前へ     目次     索引     DocHome     次へ     
iPlanet Directory Server 5.1 インストールガイド



第 1 章   Directory Server のインストールの準備


iPlanet Directory Server をインストールする前に、Directory Server のさまざまなコンポーネントと事前に決定しなければならない設計と構成について理解しておく必要があります。

iPlanet Directory Server のインストールの準備に役立つように、以降の節で説明する概念を理解しておいてください。

『iPlanet Directory Server 導入ガイド』には、基本的なディレクトリの概念と、ディレクトリサービスの設計および導入に役立つガイドラインが示されています。インストール作業を開始する前に、このマニュアルで説明されている概念を理解しておいてください。


警告  

このマニュアルの情報は、SolarisTM 9 オペレーティング環境にすでにインストールされている iPlanet Directory Server には適用されません。Solaris 9 ユーザは、Directory Server の構成に関する情報と手順については、『Solaris のシステム管理 (ネーミングとディレクトリサービス: DNS、NIS、LDAP編)』を参照してください。

Solaris のマニュアルは、http://docs.sun.com/ で参照できます。  



インストールコンポーネント


iPlanet Directory Server には、次のソフトウェアコンポーネントが含まれています。

  • iPlanet Console : すべての iPlanet サーバ製品に共通のユーザインタフェースを提供する。このインタフェースからは、サーバの起動や停止、新しいサーバインスタンスのインストール、およびユーザ情報とグループ情報の管理など、共通のサーバ管理機能を実行できる。iPlanet Console は、スタンドアロンアプリケーションとして任意のマシン上にインストールできる。また、ネットワーク上にインストールして、リモートサーバを管理することも可能である

  • Administration Server : すべての iPlanet サーバに共通のフロントエンド。iPlanet Console からの通信を受け取り、それを適切な iPlanet サーバに渡す。サイト上では、iPlanet サーバをインストールした各サーバルートに対して少なくとも 1 つの Administration Server を持つことになる

  • Directory Server : iPlanet の LDAP 実装。Directory Server は、ns-slapd プロセス (UNIX) または slapd サービス (Windows NT および Windows 2000) として実行される。このサーバはディレクトリデータベースを管理し、クライアントからの要求に対応する。Directory Server は、必須のコンポーネントである

これらのさまざまなコンポーネントのインストールと構成の順番は、新規インストールの場合とアップグレードの場合で異なります。詳細は、「インストールプロセスの概要」を参照してください。



構成の決定


Directory Server のインストール時には、基本的な構成情報を入力する必要があります。インストールする前に、これらの基本的なパラメタの構成方法を決めておいてください。実行するインストールの内容に応じて、次の項目の一部またはすべてを入力する必要があります。


一意のポート番号の選択

ポート番号には 1 から 65535 の任意の数を指定することができます。Directory Server のポート番号を選ぶ場合は、次の点に注意してください。

  • 標準の Directory Server (LDAP) ポート番号は 389 である

  • ポート番号 636 は LDAPS (SSL 経由の LDAP) から予約されている。したがって、ポート番号 636 が使用されていない場合でも、標準の LDAP インストールに 636 を使用しないこと。ただし、標準 LDAP ポートでは、TLS 経由の LDAP を使用することもできる

  • 1 から1024 のポート番号は、IANA (Internet Assigned Numbers Authority) によって割り当て済みである。ほかのサービスとの重複を避けるため、Directory Server で使用する 1024 以下のポート番号は、389 (LDAP で使用) と 636 (LDAPS で使用) だけに留めること

  • UNIX プラットフォーム上では、ポート番号 389 または 636 で待機する場合は、Directory Server を root として実行する必要がある

  • Windows NT および Windows 2000 でポート番号 389 または 636 を使用する場合は、ディレクトリサービスに administrator の特権が必要である

  • 必ずほかで使用されていないポートを選択すること。また、LDAP 通信と LDAPS 通信の両方を使用している場合は、これら 2 種類のアクセスに使用されているポート番号が同じでないことを確認すること

Directory Server 用の LDAPS (SSL 経由の LDAP) の設定方法については、『iPlanet Directory Server 管理者ガイド』を参照してください。


新しいサーバルートの作成

サーバルートとは、iPlanet サーバをインストールするディレクトリのことです。iPlanet Directory Server のデフォルトのサーバルートは、/usr/iplanet/servers です。

サーバルートは、次の条件を満たしている必要があります。

  • サーバルートはローカルディスクドライブ上のディレクトリでなければならず、ネットワークドライブにインストールすることはできない。また、AFS、NFS、SMB などのファイル共有プロトコルは、ファイルをロックできず、Directory Server での使用に適した性能を提供しない。特に、サーバデータベースインデックスファイルがローカルファイルシステム上に置かれていない場合は、これらのインデックスファイルが破損する恐れがある

  • すでに存在しているディレクトリを使用してはならない。また、デフォルトは空でなければならない

  • セットアッププログラムを実行しているディレクトリをサーバルートディレクトリとすることはできない

デフォルトでは、サーバルートディレクトリは次の位置になります。

  • /usr/iplanet/servers (UNIX システム)

  • c:¥iplanet¥servers (Windows NT および Windows 2000 システム)


iPlanet サーバ用のユーザとグループの決定 (UNIX® のみ)

セキュリティ上の理由から、UNIX ベースの実際のサーバは、通常のユーザ権限で実行するのがもっとも望ましい方法です。つまり、root 特権で Directory Server を実行するのはお勧めできません。ただし、デフォルトの Directory Server ポートを使用している場合は、root 特権で Directory Server を実行する必要があります。Directory Server を Administration Server によって起動する場合は、Administration Server を root として実行するか、または Directory Server と同じユーザとして実行する必要があります。

したがって、次の目的に対してどのユーザアカウントを使用するかを決定する必要があります。

  • Directory Server を実行するユーザとグループ

    Directory Server を root として実行しない場合は、すべての iPlanet サーバに使用するユーザアカウントを作成するよう強く推奨する。既存のオペレーティングシステムアカウントは使用ない。同じく、nobody というアカウント名も使用しない。Directory Server ファイルに対しては共通グループを作成する必要がある。この場合も、nobody というグループ名は使用しない

  • Administration Server を実行するユーザとグループ

    インストールにデフォルトのポート番号を使用する場合は、Administration Server を root として実行する必要がある。しかし、1024 よりも大きいポート番号を使用する場合は、すべての iPlanet サーバに対してユーザアカウントを作成し、このアカウントを使用して Administration Server を実行する必要がある

    Administration Server を root として実行する場合は、セキュリティ上の予防措置として未使用時は停止する

すべての iPlanet サーバに対して gid iPlanet などの共通のグループを使用し、必要な場合はサーバ間でファイルを共有できるようにします。

使用するユーザアカウントとグループアカウントがシステム上に存在することを確認してから、Directory Server および Administration Server をインストールしてください。


認証エンティティの定義

iPlanet Directory Server および Administration Server をインストールするときは、さまざまなユーザ名、識別名 (DN)、およびパスワードを入力する必要があります。このログインエンティティおよびバインドエンティティのリストは、実行するインストールのタイプによって異なります。

  • ディレクトリマネージャ DN とパスワード

    ディレクトリマネージャ DN は、アクセス制御が適用されない特殊なディレクトリエントリである。ディレクトリマネージャは、ディレクトリのスーパーユーザであるとみなすことができる (以前のリリースの Directory Server では、ディレクトリマネージャ DN は root DN と呼ばれていた)

    デフォルトのディレクトリマネージャ DN は、cn=Directory Manager である。ディレクトリマネージャ DN は特殊なエントリなので、必ずしも Directory Server 用に構成された接尾辞に従うとは限らない。したがって、ディレクトリマネージャ DN と同じ DN を持つ実際の Directory Server エントリを手動で作成してはいけない

    ディレクトリマネージャのパスワードは、8 文字以上の ASCII 文字、数字、および記号で指定する必要がある

  • 構成ディレクトリ管理者 ID およびパスワード

    iPlanet Console からアクセス可能なすべての iPlanet サーバの管理に責任のある人を、構成ディレクトリ管理者と呼ぶ。このユーザ ID でログインした場合は、iPlanet Console のサーバトポロジ領域に表示されるすべての iPlanet サーバを管理できる

    セキュリティ上の理由から、構成ディレクトリ管理者は、ディレクトリ管理者とは異なるアカウントを使用すること。デフォルトの構成ディレクトリ管理者の ID は admin

  • Administration Server ユーザとパスワード

    このユーザとパスワードが必要になるのは、カスタムインストールのときに限られる。Administration Server ユーザは、ローカルの Administration Server に対してすべての特権を持つ特殊なユーザである。このユーザとして認証されると、ローカルサーバルートに格納されたすべての iPlanet サーバを管理できる

    Administration Server ユーザの ID とパスワードが必要となるのは、Directory Server がダウンして、構成ディレクトリ管理者としてログインできない場合に限られる。このユーザ ID でログインすると、Administration Server にアクセスして、Directory Server の起動、ログファイルの読み取りなどの障害回復操作ができる

    通常、Administration Server ユーザの ID とパスワードは、構成ディレクトリ管理者の ID とパスワードと同じにする。これは、標準インストール時のデフォルト動作である。カスタムインストール時の Administration Server ユーザのデフォルト値は、admin


ディレクトリ接尾辞の決定

ディレクトリ接尾辞は、ディレクトリツリーの最初のエントリを表すディレクトリエントリです。企業のデータを格納するツリーには、少なくとも 1 つのディレクトリ接尾辞が必要です。企業で使用されている DNS ホスト名に対応したディレクトリ接尾辞を使うのが、一般的なやり方です。たとえば、その企業が siroe.com という DNS 名を使用している場合には、dc=siroe,dc=com という接尾辞を選択します。

ディレクトリサービス用の接尾辞の計画については、『iPlanet Directory Server 導入ガイド』を参照してください。


構成ディレクトリの位置の決定

Directory Server 5.1 を含む多くの iPlanet サーバでは、Directory Server のインスタンスを使用して構成情報を格納します。この情報は、o=NetscapeRoot ディレクトリツリー内に格納されます。構成情報は、必ずしもディレクトリデータと同じ Directory Server 上に置く必要はありません。構成ディレクトリとは、iPlanet サーバが使用する o=NetscapeRoot ツリーを含む Directory Server です。

ほかの iPlanet サーバをサポートするためだけに Directory Server をインストールする場合は、その Directory Server が構成ディレクトリになります。一般的なディレクトリサービスの一部として使用するために Directory Server をインストールする場合は、企業内に複数の Directory Server がインストールされることになるので、どのサーバが構成ディレクトリツリーである o=NetscapeRoot をホストするのかを決める必要があります。これは、最初の iPlanet サーバ (iPlanet Directory Server を含む) をインストールする前に決めておいてください。

アップグレードを容易にするため、o=NetscapeRoot ツリーのサポート専用の Directory Server インスタンスを使用します。このサーバインスタンスでは、企業のディレクトリデータの管理に関するその他の機能は実行しないでください。また、このサーバインスタンスではポート番号 389 を使用しないでください。ポート番号 389 を使用すると、企業のディレクトリデータの管理に使用可能なホストに Directory Server をインストールできなくなる可能性があります。

通常、構成ディレクトリに対するトラフィックは極めて少ないため、ほかのもっと負荷の高い Directory Server インスタンスが置かれたマシン上にそのサーバインスタンスを一緒に置くことができます。ただし、多くの iPlanet サーバをインストールする大規模なサイトにおいては、ローエンドのマシンを構成ディレクトリ専用にし、ほかのサーバの性能を損なわないようにすることもできます。iPlanet サーバをインストールすると、構成ディレクトリへの書き込みが行われます。ある程度の大きさを持つサイトでは、この書き込み動作がほかのディレクトリの動作性能に一時的に悪影響を与えることがあります。

また、ディレクトリのインストール時は、可用性と信頼性を向上させるために、構成ディレクトリの複製を検討してください。ディレクトリの可用性向上のためにレプリケーションと DNS ラウンドロビンを使用する方法については、『iPlanet Directory Server 導入ガイド』を参照してください。


警告  

構成ディレクトリツリーが破損すると、その構成ディレクトリに登録されているほかのすべての iPlanet サーバをインストールし直さなければならないことがあります。構成ディレクトリを扱う場合は、次のガイドラインに留意してください。

  • 新しく iPlanet サーバをインストールしたら、必ず構成ディレクトリのバックアップをとる

  • 構成ディレクトリが使用しているホスト名やポート番号は変更しない

  • 構成ディレクトリツリーを直接変更しない。設定変更は、さまざまな iPlanet サーバ用のセットアッププログラムによるものに限る

 


ユーザディレクトリの位置の決定

構成ディレクトリが iPlanet サーバの管理で使用される Directory Server であるのと同様に、ユーザディレクトリは企業内のユーザとグループのエントリが置かれる Directory Server です。

ほとんどの場合、ユーザディレクトリと構成ディレクトリは、別個のサーバインスタンスでなければなりません。これらのサーバインスタンスは同じマシン上にインストールできますが、構成ディレクトリを別のマシン上に置く方がよい結果が得られます。

ユーザディレクトリは、構成ディレクトリよりも多くのディレクトリトラフィックを受信します。したがって、ユーザディレクトリに、最大のマシン資源を当てる必要があります。一方、構成ディレクトリが受け取るトラフィックの量は非常に少ないことが予想されるため、極めて限られた資源のマシン (最小限の装備の Pentium など) 上にインストールできます。

また、ユーザディレクトリにはデフォルトのディレクトリポート (389 および 636) を使用します。構成ディレクトリを、専用のサーバインスタンスで管理する場合には、その構成ディレクトリに対しては標準以外のポートを使用します。

ネットワーク上のどこかに構成ディレクトリをインストールするまでは、ユーザディレクトリをインストールすることはできません。


管理ドメインの決定

管理ドメインによって、サーバの管理業務を簡単に分散するために、iPlanet サーバを論理的にグループ化することができます。たとえば、会社内の 2 つの部門が、それぞれ自部門の iPlanet サーバを制御するとします。その一方で、社内のすべてのサーバを集中的に管理することも必要だとします。この場合、管理ドメインを使用することで、このような相反する要求を満たすことができます。

管理ドメインには次のような特徴があります。

  • 所属するドメインにかかわらず、すべてのサーバが同じ構成ディレクトリを共有する

  • 2 つの異なるドメインに属するサーバが、認証とユーザ管理に 2 つの異なるユーザディレクトリを使用できる

  • 構成ディレクトリ管理者は、インストールされているすべての iPlanet サーバに対し、そのサーバが所属するドメインに関係なく、すべてのアクセス権を持つ

  • 各管理ドメインは、1 人の管理ドメイン所有者とペアで構成できる。所有者は、ドメイン内のすべてのサーバに対してすべてのアクセス権を持つが、ほかの管理ドメイン内のサーバに対するアクセス権はない

  • 管理ドメイン所有者は、ドメイン内のサーバごとに、個々のユーザにサーバ上での管理アクセス権限を与えることができる

インストールによっては、管理ドメインが 1 つだけになる場合があります。この場合は、その組織を識別できるような名前を付けます。それ以外の場合は、そのサイトでの必要性に応じて複数のドメインを置くことが考えられます。後者の場合、管理ドメインには、該当するドメイン内のサーバを制御する組織を識別できるような名前を付けます。

たとえば、ISP とあなたが 3 つの顧客を持ち、それぞれに iPlanet サーバをインストールして管理する場合は、それぞれの顧客にちなんだ名前を付けた 3 つの管理ドメインを作成します。



インストールプロセスの概要


Directory Server のインストールは、いくつかのインストールプロセスから 1 つを選んで行うことができます。どの方法でもインストールプロセスの指示が表示され、さまざまなコンポーネントを正しい順番でインストールできるようになっています。

以降の節では、利用できるインストールプロセス、旧リリースの iPlanet Directory Server からのアップグレード方法、およびインストールの準備のためのソフトウェアの開梱方法についての概要を示します。


インストールプロセスの選択

Directory Server ソフトウェアのインストールでは、セットアッププログラムに用意された次の 4 つのインストール方法の中から 1 つを選択します。

  • 高速インストール : 評価やテストの目的で iPlanet Directory Server をインストールする場合は、この方法を使用する。高速インストールについては、「高速インストールの使用」を参照

  • 標準インストール : 通常の構成で Directory Server をインストールする場合は、この方法を使用する。標準インストールについては、「標準インストールの使用」を参照

  • カスタムインストール : iPlanet Directory Server 5.1 でのカスタムインストールプロセスは、標準インストールプロセスとよく似ている。主な違いは、カスタムインストールプロセスでは、デフォルトで作成されたユーザディレクトリデータベースを、初期化するために LDIF ファイルをインポートできるという点

  • サイレントインストール : インストールプロセスをスクリプト化する場合は、この方法を使用する。この方法は、企業で複数のコンシューマサーバをインストールする場合などに便利。サイレントインストールについては、第 4 章「サイレントインストール」を参照

使用するインストールプロセスの決定によらず、iPlanet Directory Server のインストールには次のプロセスがあります。

  1. ディレクトリサービスの内容を決めます。事前にディレクトリツリーの構造を決めておくことにより、組織が拡大した場合でも管理と拡張が容易なサービスを設計できます。ディレクトリサービスの内容を計画する上でのガイダンスについては、『iPlanet Directory Server 導入ガイド』を参照してください。

  2. このマニュアルに記載されている手順に従って Directory Server をインストールします。

  3. ディレクトリ接尾辞とデータベースを作成します。この時点でディレクトリを入力する必要はありませんが、主なルートおよび分岐点を含むツリーの基本的構造を作成する必要があります。ディレクトリエントリを作成する別の方法については、『iPlanet Directory Server 管理者ガイド』を参照してください。

  4. 追加の Directory Server インスタンスを作成し、Directory Server 間のレプリケーションアグリーメントを確立してデータを使用できるようにします。


アップグレードプロセス

iPlanet Directory Server 5.1 は、Directory Server 4.1、4.11、4.12、および 5.0 からの移行をサポートしています。移行プロセスについては、第 6 章「旧バージョンからの移行」を参照してください。

レプリケーションアグリーメントに関するサーバの移行については、『iPlanet Directory Server 管理者ガイド』を参照してください。


ソフトウェアの開梱

iPlanet Web サイトから iPlanet Directory Server 5.1 ソフトウェアをダウンロードした場合は、ソフトウェアを解凍してからインストールを始めます。

  1. 次のコマンドを実行して、インストール用に新しいディレクトリ作成します。

    # mkdir ds5.1

    # cd ds5.1

  2. 製品のバイナリファイルをインストールディレクトリにダウンロードします。

  3. UNIX の場合は、次のコマンドを実行して製品のバイナリファイルを解凍します。

    # gzip -dc file_name.tar.gz | tar -xvof -

    ここでの file_name は、解凍する製品のバイナリファイル名を表します。

    Windows NT および Windows 2000 の場合は、製品バイナリファイルを解凍 (unzip) します。



インストール特権

UNIX では、デフォルトの LDAP ポートである 389 や 636 (LDAPS) など、1024 以下のポートでサーバを実行する場合は、root としてインストールする必要があります。1024 よりも大きいポート番号を使用する場合は、有効なものであればどの UNIX ログイン名でもインストール可能です。

Windows NT または Windows 2000 では、administrator としてインストールを行う必要があります。



環境変数の設定解除 (AIX のみ)


AIX マシン上に Directory Server をインストールする場合は、インストールプログラムによって次のファイルが実行されます (使用しているシェルによって異なる)。

シェル名

ファイル

sh (bourne シェル)

$HOME/.profile

csh および tcsh シェル

$HOME/.login
$HOME/.cshrc

ksh (korn シェル)

$HOME/.profile
$HOME/.kshrc

bash (bourne again シェル)

$HOME/.profile
$HOME/.bashrc

各シェル内の環境変数の設定は、インストールプログラムによって解除されません。したがって、ファイルに印刷出力やその他の情報が含まれている場合は、予期しないエラーメッセージや動作を示し、インストールに影響を及ぼすことがあります。

たとえば、korn シェル内の .profile および .kshrc ファイルの設定を解除するには、次のコマンドを実行します。

unset ENV


前へ     目次     索引     DocHome     次へ     
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2000 Netscape Communications Corp. All rights reserved.

Last Updated February 05, 2002