Sun ONE Portal Server 6.2 インストールガイド |
付録 F
セキュアな外部 LDAP Directory Server を使用するための Sun ONE Portal Server のセットアップデフォルトのインストールでは、SunTM ONE Portal Server、SunTM ONE Identity Server、および SunTM ONE Directory Server ソフトウェアがすべて同じホスト上で稼動しています。しかし、配備のパフォーマンス、セキュリティ、統合の各要件に応じて、別の外部ホスト上のディレクトリサーバーを実行し、セキュアソケットレイヤー (SSL) を使用したセキュア接続によって Portal Server をディレクトリサーバーにアクセスさせたい場合があります。セキュア接続を介して Directory Server にアクセスするには、ディレクトリの証明書に署名した認証局を信頼するように SunTM ONE Application Server を設定する必要があります。
外部 LDAP ディレクトリを使用するよう Sun ONE Portal Server を設定するには、次の手順が必要です。
- Sun ONE Portal Server のインストール。このガイドの第 2 章「Sun ONE Portal Server のインストール」を参照してください。
- SSL で実行するための Directory Server の設定。「SSL で実行するための Directory Server の設定」を参照してください。
- 証明書データベースの作成。「証明書データベースの作成」を参照してください。
- ルート認証局 (CA) 証明書のインストール。「ルート認証局 (CA) 証明書のインストール」を参照してください。
- Directory Server の SSL を使用可能にする。「Directory Server の SSL を使用可能にする」を参照してください。
SSL で実行するための Directory Server の設定
- Directory Server (ns-slapd プロセス) と Administration Server (ns-httpd プロセス) が起動し、動作していることを確認します。
- root として、ターミナルウィンドウで、次のように入力し、Directory Server コンソールを起動します。
/var/opt/mps/serverroot/startconsole
- 表示されるログインウィンドウで、ユーザー名 admin と Directory Server のパスワードを入力します。
- コンソールの左区画で、Server Group の下に Directory Server インスタンスが表示されるまでディレクトリを展開します。
- Directory Server インスタンスを選択し、「開く」をクリックします。
- 「タスク」を選択し、次に「証明書の管理」を選択します。
この作業を最初に実行するとき、パスワードを入力することによって証明書データベースを作成するように指示されます。Directory Server を起動するのに後で必要になるため、このパスワードをメモしてください。
- 「要求」をクリックします。
証明書リクエストウィザードが表示されます。ウィザードに従い、証明書要求を生成するステップを完了します。要求は、承認を受けるために証明書管理サーバー (CMS) に送信されます。CMS は、実際の証明書を返します。要求データをファイルにコピーして、証明書要求のコピーを保存します。
- 証明書要求が CMS に送信された後、CMS の管理者に要求を承認してもらい、承認済みの証明書を返送してもらいます。
- 生成された DS の証明書と CMS 証明書を取得します。
CMS が DS の証明書を生成した場合、CMS は、その証明書をルート CA としてインポートすることによって信頼する必要があります。
- 「管理証明書」、「サーバー証明書」を選択し、「インストール」をクリックします。
証明書インストールウィザードが表示されます。
- 手順 8 で返送された認証された証明書データをテキスト領域にコピーアンドペーストし、証明書をインストールするウィザードのステップに従います。
証明書が正常にインストールされたら、証明書が「サーバー証明書」タブに行項目として表示されます。
- 「証明書の管理」と「CA 証明書」を選択し、「インストール」をクリックします。
CMS 証明書データをテキスト領域にコピーアンドペーストし、証明書をインストールするウィザードのステップに従います。
- 「閉じる」をクリックし、「証明書の管理」ウィンドウを閉じます。
- 「設定」を選択します。
- 右区画の「設定」を選択します。
- 「暗号化ポート」フィールドの有効なポート番号を確認または指定し、「保存」をクリックします。
デフォルトは「636」です。
- 「暗号化」をクリックし、「このサーバーの SSL を使用可能にする」と「この暗号化方式ファミリを使用:RSA 」チェックボックスをオンにして、「保存」をクリックします。
- Directory Server を再起動し、手順 6 で入力した証明書データベースパスワードを提供します。
Directory は、SSL 接続用のポート 636 (デフォルト) で待機しています。
証明書データベースの作成
証明書データベースを作成するとき、鍵ペアファイルに使用されるパスワードを指定します。暗号化通信を使用してサーバーを起動するためにこのパスワードが必要になる場合もあります。パスワードを変更するときに考慮すべきガイドラインの一覧については、「パスワードの変更」または「PIN」を参照してください。
証明書データベースでは、鍵ペアファイルと呼ばれる公開鍵および秘密鍵を作成および保存します。鍵ペアファイルは SSL 暗号化に使用されます。サーバー証明書を要求し、インストールするときに鍵ペアファイルを使用します。証明書は、インストール後に証明書データベースに保存されます。鍵ペアファイルは、暗号化されて以下に保存されます。
証明書データベースを作成する手順は、使用している Web コンテナのタイプによって異なります。次の手順は、Sun ONE Web Server 上に証明書データベースを作成するためのものであり、http://docs.sun.com にある『Sun ONE Web Server, Enterprise Edition 管理者ガイド』でも説明されています。
Sun ONE Application Server 上に証明書データベースを作成する手順については、http://docs.sun.com にある『Sun ONE Application Server 7 セキュリティ管理者ガイド』を参照してください。
証明書データベースの作成
Sun ONE Web Server 上に信頼データベースを作成するには、次のステップを実行します。
password.conf ファイルの使用
デフォルトで Web サーバーは、起動する前に、管理者に対し、鍵データベースパスワードを入力するよう要求します。Web サーバーを再起動できるようになるには、password.conf ファイルにパスワードを保存する必要があります。このファイルと鍵データベースが危殆化されないようにシステムが十分保護されている場合にのみ、これを実行してください。
通常は UNIX SSL 対応サーバーは、起動前にパスワードを要求するため、/etc/rc.local ファイルまたは /etc/inittab ファイルでは起動できません。ファイルにプレーンテキストでパスワードを保存すれば、SSL 対応サーバーを自動的に起動することができますが、これはお勧めできません。サーバーの password.conf ファイルは、root ユーザーか、あるいは、サーバーをインストールしたユーザーによってアクセスされ、その所有者だけが読み取りおよび書き込みアクセス権を持つ必要があります。UNIX では、password.conf ファイルに SSL 対応サーバーのパスワードを残すことは、セキュリティ上大きなリスクとなります。ファイルにアクセスできる人はだれでも、SSL 対応サーバーのパスワードへのアクセス権を持つためです。password.conf ファイルに SSL 対応サーバーのパスワードを保存する前にセキュリティ上のリスクを検討してください。
ルート認証局 (CA) 証明書のインストール
ルート認証局 (CA) 証明書をインストールする手順は、使用している Web コンテナのタイプによって異なります。次では、Sun ONE Web Server にルート認証局 (CA) 証明書をインストールする方法を説明します。またこの手順は http://docs.sun.com にある『Sun ONE Web Server, Enterprise Edition 管理者ガイド』でも説明しています。
Sun ONE Application Server にルート認証局 (CA) 証明書をインストールする手順については、http://docs.sun.com にある『Sun ONE Application Server 7 セキュリティ管理者ガイド』を参照してください。
- Web サーバーコンソールを開き、「Install Certificate」をクリックします。
- 「This Server」の証明書をクリックします。
- 「Key Pair File Password」フィールドに証明書データベースパスワードを入力します。
- 表示されたテキストフィールドに証明書をペーストするか、ラジオボタンをチェックし、テキストボックスにファイル名を入力します。「OK」をクリックします。
ブラウザに、証明書が表示され、証明書を追加するボタンが表示されます。
- 「Install Certificate」をクリックします。
- 「Certificate for Trusted Certificate Authority」をクリックします。
Directory Server の SSL を使用可能にする
Directory Server の SSL を使用可能にするには、AMConfig.properties ファイルを編集します。このステップは、コンテナに依存しないため、Sun ONE Web Server と Sun ONE Application Server に対して同様に行う必要があります。
AMConfig.properties ファイルの次の設定を変更します。
com.iplanet.am.directory.ssl.enabled=false
com.iplanet.am.directory.host=server12.example.com (変更する必要がある場合)
com.iplanet.am.directory.port=51389
変更後:
com.iplanet.am.directory.ssl.enabled=true
com.iplanet.am.directory.host=server1.example.com
com.iplanet.am.directory.port=51631 (DS が暗号化に使用するポート)
Web コンテナとして Sun ONE Application Server を使用している場合、AMConfig.properties ファイルを編集し、Sun ONE Application Server によって使用される証明書データベースのパスとプレフィックスをポイントします。
次の設定を変更します。
com.iplanet.am.admin.cli.certdb.dir=/opt/SUNWappserver7/SUNWam/servers/alias
com.iplanet.am.admin.cli.certdb.prefix=https-myappserver.example.com-example-
変更後:
com.iplanet.am.admin.cli.certdb.dir=/var/opt/SUNWappserver7/domains/domain1/¥
server1/config
com.iplanet.am.admin.cli.certdb.prefix=
オープンモードから SSL に変更するには、serverconfig.XML ファイルの接続ポートと接続タイプの値を変更します。
serverconfig.XML ファイルを編集し、次の行を変更します。
変更後:
設定ファイル (AMConfig.properties および serverconfig.xml) に対してこれらの変更を行った後、Web コンテナを再起動します。
Sun ONE Web Server を使用している場合、次のように入力します。
amserver stop
amserver start
あるいは、Sun ONE Portal Server をインストールしたアプリケーションサーバーを停止および起動するための適切な方法を使用します。