターへの要求の追加、変更、検索、削除を試行するには、この引数を使用します。信頼性テストによって、アダプターと Active Directory サーバー間の接続をテストできます。これによって、アダプターが Tivoli Identity Manager サーバーなしで Active Directory サーバーに接続できるかどうか検査できます。

-setup 信頼性テストを構成するには、-confidence 引数と共にこの引数を使用します。

-help agentCfg コマンドのヘルプ情報を表示するにはこの引数を使用します。

3. プロンプトで、agentCfg および 1 つ以上のサポートされている引数を入力します。

アダプター構成ツールを実行するには、あらゆる引数の前に agentCfg を入力する必要があります。

ローカル・ホスト IP アドレスですべてのアダプターをリストするには、agentCfg -list と入力します。Tivoli Identity Manager サーバーのポート・アドレスは 44970 ということに注意してください。出力内容は、以下のような出力内容になります。

Agent(s) installed on node ’127.0.0.1’-----------------------ADAgent (44970)

Active Directory アダプター・パラメーターの表示または変更に使用するagentCfg ツールの「メインメニュー (Main Menu)」を表示するには、agentCfg

-agent ADAgent と入力します。

IP アドレスが 192.9.200.7 のホスト上にあるアダプターをリストするには、agentCfg-list -hostname 192.9.200.7 と入力します。出力内容は、以下のような出力内容になります。


Agent(s) installed on node ’192.9.200.7’------------------ADAgent (44970)

IP アドレスが 192.9.200.7 のホストの agentCfg ツールの「メインメニュー(Main Menu)」を表示するには、agentCfg -agent ADAgent -hostname

192.9.200.7 と入力します。Active Directory アダプター・パラメーターを表示または変更するには、メニュー・オプションを使用します。


第 4 章 Active Directory アダプターの SSL 認証の構成

Tivoli Identity Manager アダプターと Tivoli Identity Manager サーバー間のセキュア接続を確立するには、デフォルトの通信プロトコル DAML によって Secure Sockets

Layer (SSL) 認証を使用するようにアダプターおよびサーバーを構成する必要があります。SSL 用アダプターを構成することで、セキュア接続の確立前に Tivoli Identity

Manager サーバーによるアダプターの ID の検査が保証されます。

Tivoli Identity Manager サーバーまたはアダプターから発生する接続に対する SSL

認証を構成できます。通常、Tivoli Identity Manager サーバーはアダプター上の管理対象属性の値を設定または検索するため、アダプターとの接続を開始します。しかし、ご使用の環境のセキュリティー要件によっては、アダプターから発生する接続に対する SSL 認証を構成しなければならない場合があります。例えば、アダプターがイベントを使用してアダプター上の属性に関する変更を Tivoli Identity Manager

サーバーに通知している場合、アダプターから Tivoli Identity Manager サーバーが使用する Web サーバーに対して発生する Web 接続の SSL 認証を構成できます。

実稼働環境では、SSL セキュリティーを使用可能にする必要がありますが、テスト目的の場合は SSL を使用不可にしても構いません。アダプターと通信する外部アプリケーション (Tivoli Identity Manager サーバーなど) がサーバー認証を使用するように設定されている場合は、アダプター上の SSL を使用可能にしてアプリケーションが提示する証明書を検査する必要があります。

この章では、SSL 認証と証明書の概要、および CertTool ユーティリティーを使用して SSL 認証を使用可能にする方法について概要を説明します。

SSL およびデジタル証明書の概要エンタープライズ・ネットワークに Tivoli Identity Manager をデプロイする際、Tivoli Identity Manager サーバーとソフトウェア製品およびサーバーが通信するさまざまなコンポーネントの間の通信を保護する必要があります。認証局 (CA) からの署名デジタル証明書を使用して認証を行う業界標準の SSL プロトコルを使用して、Tivoli Identity Manager デプロイメントにおける通信を保護します。また、SSL はアプリケーション間で交換されるデータを暗号化します。暗号化によって、ネットワークで送信されるデータの意味は対象の受信者にしかわからなくなります。

署名デジタル証明書によって、ネットワークで接続中の 2 つのアプリケーションがお互いの ID を認証することができます。SSL サーバーの役割を果たしているアプリケーションは、SSL クライアントに対して、主張するエンティティーであることを検査するために信任状を署名デジタル証明書で提示します。また、SSL サーバーの役割を果たしているアプリケーションを構成して、SSL クライアントの役割を果たしているアプリケーションに証明書で信任状を提示するように要求することができます。これによって、証明書の両方向の交換が完了します。署名証明書はサード・パーティーの認証局から有料で発行されます。OpenSSL が提供するものなど、いくつかの公共機関も署名証明書を発行できます。


署名デジタル証明書発信元を検査するには、認証局証明書 (CA 証明書) のインストールが必要です。アプリケーションが他のアプリケーションの署名証明書を受信した際、CA 証明書を使用して証明書の発信元を検査します。認証局には、既知で広く他の組織が使用しているものもありますし、特定の地域または会社に限定されたローカルなものもあります。Web ブラウザーなど多くのアプリケーションは既知の認証局の CA 証明書で構成され、ネットワークのセキュリティー・ゾーン全体にCA 証明書を配布する作業の手間を排除または削減しています。

秘密鍵、公開鍵、およびデジタル証明書鍵、デジタル証明書、および信頼された認証局を使用して、アプリケーションの ID

を確立および検査します。

SSL は、認証に公開鍵暗号化テクノロジーを使用します。公開鍵暗号化では、公開鍵および秘密鍵がアプリケーションに対して生成されます。公開鍵で暗号化されたデータは、対応する秘密鍵でしか暗号化解除できません。同様に、秘密鍵で暗号化されたデータは、対応する公開鍵でしか暗号化解除できません。秘密鍵は、鍵データベース・ファイルでパスワード保護されているため、所有者だけが秘密鍵にアクセス可能で、対応する公開鍵を使用して暗号化されたメッセージを暗号化解除できます。

署名デジタル証明書は、サーバー、クライアント、アプリケーションなどのエンティティーの認証性を検査する業界標準の手法です。セキュリティーを最大限に確保するために、サード・パーティーの認証局が証明書を発行します。証明書には、エンティティーの ID の検査に必要な以下の情報が含まれています。

組織情報証明書のこのセクションには、組織名およびアドレスなど証明書の所有者を識別できる固有の情報が含まれています。証明書管理ユーティリティーを使用して証明書を作成する際にこの情報を提供します。

公開鍵証明書の受信側は、公開鍵を使用して証明書所有者が ID 検査のために送信した暗号化テキストを復号します。公開鍵は、テキストを暗号化する対応した秘密鍵を持っています。

認証局の識別名証明書の発行者は、この情報で自らを識別します。

デジタル署名証明書の発行者は、デジタル署名で証明書に署名し認証性を検査します。この署名は、信頼された認証局を発信元とする証明書であることを検査するために、対応する CA 証明書の署名と比較されます。

Web ブラウザー、サーバー、およびその他の SSL が使用可能なアプリケーションは、通常信頼された認証局が署名するか、それ以外の場合であっても有効なデジタル証明書を正しいものとして受け取ります。例えば、証明書自体の期限切れや検査に使用された CA 証明書が期限切れ、またはサーバーのデジタル証明書にある識別名がクライアントによって指定された識別名と一致しない場合に、そのデジタル証明書は無効になります。


自己署名証明書自己署名証明書を使用して、認証局が発行した署名証明書を作成およびインストールする前に SSL 構成をテストできます。自己署名証明書には、公開鍵、証明書所有者の情報、および所有者の署名が含まれています。関連した秘密鍵を持っていますが、サード・パーティーの認証局を通じて証明書の発信元を検査することはしません。SSL サーバー・アプリケーションに自己署名証明書を生成すると、SSL クライアント・アプリケーションの証明書レジストリーにその証明書を抽出および追加する必要があります。

この手順は、サーバー証明書に対応する CA 証明書のインストール手順と同じです。しかし、自己署名証明書を抽出して CA 証明書と同等に使用する際は、ファイルに秘密鍵は含まれません。

鍵管理ユーティリティーを使用して、自己署名証明書および秘密鍵の生成、自己署名証明書の抽出、追加を行います。

自己署名証明書をどこでどのように使用するかは、セキュリティー要件によって異なります。重要なソフトウェア・コンポーネント間で高水準な認証を行うには、自己署名証明書を使わないか、または選択的に使用します。例えば、署名デジタル証明書によってサーバー・データを保護するアプリケーションを認証し、一方で自己署名証明書を使用して Web ブラウザーまたは Tivoli Identity Manager アダプターを認証することができます。

自己署名証明書を使用する場合、以下の手順で自己署名証明書を証明書および CA

証明書のペアに置き換えることができます。

証明書および鍵フォーマット証明書および鍵は、以下のフォーマットでファイルに保管されています。

.pem フォーマットプライバシー強化メール (.pem) のフォーマット・ファイルの開始行と終了行は以下のとおりです。

-----BEGIN CERTIFICATE----------END CERTIFICATE-----

.pem ファイル・フォーマットは、証明書チェーンなど複数のデジタル証明書をサポートしています。組織で証明書チェーンを使用している場合は、このフォーマットを使用して CA 証明書を作成します。

.arm フォーマット.arm ファイルには、base-64 エンコード ASCII 表記の証明書が含まれており、秘密鍵などがありますが、公開鍵は対象外です。.arm ファイル・フォーマットは IBM 鍵管理ユーティリティーで生成および使用されます。

.der フォーマット.der ファイルにはバイナリー・データが含まれています。.der ファイルは、複数の証明書を含むことができる .pem ファイルと異なり、単一の証明書にしか使用できません。

.pfx フォーマット (PKCS12)PKCS12 ファイルはポータブル・ファイルで、証明書および対応する秘密鍵

第 4 章 Active Directory アダプターの SSL 認証の構成 35

を含んでいます。このフォーマットは、1 つのタイプの SSL インプリメンテーションから異なるタイプのインプリメンテーションへの変換に役立ちます。例えば、IBM 鍵管理ユーティリティーを使用して PKCS12 ファイルを作成、エクスポートしてから、そのファイルを CertTool ユーティリティーを使用して別のマシンにインポートすることができます。

SSL 認証の使用アダプターを開始すると、使用可能な接続プロトコルがロードされます。 DAML

プロトコルは、SSL 認証の使用をサポートするただ 1 つの使用可能なプロトコルです。DAML SSL インプリメンテーションの使用を指定できます。

DAML SSL インプリメンテーションは、証明書レジストリーを使用して、秘密鍵および証明書を保管します。証明書レジストリーの場所は、CertTool 鍵および証明書管理ツールによって内部的に管理されていますので、証明書管理タスクの実行時にレジストリーの場所を指定する必要はありません。

DAML プロトコルについて詳しくは、 10ページの『プロトコル構成設定の変更』を参照してください。

SSL 認証用証明書の構成以下の手順を使用して、署名証明書を使用した片方向または両方向の SSL 認証用アダプターを構成します。これらの手順を実行するには、CertTool ユーティリティーを使用します。

片方向 SSL 認証用証明書の構成このシナリオでは、Tivoli Identity Manager サーバーおよび Tivoli Identity Manager

アダプターが SSL を使用するように設定されています。クライアント認証は、どちらのアプリケーションにも設定されていません。 Tivoli Identity Manager サーバーは SSL クライアントとして作動し接続を開始します。アダプターは SSL サーバーとして作動し、署名証明書を Tivoli Identity Manager サーバーに送信することで応答します。Tivoli Identity Manager サーバーは、アダプターから送信された証明書を検査するためにインストールされた CA 証明書を使用します。

37ページの図 2 で、アプリケーション A は Tivoli Identity Manager サーバーとして作動し、アプリケーション B は Tivoli Identity Manager アダプターとして作動します。


片方向 SSL を構成するには、アプリケーションごとに以下のタスクを実行します。

1. アダプター側では、以下のステップを完了します。

a. CertTool ユーティリティーを始動します。

b. 認証局が発行した署名証明書を持つ SSL サーバー・アプリケーションを構成するには以下のようにします。

1) 証明書署名要求 (CSR) および秘密鍵を作成します。このステップは、組み込まれた公開鍵と分離した秘密鍵を持つ証明書を作成し、PENDING_KEY レジストリー値に秘密鍵を配置します。

2) CA が提供する指示を使用して認証局に CSR を実行します。CSR を実行する際、ルート CA 証明書がサーバー証明書と共に戻されるように指定します。

2. Tivoli Identity Manager サーバーで、以下のステップのいずれか 1 つを完了します。

v 既知の CA が発行する署名証明書の使用を構成する場合、Tivoli Identity

Manager サーバーが CA のルート証明書 (CA 証明書) を鍵ストアに保管したことを確認します。鍵ストアが CA 証明書を含んでいない場合、アダプターから CA 証明書を抽出し、サーバーの鍵ストアに追加します。

v 自己署名証明書の使用を構成する場合は以下のようにします。

– 自己署名証明書を Tivoli Identity Manager サーバーで生成した場合は、その証明書はすでに鍵ストアにインストール済みです。

– 別のアプリケーションの鍵管理ユーティリティーを使用して自己署名証明書を生成した場合は、アプリケーションの鍵ストアから証明書を抽出し、Tivoli Identity Manager サーバーの鍵ストアに追加します。

両方向 SSL 認証用証明書の構成このシナリオでは、Tivoli Identity Manager サーバーおよび Tivoli Identity Manager

アダプターが SSL を使用するように設定されており、アダプターはクライアント認証を使用するように設定されています。証明書を Tivoli Identity Manager サーバーに送信すると、アダプターはサーバーに対して識別検査を要求し、サーバーは署名証明書をアダプターに送ります。両方のアプリケーションが署名証明書および対応する CA 証明書で構成されます。

図 2. 片方向 SSL 認証 (サーバー認証)


図 3 では、Tivoli Identity Manager サーバーはアプリケーション A として作動し、Tivoli Identity Manager アダプターはアプリケーション B として作動します。

以下の手順は、 36ページの『片方向 SSL 認証用証明書の構成』で述べた手順を使用して、片方向 SSL 認証用のアダプターおよび Tivoli Identity Manager サーバーの構成が完了済みであることを前提としています。したがって、CA からの署名証明書を使用する場合、以下のようになります。

v アダプターは、秘密鍵と CA が発行した署名証明書で構成されます。

v Tivoli Identity Manager サーバーはアダプターの署名証明書を発行した CA のCA 証明書で構成されます。

両方向 SSL 用の証明書構成を完了するには、以下のタスクを実行します。

1. Tivoli Identity Manager サーバーでは、CSR および秘密鍵を作成し、CA から証明書を取得して、CA 証明書および新規の署名証明書をインストールしてから、一時ファイルに CA 証明書を抽出します。

2. アダプター側では、Tivoli Identity Manager サーバーの鍵ストアから抽出したCA 証明書をアダプターに追加します。

両方向の証明書構成を完了したら、各アプリケーションは固有の証明書と秘密鍵、さらにアプリケーションごとに証明書を発行した CA の CA 証明書を保有します。

アダプターが SSL クライアントとして作動する際の証明書の構成このシナリオでは、アダプターは SSL サーバーとしてだけでなく、SSL クライアントとしても作動します。このシナリオは、アダプターがイベント通知を送信するために Web サーバー (Tivoli Identity Manager サーバーが使用) との接続を開始する場合に適用されます。例えば、アダプターは接続を開始し、Web サーバーは証明書をアダプターに提示することで応答します。

39ページの図 4 では、Tivoli Identity Manager アダプターが SSL サーバーおよびSSL クライアントとして作動する方法について説明しています。Tivoli Identity

図 3. 両方向 SSL 認証 (クライアント認証)


Manager サーバーと通信する際、アダプターは認証用に証明書を送信します。Web

サーバーと通信する際、アダプターは Web サーバーの証明書を受信します。

Web サーバーが両方向 SSL 認証用に構成済みの場合、Web サーバーは署名証明書を Web サーバーに送信するアダプターの ID を検査します (図では示されていません)。アダプターと Web サーバー間の両方向 SSL 認証を使用可能にするには、以下の手順を実行します。

1. クライアント認証を使用するように Web サーバーを構成します。

2. 手順に従って Web サーバーに署名証明書を作成およびインストールします。

3. CertTool ユーティリティーを使用して、アダプターに CA 証明書をインストールします。

4. アダプターの署名証明書に対応する CA 証明書を Web サーバーに追加します。

アダプターがイベント通知送信のために Web サーバー (Tivoli Identity Manager サーバーが使用) との接続を開始する際の証明書の構成について詳しくは、「Tivoli

Identity Manager インフォメーション・センター」を参照してください。

CertTool を使用した SSL 証明書の管理このセクションの手順では、CertTool ユーティリティーを使用して秘密鍵および証明書を管理する方法について説明します。

このセクションには、以下のタスクの実行に関する説明が含まれています。

v 40ページの『CertTool の始動』

v 42ページの『秘密鍵および認証要求の生成』

v 43ページの『証明書のインストール』

v 43ページの『PKCS12 ファイルからの証明書および鍵のインストール』

v 44ページの『インストール済みの証明書の表示』

v 45ページの『CA 証明書の表示』

v 44ページの『CA 証明書のインストール』

図 4. SSL サーバーおよび SSL クライアントとして作動している Tivoli Identity Manager アダプター


v 45ページの『CA 証明書の削除』

v 45ページの『登録証明書の表示』

v 45ページの『証明書の登録』

v 46ページの『証明書の登録抹消』

CertTool の始動証明書構成ツール、CertTool を始動するには、Active Directory アダプターの場合、以下のステップを完了します。

1. 「スタート」メニューから、「プログラム」を選択し、「アクセサリ」を選んでから「コマンドプロンプト」を選択します。

2. Microsoft Windows DOS コマンド・プロンプト・ウィンドウで、アダプター用のbin ディレクトリーに移動します。例えば、Active Directory アダプター・ディレクトリーがデフォルトの場所にある場合は、以下のコマンドを入力します。

cd C:¥Tivoli¥Agents¥ADAgent¥bin

3. プロンプトで CertTool -agent ADAgent と入力します。「メインメニュー(Main Menu)」が表示されます。

Main menu - Configuring agent: ADAgent------------------------------A. Generate private key and certificate requestB. Install certificate from fileC. Install certificate and key from PKCS12 fileD. View current installed certificate

E. List CA certificatesF. Install a CA certificateG. Delete a CA certificate

H. List registered certificatesI. Register certificateJ. Unregister a certificate

K. Export certificate and key to PKCS12 file

X. Quit

Choice:

「メインメニュー (Main Menu)」からは、秘密鍵および認証要求の作成、証明書のインストールおよび削除、証明書の登録および登録抹消、証明書のリストを行うことができます。以下のセクションでは、オプションの各グループの目的について要約しています。

オプションの第 1 セット (A から D) は、CSR の生成および戻された署名証明書のアダプターへのインストールに使用します。

A. 秘密鍵および認証要求の生成 (Generate private key and certificate request)CSR および認証局に送信される関連した秘密鍵を生成します。オプションA について詳しくは、 42ページの『秘密鍵および認証要求の生成』を参照してください。

B. ファイルからの証明書のインストール (Install certificate from file)ファイルから証明書をインストールします。このファイルは、オプション


A で生成された CSR に応答して CA が戻した署名証明書でなければなりません。オプション B について詳しくは、 43ページの『証明書のインストール』を参照してください。

C. PKCS12 ファイルからの証明書および鍵のインストール (Install certificate andkey from a PKCS12 file)

公開証明書および秘密鍵の両方を含んだ PKCS12 フォーマット・ファイルから証明書をインストールします。証明書の取得にオプション A と B を使用していない場合、使用する証明書は PKCS12 フォーマットでなければなりません。オプション C について詳しくは、 43ページの『PKCS12 ファイルからの証明書および鍵のインストール』を参照してください。

D. 現在インストール済みの証明書の表示 (View current installed certificate)システムにインストール済みの証明書を表示します。オプション D について詳しくは、 44ページの『インストール済みの証明書の表示』を参照してください。

オプションの第 2 のセットは、ルート CA 証明書のアダプターへのインストールに使用します。CA 証明書は、Tivoli Identity Manager サーバーなどのクライアントが提示した対応する証明書を検査するために Tivoli Identity Manager アダプターが使用します。

E. CA 証明書のリスト (List CA certificates)インストール済みの CA 証明書を表示します。アダプターは、インストール済みの CA 証明書の 1 つによって証明書が検査済みの Tivoli Identity

Manager サーバーとしか通信しません。

F. CA 証明書のインストール (Install a CA certificate)CA が生成した証明書を検査するために新規の CA 証明書をインストールします。CA 証明書ファイルでは、X.509 または PEM エンコード・フォーマットのいずれかを使用できます。CA 証明書のインストール方法について詳しくは、 44ページの『CA 証明書のインストール』を参照してください。

G. CA 証明書の削除 (Delete a CA certificate)インストール済みの CA 証明書のいずれかを除去します。CA 証明書の削除方法について詳しくは、 45ページの『CA 証明書の削除』を参照してください。

残りのオプション (H から K) は、アダプターが情報を送信する先のアプリケーション (例えば Tivoli Identity Manager サーバーまたは Web サーバー) を認証する必要があるアダプターに適用されます。これらのオプションは、アダプターへの証明書の登録に使用します。Tivoli Identity Manager バージョン 4.5 以前の場合、Tivoli

Identity Manager サーバーの署名証明書は、アダプター上でクライアント認証を可能とするためにアダプターに登録する必要があります。クライアント認証用の CA 証明書を使用するように既存のアダプターをアップグレードしない場合は、Tivoli

Identity Manager サーバーが提示した署名証明書をアダプターに登録する必要があります。

アダプターを構成してイベント通知を使用する場合、またはクライアント認証がDAML で使用可能な場合は、オプション F の『CA 証明書のインストール』オプ


ションを使用して、Tivoli Identity Manager サーバーの署名証明書に対応する CA

証明書をインストールする必要があります。

H. 登録証明書のリスト (List registered certificates)通信で受け入れられるすべての登録証明書をリストします。登録証明書のリストについて詳しくは、 45ページの『登録証明書の表示』を参照してください。

I. 証明書の登録 (Register a certificate)新規の証明書を登録します。登録する証明書は Base 64 エンコード X.509

フォーマットまたは PEM でなければなりません。証明書の登録について詳しくは、 45ページの『証明書の登録』を参照してください。

J. 証明書の登録抹消 (Unregister a certificate)登録済みリストから証明書を抹消 (除去) します。証明書の登録抹消について詳しくは、 46ページの『証明書の登録抹消』を参照してください。

K. 証明書および鍵の PKCS12 ファイルへのエクスポート (Export certificate andkey to PKCS12 file)

以前にインストールした証明書および秘密鍵をエクスポートします。暗号化のためにファイル名およびパスワードの入力をプロンプトで要求されます。証明書および鍵の PKCS12 ファイルへのエクスポートについて詳しくは、46ページの『PKCS12 ファイルへの証明書と鍵のエクスポート』を参照してください。

秘密鍵および認証要求の生成証明書署名要求はテキスト・ファイルの未署名証明書です。未署名証明書を認証局に実行すると、CA は対応する CA 証明書に含まれている秘密デジタル署名で証明書に署名します。CSR が署名されると、有効な証明書になります。CSR には、組織名、国、Web サーバーの公開鍵など、組織に関する情報が含まれています。

CSR ファイルを生成するには、以下のステップを完了します。

1. CertTool の「メインメニュー (Main Menu)」で、A と入力します。以下のメッセージおよびプロンプトが表示されます。

Enter values for certificate request (press enter to skip value)-------------------------------------------------------------------------

2. 「組織」プロンプトで、組織名を入力し、Enter キーを押します。

3. 「組織単位」プロンプトで、組織単位を入力し、Enter キーを押します。

4. 「エージェント名 (Agent Name)」プロンプトで、証明書を要求する対象のアダプターの名前を入力し、Enter キーを押します。

5. 「電子メール」プロンプトで、この要求の担当者の電子メール・アドレスを入力し、Enter キーを押します。

6. 「都道府県」プロンプトで、アダプターがある都道府県を入力し、Enter キーを押します。認証局によっては、都道府県に 2 文字の省略形を受け入れない場合があるため、フルネームで都道府県名を入力する必要があります。

7. 「国」プロンプトで、アダプターがある国を入力し、Enter キーを押します。

8. 「地域」プロンプトで、アダプターがある都市名を入力し、Enter キーを押します。


9. 「これらの値を受け入れますか (Accept these values)」プロンプトで、表示された値を受け入れる場合は Y、値を再入力する場合は N を入力し、Enter キーを押します。

値を受け入れると、秘密鍵および認証要求が生成されます。

10. 「PEM 認証要求を保管するファイル名を入力してください (Enter name offile to store PEM cert request)」プロンプトで、ここまでのステップで指定した値を保管するために使用するファイル名を入力し、Enter キーを押します。

11. Enter キーを押して継続します。認証要求および入力値が指定したファイルに書き込まれ、再度「メインメニュー (Main Menu)」が表示されます。

これで、生成した .pem ファイルを認証局ベンダーに送信することで、トラステッド CA に対して証明書を要求できます。

証明書署名要求の例CSR ファイルは以下の例のようになります。-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

証明書のインストールトラステッド CA から証明書を受信したら、アダプターのレジストリーにインストールします。証明書をインストールするには、以下のステップを完了します。

1. 電子メール・メッセージの一部として証明書を受信した場合は、証明書のテキストをテキスト・ファイルにコピーし、そのファイルをアダプターの bin ディレクトリーにコピーします。例:

C:¥Tivoli¥Agents¥ADAgent¥bin

2. CertTool の「メインメニュー (Main Menu)」で、B と入力します。以下のプロンプトが表示されます。

Enter name of certificate file:-------------------------------------------------------------------------

3. 「証明書ファイル名を入力してください (Enter name of certificate file)」プロンプトで、証明書ファイルの絶対パスを入力し、Enter キーを押します。

証明書はアダプターのレジストリーにインストールされ、再度「メインメニュー(Main Menu)」が表示されます。

PKCS12 ファイルからの証明書および鍵のインストール証明書を取得するための CSR の生成に CertTool ユーティリティーを使用しない場合は、証明書および秘密鍵をインストールし、それらを PKCS12 ファイルに保管する必要があります。CA はパスワード保護ファイルまたは PKCS12 ファイル (拡張


子が .pfx のファイル) を送信する場合があり、それらのファイルには証明書と秘密鍵の両方が含まれています。この PKCS12 ファイルから証明書をインストールするには、以下のステップを完了します。

1. PKCS12 ファイルをアダプターの bin ディレクトリーにコピーします。例:

C:¥Tivoli¥Agents¥ADAgent¥bin

2. CertTool の「メインメニュー (Main Menu)」で、C と入力します。以下のプロンプトが表示されます。

Enter name of PKCS12 file:-------------------------------------------------------------------------

3. 「PKCS12 ファイルの名前を入力してください (Enter name of PKCS12 file)」プロンプトで、証明書および秘密鍵の情報を含んだ PKCS12 ファイルの名前を入力し、Enter キーを押します。例: DamlSrvr.pfx

4. 「パスワードを入力してください (Enter password)」プロンプトで、ファイルのアクセスに必要なパスワードを入力し、Enter キーを押します。

証明書および秘密鍵はアダプターのレジストリーにインストールされ、再度「メインメニュー (Main Menu)」が表示されます。

インストール済みの証明書の表示システムにインストール済みの証明書をリストするには、CertTool の「メインメニュー (Main Menu)」で D と入力します。

インストール済みの証明書がリストされ、「メインメニュー (Main Menu)」が表示されます。以下の例ではインストール済みの証明書をリストしています。

The following certificate is currently installed.Subject: c=US,st=California,l=Irvine,o=DAML,cn=DAML Server

CA 証明書のインストールクライアント認証を使用している場合、CA 証明書をインストールする必要があります。インストールする CA 証明書は、認証局ベンダーから発行されます。

一時ファイルに抽出した CA 証明書をインストールするには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、F (CA 証明書のインストール)

と入力します。

以下のプロンプトが表示されます。

Enter name of certificate file:

2. 「証明書ファイル名を入力してください (Enter name of certificate file)」プロンプトで、DamlCACerts.pem などの証明書ファイル名を入力し、Enter キーを押します。

証明書ファイルがオープンされ、以下のプロンプトが表示されます。

[email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=EngInstall the CA? (Y/N)

3. 「CA のインストール (Install the CA)」プロンプトで、証明書をインストールするには Y と入力し、Enter キーを押します。


証明書ファイルが CACerts.pem ファイルにインストールされます。

CA 証明書の表示CertTool は 1 つの証明書および 1 つの秘密鍵しかインストールしません。アダプターにインストール済みの CA 証明書をリストするには、「メインメニュー (MainMenu)」プロンプトで E と入力します。

インストール済みの CA 証明書が表示され、「メインメニュー (Main Menu)」が表示されます。以下の例ではインストール済みの CA 証明書をリストしています。

Subject: o=IBM,ou=SampleCACert,cn=TestCAValid To: Wed Jul 26 23:59:59 2006

CA 証明書の削除アダプター・ディレクトリーから CA 証明書を削除するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、G と入力します。

アダプターにインストール済みのすべての CA 証明書のリストが表示されます。

0 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=Eng1 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Support,cn=SupportEnter number of CA certificate to remove:

2. 「除去する CA 証明書の番号を入力してください (Enter number of CAcertificate to remove)」プロンプトで、除去する CA 証明書の番号を入力し、Enter キーを押します。

CA 証明書が CACerts.pem ファイルから削除され、「メインメニュー (Main


登録証明書の表示クライアントの妥当性検査が使用可能になっている場合に、登録証明書を表示する要求のみ、アダプターが受け入れます。

アダプターが使用可能なすべての登録証明書のリストを表示するには、「メインメニュー (Main Menu)」プロンプトで、H と入力します。

登録証明書が表示され、「メインメニュー (Main Menu)」が表示されます。以下の例では登録証明書をリストしています。

0 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=Eng1 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Support,cn=Support

証明書の登録アダプターの証明書を登録するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、I と入力します。


Enter name of certificate file:


2. 「証明書ファイル名を入力してください (Enter name of certificate file)」プロンプトで、登録する証明書ファイル名を入力し、Enter キーを押します。

証明書の件名が表示され、プロンプトが表示されます。例:

[email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=EngRegister this CA? (Y/N)

3. 「この CA を登録 (Register this CA)」プロンプトで、証明書を登録するには、Y と入力し、Enter キーを押します。

証明書はアダプターに登録され、「メインメニュー (Main Menu)」が表示されます。

証明書の登録抹消アダプターの証明書を登録抹消するには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、J と入力します。

登録証明書が表示されます。以下の例では登録証明書をリストしています。

0 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=Eng1 - [email protected],c=US,st=California,l=Irvine,o=IBM,ou=Support,cn=Support

2. 登録抹消する証明書ファイルの番号を入力し、Enter キーを押します。

選択した証明書の件名が表示され、プロンプトが表示されます。例:

[email protected],c=US,st=California,l=Irvine,o=IBM,ou=Engineering,cn=EngUnregister this CA? (Y/N)

3. 「この CA を登録抹消 (Unregister this CA)」プロンプトで、証明書を登録抹消するには Y と入力し、Enter キーを押します。

証明書は、アダプターの登録証明書リストから除去され、「メインメニュー(Main Menu)」が表示されます。

PKCS12 ファイルへの証明書と鍵のエクスポートアダプターの PKCS12 ファイルに証明書および鍵をエクスポートするには、以下のステップを完了します。

1. 「メインメニュー (Main Menu)」プロンプトで、K と入力します。


Enter name of PKCS12 file:

2. 「PKCS12 ファイルの名前を入力してください (Enter name of PKCS12 file)」プロンプトで、インストール済みの証明書または秘密鍵の PKCS12 ファイルの名前を入力し、Enter キーを押します。

3. 「パスワードを入力してください (Enter Password)」プロンプトで、PKCS12 ファイルのパスワードを入力し、Enter キーを押します。

4. 「パスワードの確認」プロンプトで、パスワードを再入力し、Enter キーを押します。

証明書または秘密鍵が PKCS12 ファイルにエクスポートされ、「メインメニュー (Main Menu)」が表示されます。


第 5 章 Active Directory アダプターのカスタマイズ

Active Directory は、ユーザー・クラスのカスタム属性をサポートしています。デフォルトでは、Active Directory アダプターがサポートするのは標準の Windows 属性のみです。ただし、アダプターのカスタマイズによってカスタム (拡張) 属性をサポートすることができます。

Active Directory の拡張属性をサポートするために Active Directory アダプターをカスタマイズするには、以下のステップを完了してください。

1. Active Directory アダプター・スキーマを拡張し、Active Directory Server にカスタム属性を追加します。スキーマの拡張について詳しくは、『ステップ 1: スキーマの拡張および拡張属性の追加』を参照してください。

2. JAR ファイルを一時ディレクトリーにコピーしてファイルを抽出します。ファイルの抽出について詳しくは、 48ページの『ステップ 2. ADProfile.jar ファイルのコピーおよびファイルの抽出』を参照してください。

3. exschema.txt ファイルに拡張属性を追加します。属性の拡張について詳しくは、49ページの『ステップ 3. exschema.txt ファイルの変更』を参照してください。

4. Tivoli Identity Manager サーバーで schema.dsml ファイルを更新します。このファイルの更新について詳しくは、 49ページの『ステップ 4: schema.dsml ファイルの更新』を参照してください。

5. ホスト・マシンで customlabels.properties ファイルを更新します。このファイルの更新について詳しくは、 50ページの『ステップ 5: CustomLabels.properties ファイルの変更』を参照してください。

6. Tivoli Identity Manager サーバーに新規属性をインストールします。このファイルの更新について詳しくは、 50ページの『ステップ 6: 新規 JAR ファイルの作成および Tivoli Identity Manager サーバーへの新規属性のインストール』を参照してください。

7. アカウントのフォームを変更します。フォームの更新について詳しくは、 51ページの『ステップ 7: アダプター・フォームの変更 (オプション)』を参照してください。

Active Directory アダプターをカスタマイズするために変更可能なファイルについて詳しくは、 59ページの『付録 A. ファイル』を参照してください。

ステップ 1: スキーマの拡張および拡張属性の追加Windows Active Directory スキーマを拡張し、Windows が提供するツールを使用して Active Directory Server にカスタム属性を追加します。Active Directory への新規属性の追加について詳細は、Microsoft Windows Server の資料を参照してください。

Active Directory アダプターは、以下のタイプのカスタム属性をサポートしています。

v ブール


v 整数

v 大/小文字を区別しないストリング

v UTC コード化時間

Tivoli Identity Manager で使用されている属性を容易に識別できるように、属性名にerAD という接頭部を付けることを検討してください。

注: IBM Tivoli Directory Server がディレクトリー・サーバー・アプリケーションとして使用されている場合、属性名の最初の 16 文字は固有でなければなりません。

ステップ 2. ADProfile.jar ファイルのコピーおよびファイルの抽出プロファイル JAR ファイルである ADProfile.jar は、IBM Web サイトからダウンロードした Active Directory アダプター圧縮ファイルに含まれています。ADProfile.jar ファイルには以下のファイルが含まれています。

v CustomLabels.properties

v erADAccount.xml

v erADDAMLService.xml

v resource.def

v schema.dsml

v xforms.xml

これらのファイルを変更して、環境をカスタマイズできます。

プロファイル JAR ファイルの更新が終了したら、Tivoli Identity Manager サーバーにインストールします。プロファイルのインストールについて詳しくは、 5ページの『アダプター・プロファイルの Tivoli Identity Manager サーバーへのインポート』を参照してください。

ADProfile.jar ファイルを変更するには、以下のステップを完了します。

1. Active Directory アダプターがインストールされているシステムにログインします。

2. 「スタート」メニューで、「プログラム」 → 「アクセサリ」 → 「コマンドプロンプト」をクリックします。

3. ADProfile.jar ファイルを一時ディレクトリーにコピーします。

4. 以下のコマンドを実行して、ADProfile.jar ファイルのコンテンツを一時ディレクトリーに抽出します。

cd c:¥tempjar -xvf ADProfile.jar

jar コマンドは、c:¥temp¥ADProfile ディレクトリーを作成します。

5. 以下の残りのステップを完了して、該当するファイルを編集します。


ステップ 3. exschema.txt ファイルの変更exschema.txt ファイルは、Active Directory Server のすべての拡張属性をリストします。このファイルを変更すれば、Active Directory アダプターは Windows Active

Directory Server の拡張属性を認識できるようになります。

exschema.txt ファイルを変更するには、以下のステップを完了します。

1. アダプターの ¥data ディレクトリーに移動します。

2. テキスト・エディターで exschema.txt ファイルを作成またはオープンします。

3. 拡張属性をファイルに追加します。1 行ごとに属性を 1 つだけリストします。例:

erADString1erADIntegererADDateerADBooleanerADMultiValueString

4. 変更を保管して、ファイルをクローズします。

5. アダプターを再始動します。

Windows Services Console を使用してアダプターを始動します。

ステップ 4: schema.dsml ファイルの更新Active Directory アダプター schema.dsml ファイルは、すべての標準の Windows アカウント属性を識別します。このファイルを変更すれば、Active Directory Server の新規の拡張属性を識別できます。

このファイルにおけるさまざまな属性について詳しくは、 59ページの『schema.dsml

ファイル』を参照してください。

schema.dsml ファイルを更新するには、以下のステップを完了します。

1. schema.dsml ファイルが作成されている ¥ADProfile ディレクトリーに移動します。

2. schema.dsml ファイルを編集して、拡張属性ごとに属性定義を追加します。オブジェクト ID (OID) は、ファイルへの最後の入力に基づいて 1 つ増加します。例えば、ファイルの最後の属性が OID 1.3.6.1.4.1.6054.3.125.2.67 を使用している場合、最初の新規属性は OID 1.3.6.1.4.1.6054.3.125.2.68 を使用します。

カスタム属性用に新しい数字の範囲の開始を検討してください。例えば、カスタム属性を OID 1.3.6.1.4.1.6054.3.125.2.100 で開始します。これによって、Windows のより新しいバージョンで標準となる新規属性をサポートするためにアダプターをアップグレードする際、OID の重複を避けることができます。

3. 各新規属性をアカウント・クラスに追加します。例えば、schema.dsml ファイルの erADAccount セクションの下に以下の属性定義を追加します。

<attribute ref="erADDate" required="false"/>

第 5 章 Active Directory アダプターのカスタマイズ 49

ステップ 5: CustomLabels.properties ファイルの変更schema.dsml ファイルに拡張属性を追加すると、属性は Active Directory アダプター・フォームで使用可能になります。属性は、ディレクトリー・サーバー名ごとに属性リストに表示されます。属性リストに表示される属性名は変更できます。

アダプター・フォームで表示される属性について詳しくは、 62ページの『CustomLabels.properties ファイル』を参照してください。

属性および対応するラベルを CustomLabels.properties ファイルに追加するには、以下のステップを完了してください。

1. CustomLabels.properties が作成された ADProfile ディレクトリーに移動します。

2. 以下のフォーマットを使用している属性および対応するラベルを追加するには、CustomLabels.properties ファイルを編集します。

attribute=label

注: 属性名は小文字でなければなりません。例:

## ADAgent Labels definitions#erADString1=ADString1erADInteger=ADIntegererADDate=ADDateerADBoolean=ADBooleanerADMultiValueString=ADMultiValueString

ステップ 6: 新規 JAR ファイルの作成および Tivoli Identity Manager サーバーへの新規属性のインストール

schema.dsml および CustomLabels.properties ファイルを変更したら、これらのファイル、およびアダプター用に変更したその他のファイルを Tivoli Identity Manager サーバーにインポートして、変更内容を有効にする必要があります。

新規属性をインストールするには、以下のステップを完了します。

1. 以下のコマンドを実行し、 ¥temp ディレクトリーのファイルを使用して新規JAR ファイルを作成します。

cd c:¥tempjar -cvf ADProfile.jar ADProfile

2. ADProfile.jar ファイルを Tivoli Identity Manager Application Server にインポートします。ファイルのインポートについて詳しくは、 5ページの『アダプター・プロファイルのインポート』を参照してください。

3. ディレクトリー・サーバーを停止し始動します。

4. 変更内容を有効にするため、Active Directory アダプター・サービスを停止し始動します。


ステップ 7: アダプター・フォームの変更 (オプション)変更が Tivoli Identity Manager サーバーで使用可能になれば、Active Directory アダプター・フォームを変更して新規の拡張属性を使用できます。属性を使用可能にしたくない場合は、Active Directory アダプター・フォームに追加する必要はありません。属性は、明示的に除外しない限り、調整中に戻されます。

アダプター・フォームの変更方法について詳しくは、「Tivoli Identity Manager インフォメーション・センター」を参照してください。

アカウントの復元時のパスワード管理個人のアカウントを以前にサスペンドされた状態から復元する際、復元アカウント用の新規パスワードの入力を求めるプロンプトが表示されます。しかし、この動作を回避したい事情がある場合もあります。

Active Directory サーバーのアカウントの復元に必要なパスワード要件には、許可と必須という 2 つのカテゴリーがあります。各復元アクションがどのように対応する管理対象リソースと相互作用するかは、管理対象リソースまたはインプリメントしているビジネス・プロセスによって異なります。リソースの中には、アカウントの復元要求が行われた際にパスワードを拒否するものもあります。このケースでは、新規のパスワード要件がなくても続行できるように Tivoli Identity Manager を構成できます。アカウントの復元プロセスにはパスワードのリセットが必要と、会社のビジネス・プロセスで決まっている場合は、アカウント復元時に新規パスワードを要求するように Active Directory アダプターを設定できます。

resource.def ファイルに、新規のプロトコル・オプションとして、パスワードを必要とするかしないかを定義できます。アダプター・プロファイルをインポートする際、オプションが指定されていないと、アダプター・プロファイル・インポーターは、schema.dsml および xforms.xml ファイルから正しい復元パスワードの振る舞いを判断します。また、アダプター・プロファイル・コンポーネントによって、異なるリソース上の複数のアカウントを復元した状況でユーザーが入力したパスワードを廃棄するかどうかをリモート・サービスが判断できます。このシナリオでは、復元対象のアカウントでパスワードが必要なのはごく一部です。リモート・サービスは、リモート・サービスを必要としない管理対象リソースの復元アクションからパスワードを廃棄します。

アカウント復元時に、Active Directory アダプターに新規パスワードを求めるプロンプトを表示しないように構成するには以下のようにします。

1. Tivoli Identity Manager サーバーを停止します。

2. ADProfile.jar ファイルからファイルを抽出します。アダプター・プロファイル・ファイルのカスタマイズについて詳しくは、 48ページの『ステップ 2.

ADProfile.jar ファイルのコピーおよびファイルの抽出』を参照してください。

3. resource.def ファイルが作成されている ¥ADProfile ディレクトリーに移動します。

4. resource.def ファイルを編集して、新規プロトコル・オプションを追加します。例:


<Property Name = "com.ibm.itim.remoteservices.ResourceProperties.PASSWORD_NOT_REQUIRED_ON_RESTORE" Value = "TRUE"/><Property Name = "com.ibm.itim.remoteservices.ResourceProperties.PASSWORD_NOT_ALLOWED_ON_RESTORE" Value = "FALSE"/>

前述の例の 2 つのオプションを追加することで、アカウント復元時にパスワードの入力を求めるプロンプトが表示されなくなります。

5. resource.def ファイルを使用して、新規の ADProfile.jar ファイルを作成し、アダプター・プロファイル・ファイルを Tivoli Identity Manager サーバーにインポートします。詳しくは、 50ページの『ステップ 6: 新規 JAR ファイルの作成および Tivoli Identity Manager サーバーへの新規属性のインストール』を参照してください。

6. Tivoli Identity Manager サーバーを再始動します。

注: 既存のアダプター・プロファイルをアップグレードする場合、新規のアダプター・プロファイル・スキーマは即時には反映されません。Tivoli Identity

Manager サーバーを停止および始動して、キャッシュおよびアダプター・スキーマをリフレッシュする必要があります。既存のアダプターのアップグレードについて詳しくは、 55ページの『Active Directory アダプターのアップグレード』を参照してください。

アダプターの基本ポイントの構成アダプター・サービス・フォームの基本ポイント機能を使用してサブドメインおよび複数のドメインの両方をサポートするように Active Directory アダプターを構成できます。サービス・フォームの構成についての詳細は、「Tivoli Identity Manager

インフォメーション・センター」を参照してください。

Active Directory アダプターの基本ポイントは、アダプターのルートとして使用されるディレクトリー・サーバー内のポイントです。このポイントは、OU ポイントまたは DC ポイントのいずれかです。基本ポイントはオプション値なので、値を指定しない場合、アダプターはインストールされているマシンのデフォルト・ドメインを使用します。

以下の定義は、ディレクトリー・サーバーのルートから定義された基本ポイントの例です。

dc=irvine,dc=IBM,dc=com

以下の定義は、組織単位レベルから定義された基本ポイントの例です。

ou=engineering,dc=irvine,dc=IBM,dc=com

また、基本ポイントの構文は、server1/dc=ibm,dc=com のように基本ポイント DN にオプションでマシン名を接頭部に付けることを許可しています。これによってアダプターは、アクティブ・ディレクトリーのバインド要求への応答時に、最初に使用可能なサーバーに接続するのではなく、特定のサーバーにバインドします。

また、サービス・フォーム上には Admin User Account および Admin User

Password 値も存在します。これらのオプション値は、アダプターの基本ポイントに管理者アカウントが定義され、このアカウントをロギング目的で使用する場合にの


み必須です。これらの値が定義されていない場合、アダプターはアダプター・サービスに割り当てられたアカウントを使用します。

注: ディレクトリー・ツリーで有効範囲がオーバーラップするサービスを作成しないでください。調整中にアカウント作成が重複する可能性があります。



第 6 章 Active Directory アダプターまたは ADK のアップグレード

Active Directory アダプターまたは Adapter Development Kit (ADK) のいずれかをアップグレードできます。ADK はアダプターの基本コンポーネントです。ADK はすべてアダプターで共通ですが、それ以外のアダプター機能は管理対象リソースごとに異なります。

アダプター・アップグレードを実行すると、現在インストールされているアダプターを新しいバージョンに (例えば、バージョン 4.4 をバージョン 4.6 に) マイグレーションできます。アダプターをアップグレードする場合は、再インストールの場合とは異なり、既存の構成設定値を保持できます。また、現在のアダプターをアンインストールしてから新しいバージョンをインストールする必要もありません。

しかし、ADK のコードが修正された場合は、アダプター全体をアップグレードする代わりに、ADK のみを新しいバージョンにアップグレードできます。

Active Directory アダプターのアップグレードアップグレードするときには、現在のすべての構成設定値、証明書、および秘密鍵を保持する必要があるため、アダプターの新規バージョンをインストールする前に古いバージョンをアンインストールしないでください。インストールするときには、以前のアダプターのインストール先と同じインストール・ディレクトリーを指定してください。アダプターのインストール方法について詳しくは、 3ページの『第 2 章 Active Directory アダプターのインストールと構成』を参照してください。

現在インストールされている Active Directory アダプターのバージョン 4.4 または4.5 をバージョン 4.6 にする場合は、アダプターのアップグレードが必要です。アダプターをアップグレードするには、いくつかのステップを適切な順序で実行する必要があります。

既存のアダプターをアップグレードするには、次のステップを完了します。

1. Active Directory アダプター・サービスを停止します。

2. アダプターの新規バージョンをインストールします。

アップグレード後に初めてアダプターを始動すると、新規のログ・ファイルが作成され、古いファイルと置き換えられます。

ADK のアップグレードADK は、ランタイム・ライブラリー、フィルタリングとイベント通知の機能、プロトコル設定値、およびロギング情報から構成されています。アダプターのその他の部分は、追加、変更、削除、および検索機能から構成されています。 ADK はすべてアダプターで共通ですが、それ以外の機能は管理対象リソースごとに異なります。


ADK アップグレード・プログラムを使用すると、マシン上に現在インストールされているアダプターの ADK 部分を更新できます。こうすると、アダプター全体ではなく ADK のみをインストールできます。ADK アップグレードの一部として、ADK ライブラリーと DAML プロトコル・ライブラリーが更新されます。また、agentCfg バイナリーと CertTool バイナリーが更新されます。

ADK ファイルをアップグレードする前に、アップグレード・プログラムが ADK

の現在のバージョンをチェックします。インストールするバージョン・レベルよりも現在のレベルのほうが高い場合は、警告メッセージが表示されます。

Active Directory アダプター ADK をアップグレードするには、次のステップを完了します。

1. ADK アップグレード・プログラムの圧縮ファイルを IBM Web サイトからダウンロードします。

2. 圧縮ファイルの内容を一時ディレクトリーに抽出します。


4. 一時ディレクトリー内の adkinst_win32.exe ファイルを使用して、アップグレード・プログラムを開始します。例えば、「スタート」メニューの「ファイル名を指定して実行」を選択し、「名前」フィールドに C:¥TEMP¥adkinst_win32.exe

と入力します。

アダプターがインストールされていない場合は、以下のエラー・メッセージが表示され、プログラムが終了します。

No Agent Installed - Cannot Install ADK.


6. 「ソフトウェアご使用条件 (Software License Agreement)」ウィンドウでご使用条件を確認し、この条件に同意するかどうかを判断します。同意する場合は、「同意する (Accept)」をクリックします。

7. 「インストール情報 (Installation Information)」ウィンドウで「次へ」をクリックして、インストールを開始します。

8. 「インストール完了」ウィンドウで「完了」をクリックして、プログラムを終了します。

ログ・ファイルロギング・エントリーは、<ADKVersion>Installer.log ファイルおよび<ADKVersion>Installeropt.log ファイル (<ADKVersion> は ADK のバージョン) 内に格納されます。例えば、ADK46Installer.log と ADK46Installeropt.log です。これらのファイルは、インストール・プログラムを実行したフォルダー内に作成されます。


第 7 章 Active Directory アダプターのアンインストール

アダプターを除去する前に、Active Directory アダプターが使用不可になりシステムから除去されることをユーザーに通知します。サーバーをオフライン状態にした場合、完了していない Active Directory アダプター要求は、サーバーがオンライン状態に戻ったときに回復できません。

Active Directory アダプターを除去するには、次のステップを完了します。


2. Windows エクスプローラーを開き、<adapter_directory>¥_uninst¥uninstaller.exe

(adapter_directory はアダプターのインストール先のディレクトリー) を実行します。


4. Active Directory アダプター・アンインストール要約ウィンドウで「次へ」をクリックします。

5. 「完了」をクリックします。

アダプター・ディレクトリーで Active Directory アダプター・ディレクトリー、サブディレクトリー、およびファイルを調べて、アンインストールが完了していることを確認します。アンインストールされた Active Directory アダプターのインスタンスは、「サービス」ウィンドウに表示されなくなります。



付録 A. ファイル

いくつかのアダプター固有のファイルを構成できます。この付録では、Active

Directory アダプターに関連するファイルについての情報を提供します。

v 『xforms.xml ファイル』

v 『schema.dsml ファイル』

v 62ページの『CustomLabels.properties ファイル』

xforms.xml ファイルxforms.xml ファイルは、サーバーからの各要求のサービス・フォームで必要となる属性を識別します。xforms.xml ファイルは、アダプター・プロファイル・インストールの一部として Tivoli Identity Manager サーバー上にインストールされます。

xforms.xml ファイルを使用すると、Active Directory サーバー上の対応する属性とは異なる名前を、Tivoli Identity Manager サーバー上の属性に対して指定できます。xforms.xml ファイルを作成する場合は、ファイル内ですべての既存属性および新規属性の名前をマップする必要があります。既存属性の値は変更されません。

schema.dsml ファイルschema.dsml ファイルには、すべてのアダプターに共通する属性がすべて含まれます。この共通ファイルには、すべてのアダプターが使用できる Tivoli Identity

Manager サーバー属性も含まれます。schema.dsml ファイルは、アダプターが使用するクラスをすべて定義します。クラスは、アカウント、サービス、およびサポート・データを宣言するために使用されます。

schema.dsml ファイルは、アダプターが Tivoli Identity Manager サーバーとの通信のためにサポートおよび使用する属性とオブジェクトを定義します。すべての属性を一意的に識別するために、OID が割り当てられます。

OID は、<object-identifier>...</object-identifier> タグを使用して定義されます。

schema.dsml ファイルの形式は以下のとおりです。SCHEMA.DSML File<?xml version="1.0" encoding="UTF-8"?><dsml>

<directory-schema> ...

<attribute-type single-value="true"><name>erADString1</name><description/><object-identifier>1.3.6.1.4.1.6054.3.125.2.100</object-identifier><syntax>1.3.6.1.4.1.1466.115.121.1.15</syntax></attribute-type>




<attribute-type single-value="true"><name>erADInteger</name><description/><object-identifier>1.3.6.1.4.1.6054.3.125.2.101</object-identifier><syntax>1.3.6.1.4.1.1466.115.121.1.27</syntax></attribute-type>



<attribute-type single-value="true"><name>erADDate</name><description/><object-identifier>1.3.6.1.4.1.6054.3.125.2.102</object-identifier><syntax>1.3.6.1.4.1.1466.115.121.1.24</syntax></attribute-type>

<attribute-typesingle-value="true"><name>erADBoolean</name><description/><object-identifier>1.3.6.1.4.1.6054.3.125.2.103</object-identifier><syntax>1.3.6.1.4.1.1466.115.121.1.7</syntax></attribute-type>

<attribute-type><name>erADMultiValueString</name><description>List of string values</description><object-identifier>1.3.6.1.4.1.6054.3.125.2.104</object-identifier><syntax>1.3.6.1.4.1.1466.115.121.1.15</syntax></attribute-type> ...

<class superior="top"><name>erADAccount</name><description>Windows account.</description><object-identifier>1.3.6.1.4.1.6054.3.125.1.1</object-identifier> ...<attribute ref="erADBoolean" required="false"/><attribute ref="erADDate" required="false"/><attribute ref="erADInteger" required="false"/><attribute ref="erADMultiValueString" required="false"/><attribute ref="erADString1" required="false"/></class> ...</directory-schema></dsml>

このスキーマ・ファイルの各セクションについては、以下のそれぞれのセクションで説明します。

オブジェクト IDTivoli Identity Manager サーバーは、LDAP ディレクトリー・サービスを使用して、Tivoli Identity Manager データを追加、削除、変更、および検索します。LDAP ディレクトリー・サーバー内の各データ項目には、固有の OID が必要です。そのため、Tivoli Identity Manager の schema.dsml ファイル内で定義される各属性およびクラスには、OID が割り当てられます。

OID の構文は以下のとおりです。

enterprise ID.product ID.adapter ID.object ID.instance ID

enterprise ID は IBM の場合には常に 1.3.6.1.4.1.6054 です。


これらの schema.dsml ファイルはアダプターとともに使用されるため、product ID

は常に 3 です。

adapter ID は Active Directory アダプターの場合には 125 です。

object ID は 2 です。属性はオブジェクト ID として 2 を使用します。

instance ID はオブジェクトの順序番号です。

属性定義アダプターの固有属性を定義する前に、共通 schema.dsml ファイル内にその属性が存在しないことを確認してください。

属性の定義の例を以下に示します。

<attribute-type single-value = "true" ><name>erSampleHome</name><description>User home directory</description><object-identifier>1.3.6.1.4.1.6054.3.125.2.100</object-identifier><syntax>1.3.6.1.4.1.1466.115.121.1.15</syntax></attribute-type>

コメント行は、<!― ... ―> マーカーによって表されます。

属性タイプは、単一値または複数値として定義されます。単一値の属性は、<attribute-type single-value ="true"> の行によって表されます。複数値の属性を表すには、true の値を false に変更します。

Tivoli Identity Manager サーバーが使用する属性の名前は、このスキーマで定義されます。新規の Active Directory アダプター属性を見分けやすくするために、すべての新規属性の先頭に erAD を追加して、Windows Active Directory 内で簡単に識別できるようにします。属性が Windows Active Directory 内で既に定義されていて、その属性が既存の属性と競合しない場合は、属性の名前を変更しないで使用できます。

属性の説明は、<description>...</description> タグによって表されます。

OID は、<object-identifier>...</object-identifier> タグを使用して定義されます。 OID は既存の標準属性に既に割り当てられているため、リスト内の最後の属性から OID をコピーできます。ただし、schema.dsml ファイルに新規属性を追加するごとに、最後の数値を 1 ずつ増加させる必要があります。

データ・タイプは、<syntax>...</syntax> タグを使用して定義されます。 syntax

タグ内で指定する各種のデータ・タイプとその値を以下の表に示します。

表 13. syntax タグのデータ・タイプと値

データ・タイプ値

ビット・ストリング 1.3.6.1.4.1.1466.115.121.1.6

ブール 1.3.6.1.4.1.1466.115.121.1.7

ディレクトリー・ストリング 1.3.6.1.4.1.1466.115.121.1.15

付録 A. ファイル 61

表 13. syntax タグのデータ・タイプと値 (続き)

データ・タイプ値

UTC コード化時間 1.3.6.1.4.1.1466.115.121.1.24

整数 1.3.6.1.4.1.1466.115.121.1.27

クラスschema.dsml ファイル内で 1 つ以上のアカウント・クラスと 1 つ以上のサービス・クラスを定義する必要があります。

各クラスには、クラスを識別するために少なくとも 1 つの属性 (名前属性) が必要です。定義するクラスによっては、追加の属性が必要になることがあります。

クラスを定義する構文を以下に示します。

<class superior="top"><name> ... </name><description> ... </description><object-identifier> ... </object-identifier><attribute ref = "..." required = "true" /><attribute ref = "..." required = "true" /></class>

オプションのクラス属性を定義するには、<attribute ref> タグ内で required =

"true" を required = "false" に変更します。

アカウント・クラスは、アカウントを記述するために使用される属性を定義します。 schema.dsml ファイル内でアカウント・クラスを定義する必要があります。

アカウント・クラスの定義の例を以下に示します。

<class superior="top" ><name>erSampleAccount</name><description>Sample Account</description><object-identifier>1.3.6.1.4.1.6054.3.125.1.101</object-identifier><attribute ref = "eruid" required = "true" /><attribute ref = "erAccountStatus" required = "false" /><attribute ref = "erSampleGroups" required = "false" /><attribute ref = "erSampleHome" required = "false" /><attribute ref = "erSampleDesc" required = "false" /><attribute ref = "erPassword" required = "false" /></class>

この例では、クラス名は erSampleAccount であり、必須属性は eruid のみです。ただし、アカウントをサスペンドまたは復元するには、erAccountStatus 属性が必要です。

CustomLabels.properties ファイルCustomLabels.properties ファイルは、アダプターのフォーム上のラベルを定義するテキスト・ファイルです。このファイルの情報の構文は以下のとおりです。

attribute=text

attribute は xforms.xml ファイル内で定義されたのと同じ属性であり、text はアカウントの Tivoli Identity Manager ユーザー・インターフェース内のフォーム上に表示されるラベルです。


attribute は小文字である必要があります。これは Tivoli Identity Manager サーバーの要件です。

付録 A. ファイル 63


付録 B. アダプター属性

アダプター実装の一部として、Tivoli Identity Manager が Active Directory サーバーにアクセスするための専用アカウントが Active Directory サーバー上に作成されます。Active Directory アダプターは、その Tivoli Identity Manager アカウントが所有するファイルとディレクトリーから構成されます。これらのファイルにより、Tivoli

Identity Manager サーバーとの通信が確立されます。

属性説明Tivoli Identity Manager サーバーは、ネットワーク経由で送信される伝送パケット内に含まれる属性を使用して、Active Directory アダプターと通信します。パケット内に含まれる属性の組み合わせは、Tivoli Identity Manager サーバーが Active

Directory アダプターに要求するアクションのタイプによって異なります。

表 14 は、Active Directory アダプターが使用する属性のアルファベット順のリストです。この表は、属性の値の簡単な説明とデータ・タイプを示します。

表 14. 属性、説明、および対応するデータ・タイプ

ディレクトリー・サーバー属性説明データ・タイプ

erADEAlias Exchange メール・ボックスの別名を指定します。ストリング

erADAllowDialin ユーザーがダイヤルイン・アクセスできるかどうかを指定します。

ブール

erADAllowEncryptedPassword 暗号化されたパスワードを使用できるかどうかを指定します。

ブール

erADEAutoGenEmailAddrs 受信者更新サービスで電子メール・アドレスが更新されるかどうかを指定します。

ブール

erADBadLoginCount 最後のリセット以降に許可される無効なログイン試行数を指定します。

ロング

erADBasePoint 任意の基本ポイントを許可するように拡張されたドメイン名の DN を指定します。

ストリング

erADCallbackNumber DialinCallBack が固定に設定されている場合に使用されるリモート・アクセス・サービスのコールバック番号を指定します。

ストリング

erADCannotBeDelegated このアカウントを別のアカウントに代行させるために割り当てられないことを指定します。

ブール

erCompany ユーザーが勤務する会社の名前を指定します。ストリング

erADContainer ユーザー・アカウントの作成先のコンテナー・オブジェクトの相対識別名 (RDN) を指定します。

コンテナーはドメインに対して相対指定されます。

整数

erADContainerCN コンテナー・オブジェクトの短縮名を指定します。ストリング

erADContainerDN コンテナー・オブジェクトの完全 DN を指定します。ストリング

erADContainerRDN コンテナー RDN を指定します。ストリング

erADCountyCode ユーザーの所在地の国を指定します。整数


表 14. 属性、説明、および対応するデータ・タイプ (続き)


erADEDaysBeforeGarbage 削除されたメールを完全に削除しないで保持する日数を指定します。

整数

erADEDelegates Exchange メール・ボックスにアクセスできるすべてのユーザーのリストを指定します。

ストリング

erDepartment ユーザーが所属する会社内の部門を指定します。ストリング

description ユーザーの説明を指定します。ストリング

erADDialinCallback ユーザーのダイヤルイン・コールバックを設定します。

1 - コールバックなし

2 - erADCallbackNumber を使用した固定コールバック

3 - このオプションを使用しない

4 - ユーザー提供のコールバック

整数

erADDisplayName Active Directory displayName 属性を指定します。ストリング

erADDomainPassword Active Directory に接続するために使用されるユーザー ID

のパスワードを指定します。ストリング

erADDomainUser Active Directory に接続するときに使用されるユーザー ID

を指定します。ストリング

erDivision 従業員が所属する会社 (組織) 内の部門を指定します。ストリング

erADDistinguishedName Active Directory 上のアカウントの識別名を指定します。ストリング

erADEmployeeID ユーザーの従業員 ID を指定します。ストリング

erADEEnableStoreDeflts デフォルト・ストア値のみを使用してストレージを制限するか、メール・ボックスに関連する他のプロパティーも使用するかを指定します。

ブール

erADExpirationDate ユーザーがログインできなくなる日時を指定します。日付

erADEExtension1 ユーザー定義拡張属性を指定します。ストリング















erADfax ユーザーの FAX 番号を指定します。ストリング




givenName ユーザーの名を指定します。ストリング

erADEForwardingStyle 電子メールを別の電子メール・アドレスにも配信するかどうかを指定します。

ストリング

erADEForwardTo 電子メールの転送先の URL を指定します。ストリング

cn ユーザーの氏名 (名と姓) を指定します。ストリング

erADEGarbageAfterBckp メール・ボックスのバックアップ後に、削除されたメールを完全に削除するかどうかを指定します。

ブール

erGroup グループの名前を指定します。ストリング

erADGroupCN グループ・オブジェクトの短縮名を指定します。ストリング

erADGroupDN グループ・オブジェクトの完全 DN を指定します。ストリング

erADEGroupType グループ・オブジェクトを指定します。ストリング

erADEHardLimit 電子メールの送受信が使用不可であるときの最大メール・ボックス・サイズ (KB) を指定します。

整数

erADEHideFromAddrsBk アドレスをアドレス帳に表示するかどうかを指定します。ブール

erADHomeDir ユーザーのホーム・ディレクトリーのパスを含むヌル終了ストリングを指定します。

このストリングは、ローカル・パスまたは UNC パスを指定できます。

例えば、以下のとおりです。

¥¥machine¥share¥path

ストリング

erADHomeDirDrive UNC ベースのホーム・ディレクトリーに割り当てるドライブ名を指定します。

ストリング

erADHomeDirNtfsAccess ユーザーのホーム・ディレクトリーの NTFS セキュリティー・レベルを指定します。

ストリング

erADHomeDirShare ホーム・ディレクトリー用に作成する共有の名前を指定します。隠し共有を作成するには、ドル記号 ($) を付加します。

ストリング

erADHomeDirAccessShare 共有に対するユーザー・アクセス・レベルを指定します。ストリング

erADEHomeMDB 受信者のストアの URL を指定します。ストリング

erADHomePage ユーザーのホーム・ページの URL を指定します。ストリング

erADEIncomingLimit 受信者に送信するメッセージの最大サイズ (KB) を指定します。

整数

erADInitial ユーザー名のミドル・ネームのイニシャルを指定します。ストリング

erADIsAccountLocked 侵入者が検出されたためにアカウントがロックされているかどうかを指定します。

ブール

erADELanguages ユーザーの言語名の配列を指定します。ストリング

erADLastFailedLogin 最後にネットワーク・ログインに失敗した日時を指定します。

日付

erADLastLogon 最後にネットワーク・ログインに成功した日時を指定します。

日付

erADLastLogoff 最後にネットワークからログオフした日時を指定します。日付

sn ユーザーの姓を指定します。ストリング

付録 B. アダプター属性 67



erLogonTimes ユーザーのログインが許可される期間を曜日ごとに指定します。1 週間分のブール値のテーブルとして表されます。各ブール値は、その時間帯が有効なログイン時間であるかどうかを示します。

バイト配列

ログイン時間(LT)

erADLoginScript ログイン・スクリプト・パスを指定します。ストリング

erADLoginWorkstations ユーザーがログインに使用できるワークステーションのアドレスまたは名前のコンマ区切りリストを指定します。

ストリング

mail ユーザーの電子メール・アドレスを指定します。ストリング

erADEMailboxStore ユーザー・メール・ボックスを保持するメール・ストアの名前を指定します。

バイナリー

erADEMailStoreCN メール・ストア共通名 (CN) を指定します。ストリング

erADEMailStoreDN メール・ストア DN を指定します。バイナリー

erADEMailStoreGN メール・ストア・グループ名を指定します。ストリング

erADEMailStoreRDN メール・ストア・オブジェクト相対ディレクトリー名(RDN) 属性を指定します。

バイナリー

erADEMailStoreSN サーバー名を含むメール・ボックス・ストアの単一の名前(サーバー - メール・ストア) を指定します。

ストリング

erADManager ユーザーのマネージャーのユーザー ID を指定します。ストリング

erMaxStorage ユーザーが使用できるディスク・スペースの最大量 (KB) を指定します。

ロング

erADNamePrefix Ms. や Mr. などユーザーの敬称を指定します。ストリング

erADNameSuffix Jr. や III などユーザーの名前の末尾に付く語句を指定します。

ストリング

erADNoChangePassword ユーザーが自分のパスワードを変更できるかどうかを指定します。

ブール

erADOfficeLocations オフィスのロケーションを指定します。ストリング

erADOtherName ミドル・ネームなどユーザーの追加の名前を指定します。ストリング

erADEOutgoingLimit 受信者から送信するメッセージの最大サイズ (KB) を指定します。

整数

erADEOverQuotaLimit メール・ボックスの最大サイズ (KB) を指定して、この値を超えるとメッセージの送信がサスペンドされるようにします。

整数

erADEOverrideGarbage ストアがメッセージを完全に削除できないようにするかどうかを指定します。

ブール

erPasswordExpiresOn パスワード期限切れの日時を指定します。日付

erADPasswordForceChange 次回のログイン時にパスワードを強制的に変更させるかどうかを指定します。

ブール

erADPasswordLastChange 最後にパスワードが変更された日時を指定します。日付

erADPasswordMinimumLength パスワードの最小長を指定します。ロング

erADPasswordNeverExpires パスワードを有効期限なしにできるかどうかを指定します。ブール

erADPasswordRequired パスワードが必須かどうかを指定します。ブール

l ユーザーの市区町村または所在地を指定します (小文字の 'l'

で表されます)。ストリング




postOfficeBox ユーザーの私書箱を指定します。ストリング

st ユーザーの所在地の都道府県を指定します。ストリング

street ユーザーの所在地の番地を指定します。ストリング

postalCode ユーザーの住所の郵便番号を指定します。ストリング

erADPrimaryGroup 1 次グループ ID を指定します。ストリング

erADPrimaryGrpTkn 1 次グループの設定に使用されるグループの ID を指定します。

ストリング

erProfile ユーザーのプロファイルへのパスを指定します。ストリング

erADEProxyAddresses 受信者のプロキシー・アドレスのリストを指定します。ストリング

erADERecipientLimit 受信者が電子メールを送信できる最大の人数を指定します。整数

erADRequireUniquePassword パスワード・ヒストリー内の既知のパスワードと異なる新規パスワードを指定する必要があるかどうかを指定します。

ブール

erADERstrctAdrsFg erADERstrctAdrsLs 属性でリストされた電子メール・アドレスのリストの受け入れまたは拒否を示すフラグを指定します。

整数

erADERstrctAdrsLs 受け入れまたは拒否の対象となる電子メール・アドレスのリストを指定します。

ストリング

erADEServerName Microsoft Exchange Server の名前を指定します。ストリング

erADEShowInAddrBook ユーザーがメンバーとして含まれるアドレス帳のリストを指定します。

ストリング

erADSmartCardRequired ログインにスマート・カードが必要かどうかを指定します。ブール

erADESMTPEmail 受信者用に使用される 1 次 SMTP アドレスを指定します。ストリング

erADEStoreQuota メール・ファイル・ストレージ割り振りの上限を指定して、この値を超えると受信者が警告を受け取るようにします。

整数

erADETargetAddress ユーザーが使用する外部電子メール・アドレスを指定します。

ストリング

homePhone ユーザーの自宅の電話番号を指定します。ストリング

mobile ユーザーの携帯電話番号を指定します。ストリング

pager ユーザーのポケットベル番号を指定します。ストリング

telephoneNumber ユーザーの職場の電話番号を指定します。ストリング

title ユーザーの役職を指定します。ストリング

erADTrustedForDelegation ユーザーが別のユーザー、グループ、または組織にドメイン・ネーム・スペースの一部の管理の責任を割り当てる権限を持っていることを指定します。

ブール

eruid ユーザー ID を指定します。ストリング

erPassword ユーザー・アカウントのパスワードを指定します。ストリング

erADUPN ユーザー・アカウントのプリンシパル名を指定します。ストリング

erADWTSAllowLogon ユーザー・アカウントが端末サーバーにログオンすることを許可するかどうかを指定します。

ブール

erADWTSBrokenTimeout 接続またはアイドル・タイマーが有効期限切れになった場合あるいは接続エラーが原因で接続が切断された場合の動作を指定します。

ブール

ロング




erADWTSCallbackNumber Citrix ICA クライアントでは、コールバック接続で使用する電話番号を含むヌル終了ストリングを指定する必要があります。

ストリング

erADWTSCallbackSettings Citrix ICA クライアントでは、端末サーバーがハングアップした後でクライアントにコールバックして接続を確立するためのダイヤルアップ接続の構成を示す値を指定する必要があります。

有効値の意味は、以下のとおりです。

1 - サーバーは、ユーザーに電話番号の入力を求めるプロンプトを出し、そのユーザーの電話番号にコールバックします。WtsCallbackNumber 値を使用して、デフォルトの電話番号を指定できます。

2 - サーバーは、WtsCallbackNumber 値で指定されたユーザーの電話番号に自動的にコールバックします。

整数

erADWTSClientDefaultPrinter RDP 5.0 クライアントと Citrix ICA クライアントでは、クライアントのプリンターがデフォルト・プリンターかどうかを指定する必要があります。

ブール

erADWTSClientDrives Citrix ICA クライアントでは、端末サーバーがログイン時にクライアント・ドライブ・マッピングを自動的に設定するかどうかを指定する必要があります。

ブール

erADWTSClientPrinters RDP 5.0 クライアントと Citrix ICA クライアントでは、端末サーバーがログイン時にクライアント・プリンター・マッピングを自動的に設定するかどうかを指定する必要があります。

ブール

erADWTSHomeDir 端末サーバー・ログイン用のユーザーのホーム・ディレクトリーのパスを示すヌル終了ストリングを指定します。このストリングは、ローカル・パスまたは UNC パスを指定できます (¥¥machine¥share¥path)。

ストリング

erADWTSHomeDirAccessShare WTS ホーム・ディレクトリー上の共有に対するユーザー・アクセス・レベルを指定します。

整数

erADWTSHomeDirDrive WtsHomeDir ストリングで指定された UNC パスがマップされるドライブ名のヌル終了ストリングを指定します。

ストリング

erADWTSHomeDirNtfsAccess ホーム・ディレクトリーへの NTFS アクセスを指定します。

ストリング

erADWTSHomeDirShare WTS ホーム・ディレクトリーを作成する共有の名前を指定します。隠し共有を作成するには、ドル記号 ($) を付加します。

ストリング

erADWTSInheritInitialProg クライアントが初期プログラムを指定できるかどうかを指定します。未設定の場合、ユーザーが実行できるプログラムはWtsInitialProgram のみです。端末サーバーは、ユーザーがこのプログラムを終了するとそのユーザーをログオフします。

ブール




erADWTSInitialProgram ユーザーがログインするときに端末サービスが実行する初期プログラムのパスを示すヌル終了ストリングを指定します。WtsInheritInitialProgram 値が 1 である場合は、クライアントが任意のプログラムを初期プログラムに指定できます。

ストリング

erADWTSProfilePath 端末サーバー・ログイン用のユーザーのプロファイルのパスを示すヌル終了ストリングを指定します。

ストリング

erADWTSReconnectSettings 切断されたユーザー・セッションに再接続する方法を示す値を指定します。

有効値の意味は、以下のとおりです。

0 - ユーザーは、任意のクライアント・コンピューターにログインして、切断されたセッションに再接続できます。システム・コンソール以外のクライアントで開始されたセッションは、システム・コンソールに接続できません。また、システム・コンソールで開始されたセッションは、切断できません。

1 - ユーザーは、切断されたセッションを確立するために使用されたクライアント・コンピューターにログオンして、その切断されたセッションに再接続できます。ユーザーが別のクライアント・コンピューターからログオンした場合は、新規のユーザー・ログイン・セッションが作成されます。

整数

erADWTSRemoteHomeDir Windows サーバー上のユーザーのホーム・ディレクトリーを指定します。

ストリング

erADWTSServerName ユーザーが構成されている WTS の名前を指定します。ストリング

erADWTSShadowSettings RDP 5.0 クライアントと Citrix ICA クライアントでは、ユーザー・セッションのシャドーを生成できるかどうかを示す値を指定する必要があります。シャドーを生成すると、ユーザーは、別のユーザーの画面上の操作をリモート側でモニターできます。

整数

erADWTSTimeoutConnections 最大接続継続時間 (ミリ秒) を指定する値を指定します。ユーザーは、接続タイムアウト間隔が有効期限切れになる 1

分前に、保留切断の通知を受け取ります。ユーザー・セッションは、WtsBrokenTimeout 値に基づいて切断または終了されます。ユーザーがログオンするごとに、タイマーがリセットされます。0 の値は、接続タイマーが使用不可であることを示します。

整数

erADWTSTimeoutDisconnections 切断されたセッションを WTS が保持する最大継続時間 (ミリ秒) を指定して、この時間を超えるとログインが終了されるようにします。0 の値は、切断タイマーが使用不可であることを示します。

整数

erADWTSTimeoutIdle 最大アイドル時間 (ミリ秒) を指定します。キーボードまたはマウスが操作されない期間が指定された時間を超えて持続した場合、ユーザー・セッションは、WtsBrokenTimeout 値に基づいて切断または終了されます。0 の値は、アイドル・タイマーが使用不可であることを示します。

整数




erADWTSWorkingDir 初期プログラムの作業ディレクトリーのパスを示すヌル終了ストリングを指定します。

ストリング

erADEX400Email 受信者用に使用される 1 次 X.400 アドレスを指定します。ストリング

erADEDelMailboxStorage ユーザーにメール・ボックス・ストレージの削除許可があるかどうかを指定します。

整数

erADEReadPermissions ユーザーにメール・ボックスの読み取り許可があるかどうかを指定します。

整数

erADEChgPermissions ユーザーのメール・ボックス許可を変更するかどうかを指定します。

整数

erADETakeOwnership ユーザーにメール・ボックス所有権の取得許可があるかどうかを指定します。

整数

erADEFullMailboxAccess ユーザーにメール・ボックスの完全なアクセス許可があるかどうかを指定します。

整数

erADEAssociatedExtAcc ユーザーに関連の外部アカウント許可があるかどうかを指定します。

整数

erADEApplyOntoAllow ACCESS_ALLOWED 許可の有効範囲を指定します。整数

erADEAllowPermTo1Level ACCESS_ALLOWED の場合にこのコンテナー内のオブジェクトおよびコンテナーに対してこれらの許可を適用するために使用する値を指定します。

ブール

erADEApplyOntoDeny ACCESS_DENIED 許可の有効範囲を指定します。整数

erADEDenyPermTo1Level ACCESS_DENIED の場合にこのコンテナー内のオブジェクトおよびコンテナーに対してこれらの許可を適用するために使用する値を指定します。

ブール

アクション別の Active Directory アダプター属性以下のリストは、一般的な Active Directory アダプター・アクションを機能トランザクション・グループ別に示しています。これらのリストには、そのアクションを完了するために Active Directory アダプターに送信される必須属性およびオプション属性についての追加情報が含まれます。

System Login AddSystem Login Add は、指定された属性を持つ新規のユーザー・アカウントをドメイン内に作成するための要求です。

表 15. 追加要求属性

必須属性オプション属性

erUid サポートされる他のすべての属性

System Login ChangeSystem Login Change は、指定されたユーザーの 1 つ以上の属性を変更するための要求です。


表 16. 変更要求属性


erUid サポートされるすべての属性

System Login DeleteSystem Login Delete は、指定されたユーザーを Active Directory から除去するための要求です。

表 17. 削除要求属性


erUid erADBasePoint

erADDomainUser

erADDomainPassword

System Login SuspendSystem Login Suspend は、ユーザー・アカウントを使用不可にするための要求です。ユーザーが除去されたり、その属性が変更されたりすることはありません。

表 18. サスペンド要求属性


erUid

erAccountStatus

erADBasePoint

erADDomainUser

erADDomainPassword

System Login RestoreSystem Login Restore は、以前にサスペンドされたユーザー・アカウントをアクティブ化するための要求です。アカウントが復元されると、ユーザーは、Suspend 機能が呼び出される前と同じ属性を使用してシステムにアクセスできます。

表 19. 復元要求属性


erUid

erAccountStatus

erADBasePoint

erADDomainUser

erADDomainPassword

ReconciliationReconciliation 機能は、Tivoli Identity Manager とアダプターの間でユーザー・アカウント情報を同期化します。


表 20. Reconciliation 属性


なし erADBasePoint

erADDomainUser

erADDomainPassword


付録 C. サポート情報

このセクションでは、IBM 製品のサポートを利用するための以下の方法について説明します。

v 『知識ベースの検索』

v 76ページの『フィックスの取得』

v 76ページの『お客様サポートとの連絡』

知識ベースの検索以下は英語のみの対応となります。 IBM ソフトウェアで問題が発生した場合は、速やかに解決する必要があります。最初に、使用可能な知識ベースを検索して、その問題の解決方法が既に文書化されているかどうかを判断します。

ローカル・システムまたはネットワーク上のインフォメーション・センターの検索

IBM では、ローカル・コンピューター上またはイントラネット・サーバー上にインストールできる大規模な文書を提供しています。このインフォメーション・センターの検索機能を使用して、概念情報、タスクを完了するための指示、参照情報、およびサポート文書を照会できます。

インターネットの検索以下は英語のみの対応となります。インフォメーション・センター内で質問への回答が見つからない場合は、インターネット上で最新の最も詳細な情報を検索して、問題の解決に役立てることができます。インターネット上で該当する製品のリソースを見つけるには、以下の Web サイトのいずれかを開きます。

v IBM Tivoli Identity Manager Performance Tuning Guide

実稼働環境用に Tivoli Identity Manager サーバーをチューニングするために必要な情報を提供します。以下の Web サイトで入手できます。


A-Z 製品リストの I の文字をクリックし、次に Tivoli Identity Manager リンクをクリックします。インフォメーション・センターで「Technical Supplements」セクションを参照します。

v Redbooks とホワイト・ペーパーは、以下の Web サイトで入手できます。


IBMTivoliIdentityManager.html

「Self Help」セクションの「Learn」カテゴリーを参照し、Redbooks リンクをクリックします。

v 技術情報は、以下の Web サイトで入手できます。






v フィールド・ガイドは、以下の Web サイトで入手できます。


v その他の Tivoli Identity Manager リソースを含む詳細なリストについては、以下の IBM developerWorks Web アドレスを検索してください。


フィックスの取得以下は英語のみの対応となります。製品のフィックスを入手して問題を解決できる場合があります。該当する IBM ソフトウェア製品でどのフィックスを使用できるかを判断するには、製品サポート Web サイトを確認します。

1. IBM ソフトウェア・サポート Web サイト (http://www.ibm.com/software/support)

にアクセスします。

2. 「Products support pages A to Z」で、該当する製品名の文字を選択します。

3. 個別製品のリストで、「IBM Tivoli Identity Manager」をクリックします。

4. 「Self help」には、該当する製品のフィックス、フィックスパック、およびその他のサービス更新のリストがあります。

5. フィックスの名前をクリックして説明を読み、必要に応じてそのフィックスをダウンロードします。

IBM 製品のフィックスなどのニュースを電子メール通知として毎週受け取るには、次のステップに従います。

1. 任意の IBM 製品のサポート・ページから、ページの左上コーナーにある「Mysupport」をクリックします。

2. 既に登録済みの場合は、次のステップにスキップします。まだ登録していない場合は、サポート・ページの右上コーナーにある「Register」をクリックして、ユーザー ID とパスワードを設定します。

3. 「My support」にサインインします。

4. 「My support」ページで、左ナビゲーション・ペインの「Edit profiles」をクリックし、「Select Mail Preferences」までスクロールします。製品ファミリーを選択し、必要な情報のタイプに対応するボックスにチェックマークを付けます。

5. 「Submit」をクリックします。

6. 他の製品の電子メール通知を受け取るには、ステップ 4 と 5 を繰り返します。

フィックスのタイプについて詳しくは、「Software Support Handbook」(http://techsupport.services.ibm.com/guides/handbook.html) を参照してください。

お客様サポートとの連絡資料およびお客様サポートについては営業担当員にお問い合わせください。





http://www.ibm.com/software/support

http://techsupport.services.ibm.com/guides/handbook.html

付録 D. 特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM

の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒106-0032東京都港区六本木 3-2-31IBM World Trade Asia CorporationLicensing

以下の保証は、国または地域の法律に沿わない場合は、適用されません。IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。

本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム（本プログラムを含む）との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。


IBM Corporation2ZA4/10111400 Burnet RoadAustin, TX 78758U.S.A.

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、IBM より提供されます。

この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

商標以下は、IBM Corporation の商標です。

IBM

IBM ロゴAIX

DB2

Lotus

Lotus Domino

Novell

SecureWay

Tivoli

Tivoli ロゴUniversal Database

WebSphere

Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation

の米国およびその他の国における商標です。

Intel、Intel Inside (ロゴ)、MMX および Pentium は、Intel Corporation の米国およびその他の国における商標です。

UNIX は、The Open Group の米国およびその他の国における登録商標です。


Linux は、Linus Torvalds の米国およびその他の国における商標です。

Java およびすべての Java 関連の商標およびロゴは、Sun

Microsystems, Inc. の米国およびその他の国における商標または登録商標です。

他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。

付録 D. 特記事項 79


索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］アカウントの復元パスワード要件 51

アクセシビリティテキスト、文書イメージの代替 ix

文書に関する注意 ix

pdf 形式、スクリーン・リーダー・ソフトウェア用 ix

アクティビティー・ロギング 21

アダプターアップグレード 55

インストール 3

インストール概要 1

インストールの前提条件 3

拡張属性 47

カスタマイズのステップ 47

機能 1

基本ポイントの構成 52

構成ステップ 7

除去 57

属性アダプター・アクション別 72

説明 65

プロファイル目的 5

ADK アップグレード 55

アダプター概要 1

アダプター構成ツール参照： agentCfg

アップグレードアダプター 55

アダプター・プロファイル 5

ADK 55

アンインストール 57

暗号化DAML プロトコルタイプ 11

デフォルト値 11

SSL 33, 34

暗号化されたレジストリー設定値 23

暗号化されないレジストリー設定値 23, 24

イベント通知キャッシュ・サイズ 16

コンテキスト検索属性 19

削除 17

ターゲット DN 20

イベント通知 (続き)

コンテキスト (続き)

ベースライン・データベース 20

変更 18

リスト 17

手動で開始 16

使用可能/使用不可 16

調整間隔 16

コンテキスト 16

属性 16

プロセスの優先順位 16

変更 17

agentCfg による変更 14

インストールアダプター 3

アンインストール 57

証明書 43

前提条件 3

ディレクトリーDB2 UDB xi

IBM Directory Server xii

IBM HTTP Server xiii

Sun ONE ディレクトリー・サーバー xii

WebSphere Application Server Network Deployment 製品xiii

WebSphere Application Server ベース製品 xiii

WebSphere MQ xiii

プロファイル 5

インストールの前提条件オペレーティング・システム 3

管理者権限 3

ネットワークの接続性 3

Tivoli Identity Manager サーバー 3

インターネット、検索してソフトウェア問題の解決を検出 75,

76

インフォメーション・センター、検索してソフトウェア問題の解決を検出 75

インポートアダプター・プロファイル 5, 50

PKCS12 ファイル 35

お客様サポートお客様サポートを参照 76

連絡 76

オペレーティング・システムの前提条件 3

［カ行］環境変数

UNIX 表記 x

管理者権限の前提条件 3


規則書体 x

本書の x

HOME ディレクトリーDB_INSTANCE_HOME xi

HTTP_HOME xiii

ITIM_HOME xiii

LDAP_HOME xii

WAS_HOME xiii

WAS_MQ_HOME xiii

WAS_NDM_HOME xiii

Tivoli_Common_Directory xiv

UNIX 変数、ディレクトリー表記 x

クライアント認証 37

クライアントの妥当性検査、SSL 38

公開鍵 34

更新アダプター・フォーム 51

アダプター・プロファイル 47

構成キーデフォルト値 9, 21

目的 9


基本ポイント 52

設定デフォルト値 10

agentCfg による表示 10


SSL 36

コンテキスト検索属性 19

削除 17

ターゲット DN 20

ベースライン・データベース 20

変更 18

リスト 17

［サ行］削除要求属性 73

サスペンド要求属性 73

自己署名証明書 35

システムの前提条件 3

詳細ログデフォルト値 21

目的 23

agentCfg での使用可能/使用不可 21

証明書インストール 44

サンプル 44

ファイルからの 43

インストール済みの表示 44

概要 33

鍵フォーマット 35

自己署名 35

証明書 (続き)

証明書管理ツール参照： CertTool

定義 33

登録 41

除去 46

登録 45

表示 45

登録の表示 45

秘密鍵およびデジタル証明書 34

表示インストール済み 44

登録 45

プロトコル構成ツール参照： CertTool

要求 42

例証明書署名要求 (CSR) 43

CA

インストール 44


削除 45

使用可能な機能 41

証明書署名要求 (CSR) 43

書体の規則 x

資料関連 ix

Tivoli Identity Manager ライブラリー v

身体障害、文書の使用 ix

スレッド・カウント設定システム・ログインの削除要求 27

システム・ログインの追加要求 27

システム・ログインの変更要求 27

調整要求 27


同時要求の最大数 27


属性拡張 47

説明 65

調整 73

Active Directory アダプター・アクション別削除 73

サスペンド 73

追加 72

復元 73

変更 72

［タ行］知識ベース、検索してソフトウェア問題の解決を検出 75

調整間隔 16

コンテキスト 16

属性 16

プロセスの優先順位 16


調整 (続き)

変更 17

調整属性 73

追加要求属性 72

ディスク・スペースの前提条件 3

ディレクトリーインストール

DB2 UDB xi

IBM Directory Server xii

IBM HTTP Server xiii

WebSphere Application Server Network Deployment 製品xiii

WebSphere Application Server ベース製品 xiii

WebSphere MQ xiii

名前、UNIX 表記 x

DB_INSTANCE_HOME xi

HTTP_HOME xiii

ITIM_HOME xiii

LDAP_HOME xii

Sun ONE ディレクトリー・サーバーのインストール xii

WAS_HOME xiii

WAS_MQ_HOME xiii

WAS_NDM_HOME xiii

テキスト、文書イメージの代替 ix

デバッグ・ログデフォルト値 21

目的 22


［ナ行］西ヨーロッパ文字セット、サポート 28

認証局定義 33

ネットワークの接続性の前提条件 3

［ハ行］パス名、表記 x

パスワード構成キー、デフォルト値 9, 21

構成キーの変更 21

パスワード、agentCfg で変更DAML プロトコル 12

パスワード保護ファイル参照： PKCS12 ファイル

秘密鍵定義 33

秘密鍵、生成 42

ファイルアダプター固有 59

例schema.dsml ファイル 59

CustomLabels.properties ファイル 62

更新 50

ファイル (続き)

exschema.txt ファイル 49

schema.dsml ファイル 59

オブジェクト ID 60

クラス 62

更新 49

xforms.xml ファイル 59

フィックス、取得 76

復元要求属性 73

プロトコルDAML

暗号化タイプ 11

暗号化デフォルト値 11

プロパティー、agentCfg で変更 11

agentCfg で構成 11

SSL

概要 33

サーバー・ツー・アダプター構成 36

両方向構成 37, 38

プロパティー、agentCfg で変更 11

文書関連 ix

Tivoli Identity Manager ライブラリー v

変更要求属性 72

ポート番号agentCfg による変更 11

ポート番号、agentCfg で変更 12

ホーム・ディレクトリーDB_INSTANCE_HOME xi

HTTP_HOME xiii

ITIM_HOME xiii

LDAP_HOME xii

WAS_HOME xiii

WAS_MQ_HOME xiii

WAS_NDM_HOME xiii

［マ行］メモリーの前提条件 3

文字セット、サポート対象 28

［ヤ行］ユーザー名、agentCfg で変更 12

要求属性削除 73

サスペンド 73

追加 72

復元 73

変更 72

索引 83

［ラ行］両方向構成

SSL

クライアント 37

クライアントおよびサーバー 38

レジストリー設定値暗号化された 23

暗号化されない 23, 24

ログアクティビティー設定、変更 10

イベントの表示 10

使用可能/使用不可、agentCfg での変更 22

詳細 21

設定、デフォルト値 21

設定、adapterCfg での変更 22

設定、agentCfg で変更最大ファイル・サイズ 22

ログ・ファイル名 22

ディレクトリー、agentCfg での変更 22

デバッグ 21

統計 28

統計の表示 28

ファイル名、agentCfg で変更 21

ADK46Installeropt.log ファイル 56

ADK46Installer.log ファイル 56

agentCfg を使用して表示 31

trace.log ファイル 6

AADK46Installeropt.log ファイル 56

ADK46Installer.log ファイル 56

agentCfg

アダプター・パラメーターの変更構成キー 21

プロトコルの設定 11

要求処理 27

レジストリー設定値 23

構成設定の表示 10

引数 29

メニューアクティビティー・ロギング 21

イベント通知 14

拡張設定 27

プロトコル構成 11

ヘルプ 29

メイン構成 9

レジストリー 23


agentCfg のヘルプ・メニュー 30

-help コマンドによるアクセス 29

CCertTool

アダプター・パラメーターの変更アクセス 36, 40

オプション 40

クライアント認証 41

証明書インストール 44


登録 41

登録の表示 45

要求 42

証明書のインストール 43

登録証明書除去 46

登録 45

表示 45

秘密鍵、生成 42

CA 証明書インストール 44

削除 45

表示 45

CSR

定義 42

ファイル、生成 42

CustomLabels.properties ファイル 62

更新 50

DDAML プロトコル暗号化タイプ 11


オプション 11

プロパティー、agentCfg で変更オプション 11

パスワード 12

ポート番号 12

ユーザー名 12

require_cert_reg 14

srv_nodename 13

srv_portnumber 13

validate_client_ce 13

agentCfg で構成 11

SSL 認証 36

DB_INSTANCE_HOME

定義 xi

DB2 UDBインストール・ディレクトリー xi

EExchange メール・ボックスの前提条件 3

exschema.txt ファイル 49


HHTTP_HOME

定義 xiii

IBM HTTP Server インストール・ディレクトリー xiii

IITIM_HOME

定義 xiii

ディレクトリー xiii

LLDAP_HOME

定義 xii

IBM Directory Server インストール・ディレクトリー xii

Sun ONE ディレクトリー・サーバーインストール・ディレクトリー xii

Ppdf 形式、スクリーン・リーダー・ソフトウェア用 ix

PKCS12 ファイル証明書および鍵のインストール 43

証明書および鍵のエクスポート 46

Rrequire_cert_reg、agentCfg で変更 14

Sschema.dsml ファイル 59

更新 49

srv_nodename、agentCfg で変更 13

srv_portnumber、agentCfg で変更 13

SSL

暗号化 33

概要 33

鍵フォーマット 35

サーバー・ツー・アダプター構成 36

自己署名証明書 35

証明書署名要求 42

証明書のインストール 33

秘密鍵およびデジタル証明書 34

両方向構成 37, 38

SSL インプリメンテーション、DAML プロトコル 36

TTivoli Identity Manager アダプターサーバーとの通信 37, 38

SSL 通信 37, 38

Tivoli Identity Manager サーバーアダプターとの通信 36

アダプター・プロファイルのインポート 5

イベント通知の構成 14

SSL 通信 36

Tivoli Identity Manager サーバーの前提条件 3

Tivoli_Common_Directory

定義 xiv

trace.log ファイル 6

UUTF-8 サポート 28

Vvalidate_client_ce、agentCfg で変更 13

WWAS_HOME

定義 xiii

WebSphere Application Server ベースインストール・ディレクトリー xiii

WAS_MQ_HOME

定義 xiii

WebSphere MQ インストール・ディレクトリー xiii

WAS_NDM_HOME

定義 xiii

WebSphere Application Server Network Deployment インストール・ディレクトリー xiii

Windows Local Account Adapter 1

Xxforms.xml ファイル 59

索引 85


��

Printed in Japan

SD88-7580-00

Documents

Active Directory アダプターインストールと構成の …publib.boulder.ibm.com/tividd/td/ITIM/SC32-1376-09/ja_JA/...Tivoli ® Identity Manager Active Directory アダプターインストールと構成のガイド