|
| |
| Sun Java™ System Directory Server 5 2004Q2 配備計画ガイド | |
第 1 章
Directory Server の概要Directory Server は、イントラネット、ネットワーク、およびエクストラネットの情報を集中管理するディレクトリサービスを提供します。Directory Server は、既存のシステムと統合することができ、社員、顧客、サプライヤ、パートナーなどの情報を管理する中央リポジトリとして機能します。また、Directory Server を拡張して、ユーザーのプロファイルや環境設定、エクストラネットのユーザー認証などを管理することもできます。
LDAP とディレクトリの基本的な概念については、『Directory Server Technical Overview』を参照してください。この章では、サーバーアーキテクチャの概要を示し、Directory Server のインストールを計画する際に考慮に入れるべき問題点など、設計と配備のプロセスについて高いレベルで説明します。この章は、次の節で構成されています。
サーバーアーキテクチャの概要Directory Server の配備には、次のような要素が含まれます。
これらの要素のそれぞれは、配備において別々の役割を果たします。
Directory Server は、サーバーおよびアプリケーションの設定と、企業内のその他のサーバーが使用するユーザー情報を格納します。通常、アプリケーションとサーバーの設定情報は Directory Server の 1 つの「サフィックス」に格納され、ユーザーとグループのエントリは別のサフィックスに格納されます。サフィックスはディレクトリツリー内のエントリの名前で、データはその下に格納されます。
設定ディレクトリまたは Configuration Directory Server (CDS) には、Directory Server 自体の設定方法についての情報が格納されます。通常このディレクトリは最初にインストールされ、後続の各サーバーがこのディレクトリに登録されます。単一の設定ディレクトリを使用することによって、全サーバーを中央管理することができます。
ユーザーディレクトリには、ディレクトリサービスにアクセスするユーザーやグループのエントリが格納されます。通常ユーザーディレクトリはネットワークドメインで一意であり、ほかのサーバーがユーザーやグループの情報を得るためにアクセスします。単一のユーザーディレクトリを使用することによって、ユーザーやグループを集中管理できます。
小規模の導入では、設定、ユーザー、およびその他のディレクトリを同じディレクトリインスタンスにインストールすることが可能です。大規模の導入では、設定とユーザーのディレクトリを別々のサーバーに配置することを検討してください。
サーバーコンソール は、すべてのSun Java System サーバーのためのフロントエンド管理アプリケーションです。これは、設定ディレクトリに登録されたすべてのサーバーとアプリケーションを検索し、それらをグラフィカルインタフェースで表示して、ユーザーがそれらを管理および設定できるようにします。
サーバーコンソール にログインすると、HTTP (Hypertext Transfer Protocol) を使用して 管理サーバー のインスタンスに接続されます。管理サーバー は、1 つのルートフォルダにインストールされているすべての Sun Java System 製品に対する要求を管理します。
このアーキテクチャについては、『Administration Server Administration Guide』の第 1 章「Remote Server Administration Overview」を参照してください。
ディレクトリ設計の概要ディレクトリの設計段階では、環境、データソース、ユーザー、ディレクトリを使用するアプリケーションなど、ディレクトリに求められる要件に関するデータを収集します。
Directory Server が備える柔軟性により、配備後も、予期しない状況や要件の変更に対応して設計を見直すことができます。ただし、優れた設計によって修正を避けるべきであることは言うまでもありません。
設計プロセスは、次の段階に分けることができます。
インストールの計画
Directory Server をインストールする前に、次の点を必ず考慮しておいてください。
- ディレクトリサービスの導入により複数のディレクトリにインストールするためのサーバー設定、ユーザー、およびグループの集中管理を可能にするには、設定ディレクトリとユーザーディレクトリの適切な位置を決めます。設定、ユーザーおよびグループのデータを保存する適切な位置については、『Administration Server Administration Guide』を参照してください。
- ホストシステムへの物理アクセスを制限します。Directory Server に多数のセキュリティ機能が組み込まれているとしても、システムをホスティングする物理アクセスが制御されていない場合、ディレクトリのセキュリティは危険にさらされます。
- ホストシステムがスタティック IP アドレスを使用していることを確認します。
- Directory Server インスタンス自体がネットワークのネームサービスを提供していない場合、または Directory Server の導入によりリモート管理を可能にするには、ネームサービスと、そのホストのドメイン名が適切に構成されていることを確認します。
- 設計時に Directory Server の各インスタンスに使用するポート番号を選択します。可能であれば、Directory Server が実際の運用段階に入った後はポート番号を変更しないでください。ポート番号を後でコンソールから変更すると、特定のスクリプトに対する必要な変更が行われず、これらのスクリプトを手動で変更しなければならなくなります。詳細は、『Directory Server リリースノート』を参照してください。
データとデータアクセスの計画
ディレクトリには、ユーザー名、電話番号、ユーザーが属するグループの情報などのデータが入ります。組織内のさまざまなデータソースを分析し、それらの相互関係を理解するには、第 2 章「ディレクトリデータの計画とアクセス」を参照してください。この章では、ディレクトリ内の保管に適したデータのタイプ、このデータにアクセスするための方法、ディレクトリの内容を設計する際に行う必要があるその他のタスクについて説明します。
スキーマの設計
Directory Server は、ディレクトリ対応アプリケーションをサポートするように設計されています。これらのアプリケーションには、ディレクトリに格納されるデータの特定の要件があります。スキーマは、格納されるデータの特性を決定します。第 3 章「Directory Serverスキーマ」では、Directory Server に含まれる標準スキーマを紹介し、スキーマをカスタマイズする方法を説明します。スキーマの一貫性を保持するためのヒントも記載されています。
ディレクトリツリーの設計
ディレクトリに格納するデータを決めたら、そのデータを編成して、参照させる必要があります。これが、ディレクトリツリーの目的です。第 4 章「ディレクトリ情報ツリー」では、ディレクトリツリーを紹介し、データ階層の設計手順を示します。また、エントリのグループ化と属性の管理を最適化するために使用するメカニズムを説明し、ディレクトリツリー設計の例を示します。
トポロジの設計
トポロジの設計では、ディレクトリツリーを複数の物理サーバー上に分割する方法や、これらのサーバー間での通信方法を決定します。第 5 章「分散、連鎖、およびリフェラル」では、トポロジ設計の基礎となる一般原則について説明します。また、複数のデータベースの使用方法、分散したデータをリンクするのに使用できるメカニズム、Directory Server で分散したデータを追跡する方法について説明します。
レプリケーションの設計
レプリケーションを使用すると、複数の Directory Server が同じディレクトリデータを保持するので、パフォーマンスが向上し、耐障害性が高まります。第 6 章「レプリケーションについての理解」では、レプリケーションのしくみ、レプリケートできるデータの種類、一般的なレプリケーションの使用例について説明します。また、可用性の高いディレクトリサービスを構築するためのヒントを示します。
安全なディレクトリの設計
ディレクトリ内のデータを保護する方法を計画し、ユーザーとアプリケーションのセキュリティ要件を満たすように、サービスを別の側面から検討することは重要です。第 7 章「アクセス制御、認証、および暗号化」では、一般的なセキュリティ上の危険、セキュリティ手法の概要、必要なセキュリティ要件を分析する際の手順について説明します。また、アクセス制御を設計し、ディレクトリデータの整合性を保持するためのヒントを示します。
監視戦略の策定
適切に設計された監視戦略では、ディレクトリの配備が成功したかどうかを評価したり、毎日のディレクトリアクティビティを行うことができます。第 8 章「Directory Server監視」では、SNMP、Directory Server コンソール、ログファイル、および Directory Server に用意されているデータベース監視ツールとレプリケーション管理ツールを使ってディレクトリを監視する方法について説明します。
ディレクトリ配備の概要ディレクトリサービスの設計が完了したら、配備段階に進みます。配備段階は、次の段階から構成されます。
ディレクトリの試験
配備段階の最初の段階では、サーバーのインスタンスを試験的にインストールし、サービスがユーザーの負荷を処理できるかどうかをテストします。サービスが適切でない場合は、設計を調整してパイロットテストを繰り返します。自信を持って全社的に導入できるような堅牢なサービスが完成するまで、設計を調整します。
試験的なディレクトリ作成と実装の概要については、『Understanding and Deploying LDAP Directory Services』 (T. Howes、M. Smith、G. Good 著、Macmillan Technical Publishing 発行、1999 年) を参照してください。
運用環境へのディレクトリの配備
パイロットテストを実施して、サービスを調整したら、ディレクトリサービスを試験的な配備から実際の運用環境に配備する計画を立て、それを実行します。次のような内容の運用計画を作成します。
ディレクトリの管理と保守については、『Directory Server 管理ガイド』を参照してください。