構成の選択

ディレクトリサーバー (Directory Server) の構成時に、基本情報の指定が求められます。構成作業を開始する前に、これらの基本的なパラメータの構成方法を決定しておく必要があります。実行する構成タイプに応じて、次の情報のすべてあるいはいくつかを指定するよう求められます。

• ポート番号

• サーバーを実行するユーザーおよびグループ

• ディレクトリの接尾辞

• 複数の異なる認証ユーザー ID

• 管理ドメイン

一意のポート番号の選択

ポート番号には、1 〜 65535 までの任意の番号を指定できます。Sun ONE Directory Server 5.1 用のポート番号を選択する際、以下の点を考慮してください。

• Sun ONE Directory Server 5.1 (LDAP) の標準ポート番号は 389 です。

• ポート 636 は、SSL 経由での LDAP 用に予約されています。このため、ポート 636 が使用されていない場合でも、標準 LDAP 構成ではポート 636 を使用しないでください。標準 LDAP ポート上で、TLS 経由の LDAP を使用することもできます。

• IANA (Internet Assigned Numbers Authority) により、1 〜 1024 のポート番号がさまざまなサービスに割り当てられています。389 と 636 を除く1024 未満のポート番号は、他のサービスと競合することがあるため、使用しないでください。また、1024 未満のポート番号にアクセスできるのは、root だけです。

• Sun ONE Directory Server 5.1 は、ポート 389 または 636 を使用する場合 root で実行する必要があります。

• 選択するポートが使用されていないことを確認してください。また、LDAP と LDAPS の両方を通信に使用している場合、これら 2 タイプのアクセス用に選択したポート番号が重複していないことを確認してください。

---

注 –

LDAP ネームサービスクライアントが SSL 暗号化を使用している場合、デフォルトのポート番号 389 と 636 を使用する必要があり、そのためサーバーを root で実行することになります。Transport Layer Security の詳細については、Transport Layer Security (TLS) を参照してください。

---

Sun ONE Directory Server 5.1 で SSL 経由の LDAP (LDAPS) を設定する方法については、『iPlanet Directory Server 5.1 管理者ガイド』を参照してください。

ユーザーとグループの選択

セキュリティ上の理由から、通常のユーザー権限で UNIX ベースの本稼働用サーバーを実行するのが常に最善です。このため、root 権限でディレクトリサーバーを実行するのは避けてください。ただし、ディレクトリサーバーのデフォルトポートを使用する場合は、root 権限でディレクトリサーバーを実行する必要があります。ディレクトリサーバーの起動が Administration Server により実行される場合、Administration Server は root または Sun ONE Directory Server 5.1 と同じユーザーで実行する必要があります。

このため、以下の目的に対してどのユーザーアカウントを使用するかを決定する必要があります。

• Sun ONE Directory Server 5.1 を実行するユーザーとグループ

  Sun ONE Directory Server 5.1 を root で実行していない場合は、すべての Sun ONE サーバーで使用するユーザーアカウントを作成することを強くお勧めします。既存のオペレーティングシステムのユーザーアカウントや、nobody アカウントは使用するべきではありません。また、Sun ONE Directory Server 5.1 ファイル用の共通グループを作成する必要もあります。この場合も、nobody グループは使用しないでください。

• Administration Server を実行するユーザーとグループ

  デフォルトのポート番号を使用する構成の場合は、root を使用する必要があります。ただし、1024 より大きいポート番号を使用する場合は、すべての Sun ONE サーバーで使用するユーザーアカウントを作成し、このアカウントで Administration Server を実行してください。

  セキュリティ上の理由から、Administration Server を root で実行している場合は、使用しないときは Administration Server を停止する必要があります。

すべての Sun ONE サーバー用の共通グループ (gid Sun ONE など) を作成して、必要に応じてファイルをサーバー間で共有できるようにする必要があります。

Sun ONE Directory Server 5.1 および Administration Server をインストールする前に、使用するユーザーおよびグループのアカウントがシステムに存在することを確認してください。

認証エンティティの定義

Sun ONE Directory Server 5.1 および Administration Server を構成する際、さまざまなユーザー名、識別名 (DN)、およびパスワードの入力が求められます。このログインおよびバインドエンティティのリストは、実行する構成タイプによって異なります。

• Directory Manager DN およびパスワード

  Directory Manager DN は、アクセス制御が適用されない特別なディレクトリエントリです。Directory Manager は、ディレクトリのスーパーユーザーと見なすことができます。Sun ONE Directory Server の以前のリリースでは、Directory Manager DN は root DN として知られていました。

  デフォルトの Directory Manager DN は、cn=Directory Manager です。Directory Manager DN は特別なエントリであるため、Sun ONE Directory Server 5.1 用に構成されたどの接尾辞にも準拠する必要はありません。このため、Directory Manager DN と同じ DN を保持する、Sun ONE Directory Server 5.1 の実エントリを手動で作成してはなりません。

  Directory Manager のパスワードは、8 文字以上でなければならず、ASCII 文字、数字、および記号に限定されています。

  ---

  注 –

  クライアントの add および modify 操作中にマスターサーバーを参照するように複製を設定する場合は特に、すべての LDAP サーバーで同じ Directory Manager DN およびパスワードを使用することをお勧めします。

  ---

• 構成ディレクトリ管理者の ID およびパスワード

  構成ディレクトリ管理者は、Sun ONE Console からアクセス可能なすべての Sun ONE サーバーを管理するユーザーです。このユーザー ID を使用してログインすると、Sun ONE Console のサーバートポロジ領域内に表示可能な Sun ONE サーバーをすべて管理できます。

  セキュリティ上の理由から、構成ディレクトリ管理者をディレクトリ管理者と同じにすべきではありません。デフォルトの構成ディレクトリ管理者 ID は admin です。

• Administration Server ユーザーおよびパスワード

  カスタム構成時にのみ、この情報の入力が求められます。Administration Server ユーザーは、ローカルの Administration Server へのすべてのアクセス権を保持する特別なユーザーです。このユーザーとして認証されると、このサーバー上に格納された Sun ONE サーバーをすべて管理できます。

  Administration Server のユーザー ID およびパスワードが使用されるのは、Sun ONE Directory Server 5.1 がダウンし、構成ディレクトリ管理者としてログインすることができない場合だけです。このユーザー ID によって、Administration Server にアクセスして、 Sun ONE Directory Server 5.1 の起動、ログファイルの表示などの重要な障害からの復旧操作を実行できます。

  Administration Server のユーザーおよびパスワードは通常、構成ディレクトリ管理者の ID およびパスワードと同一にする必要があります。

ディレクトリ接尾辞の選択

ディレクトリ接尾辞は、ディレクトリツリー内の最初のエントリを表すディレクトリエントリです。企業のデータを含むツリー用に、ディレクトリ接尾辞が少なくとも 1 つ必要です。一般に、企業で使用する DNS ホスト名に対応するディレクトリ接尾辞を選択します。たとえば、組織で DNS 名 example.com を使用する場合、接尾辞 dc=example、dc=com を選択します。

ディレクトリサービス用の接尾辞を計画する際の詳細については、『iPlanet Directory Server 5.1 導入ガイド』を参照してください。

構成ディレクトリの位置の選択

Directory Server 5.1 を含む多数の Sun ONE サーバーは、Sun ONE Directory Server 5.1 のインスタンスを使用して構成情報を格納します。この情報は、o=NetscapeRoot ディレクトリツリーに格納されます。これは、ユーザーのディレクトリデータの格納先の Sun ONE Directory Server 5.1 上に保持されなくてもかまいません。使用する構成ディレクトリは、o=NetscapeRoot を含む Sun ONE Directory Server 5.1 です。

他の Sun ONE サーバーをサポートするためにのみ、Sun ONE Directory Server 5.1 をインストールする場合、その Sun ONE Directory Server 5.1 が構成ディレクトリになります。一般的なディレクトリサービスの一部として使用するために Sun ONE Directory Server 5.1 をインストールする場合、企業内に複数のSun ONE Directory Server 5.1 がインストールされていること、構成ディレクトリツリー o=NetscapeRoot を保持する Sun ONE Directory Server 5.1 を決定することが必要です。この決定をしてから、Sun ONE サーバー (Sun ONE Directory Server 5.1 を含む) をインストールする必要があります。

アップグレードを容易にするため、o=NetscapeRoot ツリーのサポート専用の Sun ONE Directory Server 5.1 インスタンスを使用する必要があります。このサーバーインスタンスでは、企業のディレクトリデータ管理に関するその他の機能を一切実行するべきではありません。また、このサーバーインスタンスでポート 389 を使用しないでください。このサーバーインスタンスでポート 389 を使用すると、企業のディレクトリデータ管理に使用するホストに Sun ONE Directory Server 5.1 をインストールできなくなる場合があります。

通常、構成ディレクトリはトラフィックをごくわずかしか使用しないため、このサーバーインスタンスをより負荷の高い別の Sun ONE Directory Server 5.1 インスタンスと共に 1 台のマシンに共存させることができます。ただし、大規模なサイトに大量の Sun ONE サーバーをインストールする場合、他の本稼働サーバーのパフォーマンスに影響が出ないよう、構成ディレクトリ専用のローエンドマシンを準備することもできます。Sun ONE サーバーの構成によって、構成ディレクトリへの書き込み動作が行われます。大規模なサイトの場合、この書き込み動作により他のディレクトリ動作に短時間影響を与えることになります。

また、どのようなディレクトリ構成を行う場合でも、可用性と信頼性を向上させるため、構成ディレクトリの複製を作成することを検討してください。複製と DNS ラウンドロビンを使用してディレクトリの可用性を向上させる方法については、『iPlanet Directory Server 5.1 導入ガイド』を参照してください。

---

注意 –

構成ディレクトリツリーが破壊された場合、構成ディレクトリに登録した他の Sun ONE サーバーすべての再インストールが必要になることがあります。構成ディレクトリを扱う場合、次のガイドラインに従って操作を行な ってください。

• Sun ONE サーバーを新たにインストールした後は、必ず構成ディレクトリのバックアップを作成する

• 構成ディレクトリの使用するホスト名またはポート番号を決して変更しない

• 構成ディレクトリツリーを決して直接変更しない。さまざまな Sun ONE サーバーのセットアッププログラムのみがその構成を修正するべきである

---

ユーザーディレクトリの位置の選択

構成ディレクトリが Sun ONE サーバー管理に使用される Sun ONE Directory Server 5.1 であるのと同様、ユーザーディレクトリは企業内のユーザーおよびグループのエントリを含む Sun ONE Directory Server 5.1 です。

大半のディレクトリ構成では、ユーザーディレクトリと構成ディレクトリは、2 つの別個のサーバーインスタンスにする必要があります。これらのサーバーインスタンスを同じマシンにインストールすることも可能ですが、最良の結果を得るために、構成ディレクトリを別のマシンに配置することを検討してください。

ユーザーディレクトリと構成ディレクトリとでは、ユーザーディレクトリの方が圧倒的に多くのディレクトリトラフィックを受け取ります。このため、最も多くのコンピュータリソースをユーザーディレクトリに割り当てる必要があります。構成ディレクトリが受け取るトラフィックはごくわずかであるため、構成ディレクトリはローエンドのリソースのマシンにインストールできます。

また、ユーザーディレクトリにデフォルトのディレクトリポート (389 と 636) を使用する必要があります。この目的専用のサーバーインスタンスにより構成ディレクトリを管理する場合、構成ディレクトリ用に非標準ポートを使用してください。

構成ディレクトリをネットワーク上にインストールするまで、ユーザーディレクトリをインストールすることはできません。

管理ドメインの選択

管理ドメインを使用すると、Sun ONE サーバーを論理的にグループ化してサーバー管理タスクをより容易に分散できます。一般的なシナリオとして、企業内の 2 つの部門がそれぞれ個別の Sun ONE サーバーを制御することを望む場合を考えてみましょう。ただし、企業内のすべてのサーバーを集中的に制御することも望まれています。管理ドメインを使用すると、これらの競合する目標を達成することができます。

管理ドメインには次の特性があります。

• すべてのサーバーが、所属するドメインに関係なく共通の構成ディレクトリを共有する

• 2 つの異なるドメイン内のサーバーは、認証用とユーザー管理用に 2 つの異なるユーザーディレクトリを使用できる

• 構成ディレクトリ管理者は、所属するドメインに関係なくインストール済みの Sun ONE サーバーすべてに完全なアクセス権を保持する

• 各管理ドメインは、管理ドメイン所有者が構成できる。管理ドメイン所有者は、ドメイン内のすべてのサーバーに完全なアクセス権を保持するが、他の管理ドメイン内のサーバーへのアクセス権は保持しない

• 管理ドメイン所有者は、サーバーに対する管理アクセス権限をドメイン内のサーバー単位に各ユーザーに付与できる

多くの構成では、管理ドメインを 1 つだけ保持することもできます。この場合、組織を表す名前を選択します。その他の構成の場合、サイトの需要に応じて異なる複数のドメインを保持できます。後者の場合には、そのドメイン内のサーバーを制御する組織に関係した名前を管理ドメインに付けてください。

たとえば、ISP が Sun ONE サーバーのインストールおよび管理を求める 3 種類の顧客が存在する場合、3 つの管理ドメインを作成してそれぞれに顧客に関連した名前を付けます。