前へ 目次 索引 DocHome 次へ |
iPlanet Directory Server 5.1 管理者ガイド |
第 1 章 iPlanet Directory Serverの概要
iPlanet Directory Server 製品には、Directory Server、複数のディレクトリを管理するための管理サーバ、および両方のサーバを管理するグラフィカルインタフェースを提供する iPlanet Console が含まれています。この章では、Directory Server の概要と、Console を使用してディレクトリサービスの管理を開始するときの基本的な作業について説明します。
Directory Serverの管理の概要
Directory Serverの管理の概要
iPlanet Directory Server は、企業全体のユーザおよび資源のディレクトリの管理用に設計された、堅牢かつスケーラブルなサーバです。iPlanet Directory Server は、LDAP (Lightweight Directory Access Protocol) というオープンシステムサーバプロトコルに基づいています。Directory Server は、ns-slapd プロセスまたはサービスとしてマシン上で動作します。このサーバは、ディレクトリデータベースを管理し、クライアントからの要求を処理します。Directory Server のほとんどの管理作業は、Administration Server を経由して実行できます。Administration Server は、Directory Server (およびその他のiPlanet サーバすべて) を管理できるようにするために iPlanet が提供するもう 1 つのサーバです。iPlanet Console は、Administration Server のグラフィカルインタフェースです。Directory Server Console は iPlanet Console の一部であり、特に iPlanet Directory Server で使用するために設計されたものです。
ほとんどの Directory Server 管理タスクは、Directory Server Console から実行できます。構成ファイルを編集するか、コマンド行ユーティリティを使用して、手動で管理タスクを実行することもできます。iPlanet Console については、『Managing Servers with iPlanet Console』を参照してください。
Directory Server Console の使用
Directory Server Console は、iPlanet Console の別のウィンドウとして表示されるインタフェースです。次の手順に従って iPlanet Console から Directory Server Console を起動します。
Directory Server デーモン slapd-serverID が動作していることを確認します。起動していない場合は、root ユーザとして次のコマンドを入力し、デーモンを起動します。
# /usr/sbin/directoryserver start # installDir/slapd-serverID/start-slapd Administration Server デーモン admin-serv が動作していることを確認します。起動していない場合は、root ユーザとして次のコマンドを入力し、デーモンを起動します。
# /usr/sbin/directoryserver start-admin # installDir/start-admin 次のコマンドを入力して iPlanet Console を起動します。
# /usr/sbin/directoryserver startconsole # installDir/startconsole
目的の操作を実行するために必要なアクセス権を持つユーザのバインド DN とパスワードを使用してログインします。たとえば、cn=Directory Manager とこれに対応する適切なパスワードを使用します。
- Console のログインウィンドウが表示されます。構成ディレクトリ(o=NetscapeRoot 接尾辞を含むディレクトリ) が Directory Server の別のインスタンスに保存されている場合は、表示されたウィンドウに、管理ユーザ DN、パスワード、およびその Directory Server の Administration Server の URL を入力する必要があります。
左側の区画のツリーを使用して Directory Server のホストマシンを検索し、ホストマシンの名前またはアイコンをクリックして全般的なプロパティを表示します。
- iPlanet Console が表示されます。
- Directory Server の名前および説明を編集するには、「Edit (編集)」ボタンをクリックします。テキストボックスに新しい名前および説明を入力します。図のように左のツリーに名前が表示されます。
図 1-1    iPlanet Console
- 「OK」をクリックして新しい名前と説明を設定します。
ツリー内の Directory Server 名をダブルクリックまたは「Open (開く)」ボタンをクリックして、この Directory Server を管理する Directory Server Console を表示します。
Directory Server Console の操作
Directory Server Console では、Directory Server インスタンスでブラウズおよび管理操作を実行するためのインタフェースが提供されます。常時表示されている 4 つのタブを使用すると、Directory Server のすべての機能にアクセスできます。
「Tasks (タスク)」タブ
「Tasks (タスク)」タブは、Directory Server Console を開くと最初に表示されるタブです。このタブには、次の図に示すように、Directory Server の起動または終了など主要な管理タスクすべてを実行するボタンが表示されています。すべてのタスクとボタンを表示するには、Console ウィンドウのサイズを変更する必要があります。
図 1-2    Directory Server Console の「タスク」タブ
これらのタスクを実行するには、ディレクトリマネージャの権限をもつユーザとしてログインする必要があります。不十分な権限でタスクを実行しようとすると、ディレクトリマネージャの DN およびパスワードの入力を促すメッセージが表示されます。
「Configuration (構成)」タブ
Directory Server Console の「Configuration (構成)」タブでは、データベース、接尾辞、レプリケーション、スキーマ、ログ、およびプラグインなどのすべてのディレクトリ設定を表示および変更するためのインタフェースおよびダイアログボックスが提供されます。これらのダイアログボックスは、ディレクトリマネージャの権限をもつユーザとしてログインした場合だけ有効となります。このタブの左側にはすべての構成機能のツリー、右側には各機能に特有の管理用インタフェースが表示されます。これらのインタフェースには、通常、ほかのタブ、ダイアログボックス、またはポップアップウィンドウがあります。たとえば、次の図にディレクトリ全体の一般設定を示します。
図 1-3    Directory Server Console の「Configuration (構成)」タブ
左側のツリーから構成可能な項目を選択すると、選択した項目の現在の設定が右側の区画の 1 つ以上のタブに表示されます。設定に応じて、保存すると変更がすぐに反映される場合と、サーバが再起動されるまで反映されない場合があります。これらの設定の説明および動作については、このマニュアルの各機能について説明した章を参照してください。
変更が保存されていないタブでは、タブ名の隣に赤のマークが表示されます。変更を保存しないで別の項目を設定したり、他の主要なタブに移動したりしても、行なった変更はタブに残ります。「Save (保存)」および「Reset (リセット)」ボタンは、指定された構成項目のすべてのタブに適用されますが、他の項目の未保存の設定には影響を与えません。
ほとんどのテキストフィールドには、正しい構文でのみ設定値を入力できます。デフォルトでは、設定および値が正しい構文で入力されるまで、そのラベルが赤でハイライト表示されます。すべての設定に有効な構文が指定されるまで、「Save (保存)」ボタンは無効になります。「Edit (編集)」>「Configuration (設定)」ダイアログボックスの「Misc. (その他)」タブを使用すると、不正な値をハイライトするためにイタリックフォントを選択したり、まったく強調しないように設定することができます。
「Directory (ディレクトリ)」タブ
Consoleの「Directory (ディレクトリ)」タブには、移動しやすいようにディレクトリエントリがツリー構造で表示されます。このタブでは、すべてのエントリとその属性を参照、表示、および編集できます。
図 1-4    Directory Server Console の「Directory (ディレクトリ)」タブ
ログイン時に指定されたバインド DN のアクセス権限が十分な場合には、構成エントリが通常のエントリとみなされ、直接変更することが可能です。ただし、構成設定を安全に変更するには、「Configuration (構成)」タブから利用できるダイアログボックスを使用する必要があります。
「Directory (ディレクトリ)」タブのレイアウトおよび内容を変更する場合は、「Display (表示)」メニューのオプションを使用できます。新しいレイアウトオプションを使用すると、最下位のエントリを含むすべてのエントリを 1 つのツリーに表示したり、右側の区画に属性を表示したりすることができます。デフォルトでは、最下位のエントリは、左側のツリーではなく、右側に表示されます。
「View (表示)」>「Display (表示)」オプションでは、ディレクトリツリーのすべてのエントリの ACI カウント、ロールカウント、および「アクティブでない状態」アイコンを使用できます。前の図では、ACI カウントおよび最下位のエントリは左側のツリーに表示され、選択したエントリの属性値が左側の区画に表示されています。
「Status (状態)」タブ
「Status (状態)」タブには、サーバ統計およびログメッセージが表示されます。左側のツリーには、すべての状態項目が一覧表示されます。項目が選択されると、その内容が右側の区画に表示されます。たとえば、次の図ではログエントリのテーブルを表示しています。
図 1-5    Directory Server Console の「Status (状態)」タブ
Console からの現在のバインド DN の表示
ディスプレイの左下隅にあるログインアイコンをクリックすると、Directory Server Console へのログインに使用したバインド DN を表示できます。次に示すように、現在のバインド DN がログインアイコンの隣に表示されます。
ログイン IDの変更
Directory Server Console からエントリの作成や管理を行う場合や、はじめて iPlanet Console にアクセスする場合は、バインド DN とパスワードを入力してログインすることもできます。これによって、ディレクトリツリーにアクセスしているユーザを特定し、操作を実行するために許可されているアクセス権を決定できます。最初に iPlanet Console を起動するときは、ディレクトリマネージャ DN を使用してログインできます。ログイン後は、Console を停止して再起動しなくても、いつでも別のユーザとしてログインできます。
iPlanet Console でログイン名を変更するには、次の手順を実行します。
Directory Server Console の「Tasks (タスク)」タブを選択し、「Log on to the Directory Server as a New User (Directory Server に新しいユーザとしてログイン)」というラベルの隣のボタンをクリックします。Console の別のタブでは、「Console (コンソール)」>「Log in as New User (新しいユーザとしてログイン)」を選択します。
ディレクトリマネージャ DN およびパスワードについては、後の節で説明します。新しい DN とパスワードを入力し、「OK」をクリックします。
ディレクトリマネージャの構成
ディレクトリマネージャとは、特権を持つデータベース管理者のことで、UNIX の root ユーザにあたります。このため、ディレクトリマネージャとして定義したエントリには、アクセス制御は適用されません。ディレクトリマネージャは、インストール時に定義される最初のエントリで、 デフォルトは cn=Directory Manager です。このユーザのパスワードは nsslapd-rootdn 属性で定義します。
Directory Server Console を使用して、ディレクトリマネージャ DN、パスワード、およびパスワードの暗号化スキーマを変更します。
ディレクトリマネージャとして Directory Server Console にログインします。
Directory Server Consoleで「構成」タブを選択し、左側の区画のナビゲーションツリーで一番上にあるエントリを選択します。
- すでに Console にログインしている場合に、別のユーザ名でログインする方法については、「ログイン IDの変更」を参照してください。
「ディレクトリマネージャ DN」フィールドに、ディレクトリマネージャの新しい識別名を入力します。
「マネージャのパスワードの暗号化」プルダウンメニューから、サーバ上でディレクトリマネージャのパスワードを保存するために使用する保存スキーマを選択します。
ヘルプシステムの起動
iPlanet Directory Server のヘルプシステムは、iPlanet Administration Server に依存しています。Administration Server からはリモートとなるマシンで iPlanet Directory Server Console を稼動している場合は、次の項目を確認する必要があります。Administration Server 上で承認されたクライアント IP アドレス :iPlanet Directory Server Console を実行しているマシンは、Administration Server にアクセスする必要があります。Administration Server がクライアントマシンの IP アドレスを受け入れるように構成するには、Administration Server 上で次の操作を実行します。
iPlanet Administration Server Console を起動します。Console は Administration Server と同じマシン上で実行している必要があります。
Administration Server 上で承認されたプロキシ :Directory Server Console を実行しているクライアントマシン上の HTTP 接続でプロキシを使用する場合は、次のいずれかの操作を実行する必要があります。「構成」タブをクリックしてから、「ネットワーク」タブをクリックします。
「接続制限の設定」プルダウンメニューから「許可する IP アドレス」を選択します。「編集」をクリックします。
「IP アドレス」フィールドを次のように編集します。*.*.*.*
Administration Server を再起動します。これで、Directory Server Console の「ヘルプ」ボタンをクリックして、オンラインヘルプを起動することができます。
Directory Server Console を実行しているマシンからプロキシを削除する。これによって、クライアントマシンが直接 Administration Server にアクセスできるようになる
Administration Server の使用可能な IP アドレスのリストに、クライアントマシンのプロキシ IP アドレスを追加する
- Directory Server Console を実行しているコンピュータからプロキシを削除するには、ヘルプの実行に使用するブラウザのプロキシ構成を変更する必要があります。Netscape Communicator の場合は、「編集」メニューの「設定」を選択します。次に、「詳細」の「プロキシ」を選択してプロキシ構成を表示します。Internet Explorer の場合は、「インターネットオプション」の「ツール」メニューを選択します。
Administration Server にクライアントマシンの IP アドレスを追加すると、システムに潜在的なセキュリティホールが発生する可能性があります。
Console クリップボード
Directory Server Console では、システムのクリップボードを使用してテキストのコピー、切り取り、および貼り付けを行います。またタイプする手間を省く便利な機能もあります。「ディレクトリ」タブ内で操作中、クリップボードにエントリの DN または URL を生成できます。DN または URL をテキストフィールドに貼り付けることができるように、ダイアログボックスまたは他のタブを開く前にこの操作を実行してください。
Directory Server の起動と停止
SSL (Secure Sockets Layer) を使用していない場合は、次の方法で Directory Server を起動および停止します。SSL を使用している場合は、「SSL が有効になった状態でのサーバの起動」を参照してください。
注 UNIX システムでは、システムを再起動しても slapd プロセスは自動的に起動しません。これは、Directory Server ではスタートアップやランコマンド (rc) のスクリプトを自動的に作成しないためです。スクリプトの記述方法については、オペレーティングシステムのマニュアルを確認してください。
Directory Server Console を起動します。
Directory Server Console による Directory Server の起動または停止が正常に完了すると、サーバが正常に起動または停止したことを示すメッセージボックスが表示されます。
必要に応じて、「タスク」タブで「Directory Server を起動する」または「Directory Server を停止する」をクリックします。
- 手順については、「Directory Server Console の起動」を参照してください。
Windows NT の場合 : Windows NT の「コントロールパネル」の「サービス」で、次の手順を実行します。
デスクトップから、「スタート」 > 「設定」 > 「コントロールパネル」の順に選択します。
サービスのリストをスクロールし、iPlanet Directory Server を選択します。
サービスを起動または停止するには、次の手順を実行します。
コマンド行からのサーバの起動と停止
root 権限で、次のスクリプトの 1 つを実行します。
# /usr/sbin/directoryserver start # installDir/slapd-serverID/start-slapd または
# /usr/sbin/directoryserver stop # installDir/slapd-serverID/stop-slapd ここで serverID は、インストール時に指定したサーバの識別子を示します。
UNIX では、どちらのスクリプトも Directory Server と同じ UID と GID を使用して実行する必要があります。たとえば、Directory Server を nobody として実行する場合は、start-slapd および stop-slapd ユーティリティも nobody として実行する必要があります。
LDAP パラメタの構成
Directory Server Console を使用して、サーバのネットワークと LDAP 設定に関連するパラメタを表示および変更できます。ここでは、次の項目について説明します。スキーマの検査については、第 9 章「ディレクトリスキーマの拡張」を参照してください。
Directory Server のポート番号の変更
Directory Server Console を使用するか、cn=config エントリの下にある nsslapd-port 属性の値を変更して、ユーザディレクトリサーバのポート番号またはセキュリティ保護されたポート番号を変更できます。iPlanet の構成情報 (o=NetscapeRoot サブツリー) を含む iPlanet Directory Server のポートまたはセキュリティ保護されたポートを変更する場合は、Directory Server Console を使用します。
構成ディレクトリ、またはユーザディレクトリのポート番号やセキュリティ保護されたポート番号を変更する場合は、次の点に注意してください。
Administration Server の構成ディレクトリ、またはユーザディレクトリのポート番号やセキュリティ保護されたポート番号を変更する必要がある。詳細は、『Managing Servers with iPlanet Console』を参照してください。
ユーザディレクトリまたは構成ディレクトリが要求を待機するポート番号またはセキュリティ保護されたポート番号を変更するには、次の手順を実行します。構成ディレクトリまたはユーザディレクトリをポイントするほかの iPlanet サーバがインストールされている場合は、これらのサーバを更新して、新しいポート番号をポイントさせる必要があります。
Directory Server Consoleで「構成」タブを選択し、左側の区画のナビゲーションツリーの一番上のエントリを選択します。
「ポート」テキストボックスに、サーバが SSL 以外の通信に使用するポート番号を入力します。
「暗号化ポート」テキストボックスに、サーバが SSL 通信に使用するポート番号を入力します。
「保存」をクリックして、サーバを再起動します。
- 詳細は、「Directory Server の起動と停止」を参照してください。
Directory Server 全体を読み取り専用モードへ設定
1 回の操作だけでDirectory Server 内にある複数のデータベースすべてを読み取り専用モードに設定することができます。ただし、Directory Server にレプリカが含まれる場合は、レプリケーションが無効になるので、読み取り専用モードを使用しないように注意してください。Directory Server を読み取り専用モードに設定するには、次の手順を実行します。
Directory Server Consoleで「構成」タブを選択し、左側の区画のナビゲーションツリーの一番上のエントリを選択します。
1 つのデータベースだけを読み取り専用モードに設定する方法については、「読み取り専用モードの有効化」を参照してください。「サーバ全体を読み取り専用にする」チェックボックスを選択します。
注 この操作を実行すると、Directory Server の構成も読み取り専用になります。Directory Server が読み取り専用モードになっている間は、サーバ構成の更新、プラグインの有効化と無効化、または Directory Server の再起動を実行できません。
ディレクトリエントリへの変更の記録
Directory Server は、新しく作成されたエントリや変更されたエントリに対して、特別な属性を維持するように構成できます。
creatorsName : エントリを最初に作成したユーザの識別名
これらの情報を記録できるように Directory Server を構成するには、次の手順を実行します。createTimestamp : エントリの作成時刻を GMT (グリニッジ標準時) で記録したタイムスタンプ
modifiersName : 最後にエントリを変更したユーザの識別名
modifyTimestamp : エントリの最終変更時刻を GMT (グリニッジ標準時) で記録したタイムスタンプ
注 クライアントアプリケーションからデータベースリンクを使用して、エントリの作成や変更をした場合、属性 creatorsName と modifiersName には、エントリを実際に作成または変更したユーザの識別名は反映されません。これらの属性には、リモートサーバでのプロキシ認証権限を持つ管理者名が反映されます。プロキシ認証については、「バインド資格の指定」を参照してください。
Directory Server Consoleで「構成」タブを選択し、左側の区画のナビゲーションツリーの一番上のエントリを選択します。
「保存」をクリックして、サーバを再起動します。
- 新しく作成されたエントリまたは変更されたエントリに対して、creatorsName、createTimestamp、modifiersName、および modifyTimestamp 属性が追加されます。
- 詳細は、「Directory Server の起動と停止」を参照してください。
SSL が有効になった状態でのサーバの起動
Windows NT では、サーバで SSL を使用している場合、サーバのホストマシンからサーバを起動する必要があります。これは、サーバを起動する前に証明書の PIN を求めるダイアログボックスが表示されるためです。セキュリティ上の理由から、このダイアログボックスはサーバのホストマシン上だけに表示されます。UNIX では、コマンド行からサーバを起動する必要があります。
また、どちらのプラットフォーム上でも、パスワードファイルを作成して証明書のパスワードを保存できます。証明書用のデータベースパスワードをファイルに格納することによって、Server Console からサーバを起動できます。さらに、無人でサーバを実行している場合も、サーバを自動的に再起動させることができます。
パスワードファイル内のパスワードは、暗号化をされていないテキスト形式で保存されます。したがって、この方法を使用すると、セキュリティ上のリスクを負うことになります。サーバが動作している環境のセキュリティが十分に保護されている場合を除き、パスワードファイルは使用しないでください。
パスワードファイルは、次の位置に置く必要があります。
/usr/iplanet/ds5/alias/slapd-serverID-pin.txt installDir/alias/slapd-serverID-pin.txt ここで、serverID は、インストール時に指定したサーバの識別子を示します。
ファイルには、次のようにトークン名とパスワードを含める必要があります。
Internal (Software) Token:mypassword
証明書データベースを作成するには、Administration Server と証明書設定ウィザードを使用する必要があります。証明書データベース、証明書エイリアス、SSL、およびサーバ証明書の取得方法については、『Managing Servers with iPlanet Console』を参照してください。Directory Server 上での SSL の使い方については、第 11 章「SSL の管理」を参照してください。
レフェラルモードでのサーバの起動
レフェラルを使用すると、現在のサーバが使用できない場合、またはクライアント要求情報が現在のサーバにない場合に、クライアントアプリケーションを別のサーバにリダイレクトできます。たとえば、Directory Server の構成の変更中に、すべてのクライアントがほかのマスターにレフェラルされるように設定する場合に、Directory Server をレフェラルモードで起動できます。レフェラルモードでサーバを起動するには、refer コマンドを使用します。
サーバがすでに実行中の場合も、Directory Server Console を使用してそのサーバをレフェラルモードに設定できます。この手順は、「デフォルトレフェラルの設定」で説明されています。
refer コマンドの使用
UNIX マシン上の Directory Server をレフェラルモードで起動するには、次の手順を実行します。
インストールディレクトリの下の /bin/slapd/server ディレクトリに移動します。
Windows NT マシン上の Directory Server をレフェラルモードで起動するには、次の手順を実行します。
% cd /usr/iplanet/ds5/bin/slapd/server % cd /usr/iplanet/servers/bin/slapd/server
- # ./ns-slapd refer -D instanceDir [-p port] -r LDAPurl
- ここで instanceDir は、それに対する問い合わせがレフェラルされるディレクトリインスタンス、port は、レフェラルモードで起動する Directory Server のオプションポート番号、そして、LDAPurl はクライアントに返されるレフェラルです。LDAP URL の形式については、付録 C「LDAP URLs」 を参照してください。
コマンド行ウィンドウを開きます。
インストールディレクトリの下にある次のディレクトリに移動します。
次のように refer コマンドを実行します。
- slapd.exe refer -D instancDir [p port] -r LDAPurl
- ここで instanceDir は、それに対する問い合わせがレフェラルされるディレクトリインスタンス、port は、レフェラルモードで起動する Directory Server のオプションポート番号、および LDAPurl はクライアントに返されるレフェラルです。LDAP URL の形式については、付録 C「LDAP URLs」 を参照してください。
前へ 目次 索引 DocHome 次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2000 Netscape Communications Corp. All rights reserved.
Last Updated February 26, 2002