test

Sun Identity Manager 8.1 ビジネス管理者ガイド

Windows での PasswordSync のインストールと設定

この節では、PasswordSync のインストールおよび設定についての情報と手順を説明します。

この情報は、次のように構成されています。

ProcedurePasswordSync 設定アプリケーションをインストールする

ここでは、PasswordSync 設定アプリケーションをインストールする手順について説明します。

注 –

Identity Manager と同期するドメイン内の各ドメインコントローラに、PasswordSync をインストールする必要があります。

以前にインストールしたバージョンの PasswordSync があれば、必ずアンインストールしてから続行してください。

  1. Identity Manager インストールメディアから、次の操作を実行します。

    • 32 ビット版の Windows にインストールする場合は、pwsync\IdmPwSync_x86.msi をダブルクリックします。

    • 64 ビット版の Windows にインストールする場合は、pwsync\IdmPwSync_x64.msi をダブルクリックします。

    インストールウィザードが起動し、開始ウィンドウに次のナビゲーションボタンが表示されます。

    • 「取消し」。いつでも変更を保存せずにウィザードを終了します。

    • 「戻る」。1 つ前のダイアログボックスに戻ります。

    • 「次へ」。次のダイアログボックスに進みます。

  2. 開始画面の情報を読み、「次へ」をクリックして「セットアップの種類」ウィンドウを表示します。

  3. PasswordSync のフルパッケージをインストールする場合は「Typical」または「Complete」をクリックします。インストールするパッケージ内容を変更する場合は「カスタム」をクリックします。「次へ」をクリックして続行します。

  4. 「インストール可能」ウィンドウが表示されたら、「インストール」をクリックして製品をインストールします。

  5. 最後のウィンドウが表示されます。PasswordSync の設定を開始できるように「Launch Configuration Application」ボックスを選択し、「完了」をクリックしてインストール処理を終了します。

    PasswordSync を設定する手順については、第 11 章PasswordSyncを参照してください。

    注 –

    ダイアログに、変更を有効にするにはシステムの再起動が必要であることを示すメッセージが表示されます。PasswordSync の設定を完了するまでは再起動の必要はありませんが、PasswordSync を実装する前にドメインコントローラを再起動する必要があります。

    各ドメインコントローラにインストールされるファイルについては、「Windows での PasswordSync のインストールと設定」を参照してください。

    インストールされるコンポーネント  

    説明  

    %$INSTALL_DIR$%\configure.exe

    PasswordSync 設定プログラム 

    %$INSTALL_DIR$%\configure.exe.manifest

    設定プログラムのデータファイル 

    %$INSTALL_DIR$%\passwordsyncmsgs.dll

    PasswordSync のメッセージを処理する DLL 

    %SYSTEMROOT%\SYSTEM32\lhpwic.dll

    パスワード通知 DLL。 この DLL は Windows の PasswordChangeNotify() 関数を実装します

ProcedurePasswordSync を設定する

インストーラから設定アプリケーションを実行する場合、ウィザード形式の設定画面が表示されます。ウィザードを終了し、以後 PasswordSync 設定アプリケーションを実行するときは、タブの選択によって設定画面を切り替えることができます。

  1. PasswordSync 設定アプリケーションを起動します (まだ実行していない場合)。

    デフォルトでは、設定アプリケーションは「Program Files」、「Sun Identity Manager」、「PasswordSync」、「Configuration」にインストールされています。

    注 –

    JMS を使用しない場合は、設定アプリケーションをコマンド行から起動します。次のように、-direct フラグを指定してください。

    C:\InstallDir\Configure.exe -direct

    PasswordSync Configuration ウィザードのダイアログが表示されます (図 11–4)。

    図 11–4 PasswordSync Configuration ウィザード

    PasswordSync Configuration ウィザードを示す図

  2. このダイアログのフィールドを、必要に応じて編集します。

    次のフィールドがあります。

    • 「サーバー」は、Identity Manager がインストールされている完全修飾ホスト名または IP アドレスで置き換える必要があります。

    • 「プロトコル」は、Identity Manager とセキュリティー保護された通信を行うかどうかを指定します。

      PasswordSync は、HTTP 通信の証明書確認動作の設定をサポートします。HTTPS を有効にすると、次のオプションが表示されます。

      • 「Allow revoked certificates」。この設定は、接続の securityIgnoreCertRevoke レジストリ値に対応します。デフォルトでは、PasswordSync は失効の問題を無視せず、securityIgnoreCertRevoke レジストリ値は 0 に設定されます。

        失効した証明書のメッセージを PasswordSync で無視する場合は、このチェックボックスを選択 (SECURITY_FLAG_IGNORE_REVOCATION レジストリ値を 1 に設定) します。

      • 「Allow invalid certificates」。この設定は、接続の SECURITY_FLAG_IGNORE_CERT_CN_INVALIDSECURITY_FLAG_IGNORE_CERT_DATE_INVALID、および SECURITY_FLAG_IGNORE_UNKNOWN_CA オプションに影響します。デフォルトでは、PasswordSync は無効な証明書を許可せず、レジストリ値は 0 に設定されます。

        このボックスを選択すると、securityAllowInvalidCert レジストリ値が 1 に設定され、多数の安全性確認をパスしていない証明書を PasswordSync で使用できます。本稼働環境では、このオプションを有効にすることは推奨しません。

        注 –

        HTTP プロトコルタイプではこれらの設定は表示されません。また、これらの設定は HTTP 設定に影響しません。

    • 「ポート」は、サーバーで使用可能なポート番号を指定します。HTTP では、デフォルトのポートは 80 です。HTTPS では、デフォルトのポートは 443 です。

    • 「パス」は、アプリケーションサーバー上の Identity Manager のパスを指定します。

    • 「URL」の値はほかのフィールドの値を基に生成されます。「URL」フィールドの値は編集できません。

    • 「Settings re-init interval (seconds)」は、PasswordSync の dll がレジストリから設定を読み直す頻度を指定します。デフォルト値は 2880 秒 (8 時間) です。

      注 –

      この PasswordSync Configuration ウィザードでは値が秒単位で表示されますが、実際のレジストリの値はミリ秒単位で格納されます。

      PasswordSync の dll は、dll が動作している間、レジストリから設定情報を読み取ります。この間隔の値は、reinitIntervalMilli レジストリ値に格納されます。

      設定が更新されている間はパスワードを同期できません。このため、パスワード変更の処理にわずかな遅延が生じる場合があります。通常、この遅延は 1 秒未満です。PasswordSync は、更新中に受信したパスワード変更をすべて、更新の完了後すぐに処理します。また、パスワード同期の実行中には、PasswordSync は設定の更新を処理しません。更新は延期され、あとで実行されます。

  3. 「次へ」をクリックして、プロキシサーバーの設定ページ (図 11–5) を表示し、必要に応じてフィールドを編集します。

    図 11–5 PasswordSync ウィザードの「プロキシサーバー」ダイアログ

    PasswordSync の「プロキシサーバー」ダイアログを示す図

    次のフィールドがあります。

    • 「有効化」。プロキシサーバーが必要な場合は選択します。

    • 「サーバー」。プロキシサーバーの完全修飾ホスト名または IP アドレスを入力する必要があります。

    • 「ポート」。サーバーで利用可能なポート番号を指定します。デフォルトのプロキシポートは 8080、デフォルトの HTTPS ポートは 443 です。

  4. 「次へ」をクリックします。

    図 11–6 PasswordSync ウィザードの「JMS 設定」ダイアログ

    PasswordSync の「JMS 設定」ダイアログを示す図

    「JMS 設定」ダイアログ (図 11–6) が表示されたら、次のいずれかの操作を実行します。

    • 次のフィールドを、必要に応じて編集します。

      • 「User」には、新しいメッセージをキューに送る JMS ユーザー名を指定します。

      • 「Password」「Confirm」では、JMS ユーザーのパスワードを指定します。

      • 「Connection Factory」には、使用する JMS 接続ファクトリの名前を指定します。JMS システム上にすでに存在しているファクトリを指定する必要があります。

      • 「Session Type」はほとんどの場合、ローカルセッショントランザクションが使われることを表す LOCAL に設定することが推奨されます。セッションは各メッセージの受信後にコミットされます。指定できるその他の値は AUTOCLIENT、および DUPS_OK です。

      • 「Queue Name」には、パスワード同期イベントのデスティネーションルックアップ名を指定します。

    • JMS を使用する予定がなく、-direct フラグを指定して設定ウィザードを起動した場合は、「次へ」をクリックして「ユーザー」ダイアログを表示します。図 11–7 の手順に進みます。

  5. 「次へ」をクリックして、「JMS プロパティー」ダイアログを表示します (図 11–7)。

    図 11–7 PasswordSync ウィザードの「JMS プロパティー」ダイアログ

    PasswordSync の「JMS プロパティー」ダイアログを示す図

    JMS プロパティーダイアログでは、初期 JNDI コンテキストの構築に使われる一連のプロパティーを定義します。次の名前と値のペアを定義する必要があります。

    • java.naming.provider.url — JNDI サービスを実行するマシンの URL を指定します。

    • java.naming.factory.initial — JNDI サービスプロバイダの初期コンテキストファクトリのクラス名 (パッケージを含む) を指定します。

      「名前」プルダウンメニューの内容は、java.naming パッケージのクラスの一覧です。クラス名としてクラスまたは型を選択し、「Value」フィールドにその対応する値を入力します。

  6. JMS を使用する予定がなく、-direct フラグを指定して設定ウィザードを起動した場合は、「ユーザー」タブを設定します。その他の場合は、この手順をスキップして次の手順に進みます。

    「User」タブを設定するには、必要に応じてフィールドを編集します。

    • 「アカウント ID」。Identity Manager との接続に使用するユーザー名を指定します。

    • 「パスワード」。Identity Manager との接続に使用するパスワードを指定します。

  7. 「次へ」をクリックして、「電子メール」ダイアログ (図 11–8) を表示し、必要に応じてフィールドを編集します。

    図 11–8 PasswordSync ウィザードの「電子メール」ダイアログ

    PasswordSync の「電子メール」ダイアログを示す図

    通信エラーや Identity Manager 外部のその他のエラーにより、ユーザーのパスワード変更が正しく同期されなかったときに電子メール通知を送信するには、次に示す「電子メール」ダイアログのオプションを使用して、通知と電子メールを設定します。

    • 「Enable Email」。選択すると、この機能が有効になります。

    • 「Email End User」。ユーザーが通知を受け取る場合に選択します。このオプションを選択しない場合、管理者だけが通知を受け取ります。

    • 「SMTP サーバー」。障害通知の送信時に使われる SMTP サーバーの完全修飾名または IP アドレスを入力します。

    • 「Administrator Email Address」。通知の送信先とする電子メールアドレスを入力します。

    • 「Sender’s Name」。差出人の名前を入力します。

    • 「Sender’s Address」。差出人の電子メールアドレスを入力します。

    • 「Message Subject」。すべての通知に使用する件名を入力します。

    • 「Message Body」。通知するテキストを入力します。

      メッセージの本文では次の変数を使用できます。

      • $(accountId) — パスワードを変更しようとしているユーザーのアカウント ID。

      • $(sourceEndpoint) — パスワード通知ツールがインストールされたドメインコントローラのホスト名。トラブルが発生したマシンの特定に役立ちます。

      • $(errorMessage) — 発生したエラーを説明するエラーメッセージ。

  8. 「Trace」タブをクリックします (図 11–9)。

    図 11–9 「Trace」タブ

    PasswordSync の「Trace」タブを示す図

    次のフィールドを設定します。

    • 「Trace Level」。

    • 「Max File Size (MB)」。

    • 「Trace File」。

  9. 「完了」をクリックして、変更を保存します。

    設定アプリケーションの 2 回目以降の実行時には、ウィザードではなく一連のタブで構成される画面が表示されます。設定アプリケーションをウィザード形式で表示する場合は、コマンド行に次のコマンドを入力します。


    C:\InstallDir\Configure.exe -wizard

    PasswordSync の設定をテストする場合は、「設定のテスト」を参照してください。

PasswordSync のサイレントインストール

サイレントインストールを実行するように、PasswordSync インストーラを設定することができます。この機能を使用するには、まず PasswordSync のインストール中に設定パラメータをファイルに記録する必要があります。以降のインストールでは、このファイルを参照して同じ設定を再現します。

注 –

サイレントインストールの手順を使用する場合は、サイレントインストールを使用するサーバーごとに完全な製品をインストールする必要があります。設定の記録と再現は、システムにインストールする設定アプリケーションに依存します。

サイレントインストール処理では、Windows の msiexec ユーティリティーを使用します。このユーティリティーは、.msi ファイルをコマンド行からインストールします。

このユーティリティーの使用方法を表示するには、コマンドプロンプトで msiexec /? と入力します。

Microsoft の Web サイトでもドキュメントを入手できます。たとえば、Windows Server 2003 で msiexec を使用する場合は、http://technet.microsoft.com/en-us/library/cc759262.aspx を参照してください。

Procedureインストールパラメータを設定ファイルに記録する

次の手順に従い、インストールウィザードを使用して PasswordSync をインストールします。設定ユーティリティーが設定パラメータを取得して、XML ファイルに書き込みます。

始める前に

インストールする前に、古いバージョンの PasswordSync を削除してください。

  1. PasswordSync のインストールファイル (.msi ファイル) があるディレクトリに移動します。

    詳細については、「PasswordSync 設定アプリケーションをインストールする」を参照してください。

  2. コマンドプロンプトに次のコマンドを入力します。引数と値は、大文字と小文字を区別します。


    msiexec /i pwSyncInstallFile CONFIGARGS="-writexml fullPathToFile"

    各表記の意味は次のとおりです。

    • pwSyncInstallFile は、PasswordSync のインストールファイルです。(IdmPwSync_86.msi または IdmPwSync_x64.msi)

    • fullPathToFile は、XML ファイルを書き込む場所を指定します。

    たとえば、次のようにします。


    msiexec /i IdmPwSync_x86.msi CONFIGARGS="-writexml c:\tmp\myconfig.xml"

  3. 製品をインストールします。

ProcedurePasswordSync をサイレントインストールする

始める前に

  1. 作成したインストール設定 XML ファイルを、インストーラが読み取ることができる場所にコピーします。

  2. コマンドプロンプトに次のコマンドを入力します。引数と値は、大文字と小文字を区別します。


    msiexec /i pwSyncInstallFile ADDLOCAL="installFeature" CONFIGARGS="-readxml fullPathToFile"
 INSTALLDIR="installDir" /q

    各表記の意味は次のとおりです。

    • pwSyncInstallFile は、PasswordSync のインストールファイルです。(IdmPwSync_86.msi または IdmPwSync_x64.msi)

    • installFeature は、インストールする PasswordSync の機能を指定します。次のいずれかを選択します。

      • MainProgram — インターセプタ .dll ファイルのみをインストールします。

      • Configuration — 設定アプリケーションのみをインストールします。

      • ALL — 完全な製品をインストールします。

      /q オプションが指定されている場合は、何も指定しないと、デフォルトで MainProgram が使用されます。

    • fullPathToFile は、設定 XML ファイルのパスを指定します。

    • installDir は、カスタムインストールディレクトリのフルパスを指定します。省略可能です。

    • /q は、処理が完了したときにサーバーを自動的に再起動する非 GUI インストールを指定します。このオプションを指定しないとインストールウィザードが表示されますが、設定は定義済みの内容で実行されます。省略可能です。

    次に例を示します。

    msiexec /i IdmPwSync_x86.msi CONFIGARGS="-readxml c:\tmp\myconfig.xml"
    msiexec /i IdmPwSync_x86.msi ADDLOCAL="MainProgram" 
CONFIGARGS="-readxml c:\tmp\myconfig.xml" /q
    msiexec /i IdmPwSync_x64.msi ADDLOCAL="Complete" 
CONFIGARGS="-readxml c:\tmp\myconfig.xml" 
INSTALLDIR="C:\Program Files\Sun Microsystems\MyCustomInstallDirectory" /q