リソースを設定する際の注意事項

ここでは、Identity Manager で使用する NetWare NDS リソースの次の設定手順を説明します。

• ゲートウェイロケーションのインストール手順

• ゲートウェイサービスアカウントの設定手順

• SecretStore 証明書の設定手順

ゲートウェイの場所

管理するドメインに接続できる任意の NDS クライアントに、Sun Identity Manager Gateway をインストールします。パススルー認証が有効である場合は、複数のゲートウェイをインストールするようにしてください。

ゲートウェイサービスアカウント

デフォルトでは、ゲートウェイサービスはローカルシステムアカウントとして実行されます。これは、「サービス」MMC スナップインで設定できます。

ゲートウェイをローカルシステム以外のアカウントとして実行する場合は、ゲートウェイサービスアカウントに「Act As Operating System」ユーザー権限と「走査チェックのバイパス」のユーザー権限が必要です。ゲートウェイは、パススルー認証や、特定の状況でのパスワードの変更およびリセットに、これらの権限を使用します。

前アクションおよび後アクションのスクリプトを実行するときに、ゲートウェイに「プロセスレベルトークンの置き換え」の権限が必要な場合があります。この権限は、ゲートウェイが別のユーザー (リソース管理ユーザーなど) としてスクリプトのサブプロセスを実行しようとする場合に必要です。この場合、ゲートウェイプロセスには、そのサブプロセスに関連付けられたデフォルトのトークンを置き換える権限が必要です。

この権限がない場合は、サブプロセスの作成中に次のエラーが返されることがあります。

"Error creating process: A required privilege is not held by the client"

「プロセスレベルトークンの置き換え」権限は、デフォルトのドメインコントローラのグループポリシーオブジェクトと、ワークステーションおよびサーバーのローカルセキュリティーポリシーで定義されます。この権限をシステムに設定するには、「管理ツール」フォルダの「ローカルセキュリティーポリシー」アプリケーションを開き、「ローカルポリシー」>「ユーザー権利の割り当て」>「プロセスレベルトークンの置き換え」に移動します。

SecretStore 証明書

SecretStore をサポートするには、SSL 証明書を NDS システムから Identity Manager アプリケーションサーバーにエクスポートする必要があります。

この証明書を取得する方法の 1 つは、ConsoleOne を使用して公開鍵をエクスポートすることです。ConsoleOne を起動して、SSL CertificateDNS オブジェクトに移動します。SSL CertificateDNS オブジェクトの「プロパティー」ダイアログで、「証明書」タブの「公開鍵証明書」を選択します。「エクスポート」をクリックして、証明書のエクスポートプロセスを開始します。非公開鍵をエクスポートする必要はありません。このファイルを DER 形式で保存します。

DER ファイルを Identity Manager アプリケーションサーバーにコピーします。次に、keytool またはその他の証明書管理ツールを使用して、証明書を jdk\jre\lib\security\cacerts の鍵ファイルに追加します。keytool ユーティリティーは、Java SDK に付属しています。keytool ユーティリティーについては、Java のマニュアルを参照してください。