| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteインストレーション・ガイド 11g リリース2 (11.1.2.2) E51901-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Enterprise Single Sign-On Suiteインストレーション・ガイド 11g リリース2 (11.1.2.2) E51901-03 |
|
前 |
次 |
この項では、Password Resetをインストールするために必要な手順について説明します。内容は次のとおりです:
Password Resetをインストールする前に、この項にリストされている前提条件が満たされていることを確認してください。
|
注意: インストールに影響する可能性のある最新の要件または変更について確認するには、最新のリリース・ノートを参照してください。 |
|
注意: Windows XPにインストールする場合、Microsoft社から最新のルート証明書更新をインストールしないと、インストールに失敗します。 詳細は、次の場所にあるMicrosoftナレッジ・ベースの記事を参照してください。 |
Password Resetクライアントは動作のためにPassword Resetサーバーに依存するため、Password Resetクライアント・コンポーネントをインストールして正常に構成するには、最初にPassword Resetサーバーをインストールする必要があります。
Password ResetクライアントおよびLogon Managerを同じWindows XPワークステーションにインストールする場合、Logon Managerの「Network Provider」ログオン方法は使用できません。
Password ResetクライアントをWindows XPにインストールすると、ユーザーの簡易切替え機能(複数のユーザーで同時にコンピュータにログオンし、[Win]を押しながら[L]を押すことでログオン間を切り替えることができる機能)が無効になります。この機能が使用できなくなる理由は、Password Resetが使用するカスタムのGINA (Graphical Identification and Authentication)コンポーネントによって、MicrosoftのデフォルトのGINAダイナミック・リンク・ライブラリ(Msgina.dll)が置き換えられるためです。Windows XPコンピュータでログオンを変更するには、ユーザーは一度ログオフして次のユーザーでログオンする必要があります。これを行うには、タスク・マネージャ([Ctrl]+[Alt]+[Del])を起動して「Log off」をクリックします。
Kiosk ManagerがインストールされているワークステーションでPassword Resetを使用する場合の構成情報は、Oracle Enterprise Single Sign-On Suite管理者ガイドを参照してください。
オプションのレジストリ設定(AutomaticEnrollおよびForceEnrollment)によって、次回のログオンでPassword Resetサービスの登録をワークステーション・ユーザーに依頼または要求するかどうかを制御できます。これらの値は、インストーラ・パッケージを変更することで設定できます(クライアントのインストール・ウィザードでは追加されません)。これらの設定の場所および値は、Enterprise Single Sign-On Suite管理者ガイドを参照してください。
Password Resetサーバーをインストールする場合、次の表にリストされているPassword Reset WebリソースのURLを書き留めておいてください(Password Resetクライアントのインストール中にこれらのURLを入力するため)。これらのリソースは、Password Resetサーバーによって提供され、クライアントに登録およびリセット機能を付与します。
|
Enroll URL |
登録サービスのデフォルト・ページのURLを入力: http://host/vgoselfservicereset/enrollmentclient/EnrollUser.aspx |
|
Reset URL |
リセット・サービスのデフォルト・ページのURLを入力:http://host /vgoselfservicereset/resetclient/default.aspx |
|
Check Enroll URL |
登録確認サービス(ユーザーが登録されているかどうかの確認)のURLを入力:http://host/vgoselfservicereset/resetclient/checkenrollment.aspx |
|
Check Force Enroll URL |
強制登録確認サービス(ユーザーが登録を強制されるかどうかの確認)のURLを入力:http://host /vgoselfservicereset/resetclient/checkforceenrollment.aspx |
|
Check Status URL |
ステータス確認サービス(Password Resetサービスの可用性の確認)のURLを入力:http://host /vgoselfservicereset/resetclient/checkstatus.aspx |
Oracle Enterprise Single Sign-On Suiteリリース・ノートでハードウェアおよびソフトウェア要件をよく確認して、現在の環境がすべての要件を満たしていることを確認します。
Oracle Enterprise Single Sign-On Administrative ConsoleおよびPassword Resetサーバー・コンポーネントは一致するバージョンを使用する必要があり、そうしない場合、予期しない動作が発生する可能性があります。
Password Resetサーバー側コンポーネントをドメイン・コントローラにインストールしないでください。かわりにメンバー・サーバーを使用します。
正引きおよび逆引き検索ゾーンの正しい列挙など、DNSが適切に構成され動作していることを確認します。
サーバーおよびワークステーションに最新のサービス・パックおよびWindows更新プログラムがインストールされていることを確認します。
「Windows Server 2008/2008 R2でのPassword Reset用のIISの構成」または「Windows Server 2012でのPassword Reset用のIISの構成」の説明に従って、最初にIIS Webサーバーをインストールします。
デフォルトでは、Active DirectoryのDomain Administratorsグループのメンバーは、自動的にメンバー・サーバーのローカルのAdministratorsグループに追加されます。Domain Administratorsグループのメンバーではない場合、自身をメンバー・サーバーのローカルのAdministratorsグループに追加してください。便宜上、このガイドの説明では、「Schema Administrators」グループのメンバーである「Administrator」アカウントを使用して、Password Resetサーバーをインストールおよび設定すると仮定します。
サービス・アカウントを作成する場合、長く複雑なパスワードを使用することを検討し、間違ったパスワードが特定の回数入力された後にそのアカウントをロックアウトするように設定してください。これらの対策によって、ハッカーによるサービス・アカウントへの辞書攻撃が成功することを防ぎます。
Password Resetを自動(サイレント)モードで正常にインストールするには、インストーラの実行前にWindows Management Instrumentation (WMI)サービスが実行されている必要があります。
WMIサービスが実行されているかどうかを確認し、必要に応じて開始するには、各ターゲット・マシンで次の手順を実行します。
システム管理コンソールを起動します。
「サービス」スナップインを開きます。
「Windows Management Instrumentation」サービスに移動して、その状態と開始モードを確認します。
状態に応じて、次のいずれかの手順を実行します。
状態が「開始」の場合はWMIが実行されているため、次の項に進みます。
状態が空白の場合、サービスの起動タイプを確認して次のように開始します。
サービスをダブルクリックします。
表示されるプロパティ・ボックスで、環境に合わせてスタートアップの種類を「手動」または「自動」に設定し、「適用」をクリックします。
「開始」をクリックします。状態が「開始」に変わります。
「OK」をクリックして、サービスのプロパティ・ダイアログ・ボックスを閉じます。
この項では、既存のPassword Resetインストールを最新バージョンにアップグレードするための情報を提供します。
Password Reset 11.1.2.2.0へのアップグレードは、次のリリースのPassword Resetでサポートされます。
11.1.1.2.x
11.1.1.5.x
Password Resetサーバー・インストールをアップグレードするには、次の手順を実行します。
HKEY_LOCAL_MACHINE\Software\Passlogix\SSPRレジストリ・キーをエクスポートして、サーバー設定をバックアップします。
「Password Resetサーバー・コンポーネントのインストール」の説明に従います。インストールが完了したら、Microsoft IISを再起動して、システム内で必要なサービス・アカウントがアクティブであることと、Password Resetが引き続きそれらを使用するように構成されていることを確認する必要があります。
(オプション) Oracle Databaseをリポジトリとして使用するPassword Resetのインスタンスをアップグレードする場合、次の問合せを実行してPassword Reset 11.1.2に必要な新しい索引を追加する必要があります。
CREATE INDEX SSPR.UQ_USERID ON SSPR.USERQUESTIONS (USERSID);
CREATE INDEX SSPR.EI_USERID ON SSPR.ENROLLMENTINFORMATION (USERSID);
CREATE INDEX SSPR.RI_USERID ON SSPR.RESETINFORMATION (USERSID);
Password Resetサーバーをインストールする前に、Microsoft Internet Information Servicesを次の手順でインストールする必要があります。
Windows Server Managerで「役割」→「役割の追加」の順に選択します。
役割の追加ウィザードで、「Webサーバー(IIS)」の役割を選択します。
表示されるポップアップ・ウィンドウで、追加する必要な機能を確認します。
「Next」をクリックします。
「役割サービス」ウィンドウで、次の役割を選択します(まだ選択していない場合)。
アプリケーション開発: ASP .NETおよびそれに必要な機能
HTTP基本機能: 静的なコンテンツ、既定のコンテンツ、ディレクトリの参照、HTTPエラー
状態と診断: HTTPログ、要求の監視
セキュリティ: Windows認証、ダイジェスト認証、IPおよびドメインの制限、要求のフィルタリング
パフォーマンス: 静的なコンテンツの圧縮
管理ツール: IIS管理コンソール、IIS管理スクリプトおよびツール、管理サービス、IIS 6管理互換(およびサブコンポーネントすべて)
「Next」をクリックします。
確認ウィンドウで、インストールの選択を確認します。選択を変更する場合は、「戻る」をクリックします。インストールを開始する準備ができたら、「インストール」をクリックします。
インストールが完了したら、「Password Resetサーバー・コンポーネントのインストール」に進みます。
Password Resetサーバーをインストールする前に、Microsoft Internet Information Servicesを次の手順でインストールする必要があります。
Windows Server Managerの右上隅にある「管理」をクリックして、表示されるメニューから「役割と機能の追加」を選択します。
役割と機能の追加ウィザードで、「次へ」をクリックします。
「インストールの種類の選択」画面で「役割ベースまたは機能ベースのインストール」を選択して、「次へ」をクリックします。
「対象サーバーの選択」画面で「サーバー プールからサーバーを選択」オプションを選択してから、リストから対象サーバーを選択して「次へ」をクリックします。
「Select server roles」画面で「Web Server (IIS)」を選択し、IISで必要な機能の追加を要求するポップアップが表示された場合は「Add Features」をクリックして、「Next」をクリックします。
「Webサーバーの役割(IIS)」画面で「次へ」をクリックします。
「機能」画面で「次へ」をクリックします。
「役割サービス」画面で、次の役割を選択し、選択内容に関連する機能のインストールを求められた場合は受け入れます。
HTTP基本機能: 既定のドキュメント、ディレクトリの参照、HTTPエラー、静的なコンテンツ、HTTPリダイレクション
状態と診断: HTTPログ、ログ ツール、要求の監視、トレース
パフォーマンス: 静的なコンテンツの圧縮
セキュリティ: 要求のフィルタリング、ダイジェスト認証、IPおよびドメインの制限、Windows認証
アプリケーション開発: .NET拡張機能3.5、.NET拡張機能4.5、ASP.NET 3.5、ASP.NET 4.5、ISAPI拡張、ISAPIフィルタ
管理ツール: IIS管理コンソール、IIS 6管理互換(およびサブコンポーネントすべて)、IIS管理スクリプトおよびツール
「Next」をクリックします。
確認画面で選択内容を確認し、「インストール」をクリックして、インストールが完了するのを待ちます。
インストールが完了したら、「Password Resetサーバー・コンポーネントのインストール」に進みます。
|
注意: このインストールを開始する前に、「Windows Server 2008/2008 R2でのPassword Reset用のIISの構成」または「Windows Server 2012でのPassword Reset用のIISの構成」の手順を完了してください。 |
すべてのプログラムを終了します。
ESSO-PR_Server.msiインストーラ・ファイルを起動します。
「Welcome」パネルで「Next」をクリックします。
「Complete」または「Custom」設定タイプを選択して「Next」をクリックします。
「Custom」設定では、別のインストール・ディレクトリを指定できます。
「Install」をクリックします。
インストールが完了したら、「Finish」をクリックします。
この項の手順を実行して、Password Resetサーバーのホスト環境を構成し、Password Resetサーバー・インストールが動作するように構成します。Password Resetサーバーの使用を開始するには、次の操作を実行する必要があります。
必要なPassword Resetサービスを構成するために、この項の手順を実行します。
ドメイン・コントローラに次の2つのアカウントを作成します。これらのアカウントは、Domain Usersグループ(デフォルト)の通常のユーザーである必要があります。
SSPRWEB。このアカウントは、Password Reset IISの機能を実行し、後で作成する組織単位(OU)に対して変更や追加などを行います。OUを作成する場合は、SSPRWEBアカウントにOU内のすべてのオブジェクトに対する読取り、書込み、変更および削除権限を付与する必要があります。
Password Reset WebサービスおよびActive DirectoryまたはAD LDS (ADAM)リポジトリをホストするIISインスタンスが別のマシン上で実行されている場合、このアカウントは、Active DirectoryまたはAD LDS (ADAM)リポジトリと同じドメイン(またはその信頼できるドメイン)内に存在し、Password Reset WebサービスのIISサイトのディレクトリおよびサブディレクトリに対する読取り/書込み権限を持っている必要があります。
SSPRRESET。このアカウントは、IISを使用するPassword Resetメンバー・サーバー上で実際のリセット・サービスを実行します。これは、ドメイン・レベルでユーザー・パスワードをリセットします。
|
注意: 問題の発生を避けるため、これらのアカウントはIISホストのローカルのAdministratorsグループのメンバーにしてください。 これらのアカウントは、ユーザーの質問および登録情報を格納するコンテナを管理し、実際のパスワード・リセット・プロセスを処理するためにPassword Resetが使用するサービス・アカウントになります。これらはサービス・アカウントであるため、相当に複雑なパスワードを使用し、間違った入力が一定回数行われた後にはユーザーをロックアウトするという慎重な運用が必要です。これによって、パスワードをリセットできないユーザーからヘルプ・デスクに連絡が入ることもありますが、それは何者かがこれらのサービス・アカウントに攻撃を仕掛けていることも教えてくれます。サービス・アカウントおよびセキュリティ・ログ・モニタリングのベスト・プラクティスの詳細は、Microsoft社のナレッジ・ベースを参照してください。 |
サービス・アカウントをPassword Resetシステム・サービスに割り当てるには、次の手順を実行します。
「コントロール パネル」→「管理ツール」→「サービス」を実行します。
右側のペインのリストで、「Self Service Password Reset」を右クリックして、「プロパティ」を選択します。
「Self Service Password Reset のプロパティ」ダイアログ・ボックスで、「ログオン」タブを選択します。
「アカウント」を選択してDomain\SSPRRESETというアカウント名を入力します。次に、アカウントのパスワードを入力して確認(再入力)します。
変更はサービスの再起動後に適用されるという内容のダイアログ・ボックスが表示されます。
指示どおりサービスを再起動します。SSPRRESETアカウントの設定が完了します。
|
注意: SSPRRESETアカウントは、サーバー側コンポーネントが存在するIISサーバーでパスワード・リセット・サービスを実行します。 SSPRWEBアカウントは、サーバー側コンポーネントが存在するIISサーバーで仮想Webサイトを実行します。 |
Password Resetサーバーが適切に動作するためには、SSPRWEBアカウント資格証明が付与される必要があります。これを行うには、次の手順を実行します。
Web.configファイルに資格証明を追加します。
Password Resetマシンで次のファイルを見つけ、テキスト・エディタで開きます。
<PR_Install_Directory>\WebServices\Web.config
次の行を探します。
<identity impersonate="true">
次のように行を変更し、userNameパラメータおよびpasswordパラメータのサンプルの値をSSPRWEBアカウント資格証明に置き換えます。(値を囲む引用符は残してください。パラメータ名は大/小文字が区別されます。)
<identity impersonate="true" userName="domain\ssprweb" password="ssprweb_password" />
ファイルを保存して閉じます。
資格証明を暗号化します。
Password Resetサーバー・マシンで、管理者権限でコマンド・プロンプトを起動します。
次のディレクトリに移動します。
%windir%\Microsoft.NET\Framework\v4.0.30319
次のコマンドを実行します。
aspnet_regiis.exe -pe "system.web/identity" -app "/vgoselfservicereset/webservices"
次のコマンドを実行します。
aspnet_regiis.exe -pa "NetFrameworkConfigurationKey" "IIS APPPOOL\SSPR AppPool"
SSPRWEBアカウント資格証明は暗号化され、Password Reset Webサービスはそれらを復号化して使用し、SSPRWEBアカウントで実行できます。
手動で資格証明を復号化するには、次のコマンドを実行します。
aspnet_regiis.exe -pd "system.web/identity" -app "/vgoselfservicereset/webservices"
次のように、Password Reset WebサービスのIIS Webサイトのコンテンツに対するアクセスを(vgoSelfServiceReset仮想ディレクトリで)構成する必要があります。
| パラメータ | 値 |
|---|---|
|
Virtual Directory |
EnrollmentClient |
|
Enable Anonymous Access |
NO |
|
Integrated Windows Authentication |
NO |
|
Digest Authentication |
YES |
|
認証とアクセス制御 |
SSPRWEB |
|
Virtual Directory |
ManagementClient |
|
Enable Anonymous Access |
NO |
|
Integrated Windows Authentication |
YES |
|
Digest Authentication |
NO |
|
認証とアクセス制御 |
SSPRWEB |
|
Virtual Directory |
ResetClient |
|
Enable Anonymous Access |
YES |
|
Integrated Windows Authentication |
YES |
|
Digest Authentication |
NO |
|
認証とアクセス制御 |
SSPRWEB |
|
Virtual Directory |
WebServices |
|
Enable Anonymous Access |
NO |
|
Integrated Windows Authentication |
YES |
|
Digest Authentication |
NO |
|
認証とアクセス制御 |
SSPRWEB |
|
注意: 匿名アクセスを許可する唯一の仮想ディレクトリは、 |
Password Resetが適切に動作するためには、Password Resetサーバー側コンポーネントを含むメンバー・サーバーの次のレジストリ・キーに対する完全な権限がSSPRWEBサービス・アカウントに必要です。
32ビット・システム: HKLM\SOFTWARE\Passlogix\SSPR
64ビット・システム: HKLM\SOFTWARE\Wow6432Node\Passlogix\SSPR
|
注意: このキーに対する権限を適用したら、複数のレベルにドリルダウンして、権限が全体に伝播されていることを確認してください。 |
Password Resetサーバー側コンポーネントの構成中に発生する可能性のある権限の問題を回避するため、Password Resetサーバー側コンポーネントをインストールするIISメンバー・サーバーに、ローカル管理者のグループのSSPRWEBおよびSSPRRESETアカウント・メンバーを両方とも作成することをお薦めします。
Password Resetサーバー側コンポーネントのインストールおよび構成が終了したら、メンバー・サーバーのローカル管理者のグループからこれらのアカウントを削除できます。
Password Resetは、ユーザーの質問、回答、構成および登録情報をActive Directoryの組織単位内に格納します。単位を簡単に識別できるような任意のOU名を選択してください。
|
注意: 作業を続ける前に、この組織単位をドメインのルートに作成します。記憶域を有効化するときにOUが存在しないと、サーバーにそのようなオブジェクトは存在しないというエラー・メッセージが返されることがあります。 |
接続用のアカウントによって、スキーマ拡張を実行します。そのため、このアカウントは、スキーマ管理者のグループのメンバーであり、Password Reset OU内にオブジェクトを作成する権限を持っている必要があります。
Active DirectoryのPassword Resetデータの記憶域を有効化するには、次の手順を実行します。
ESSO Suite Administrative Consoleを起動します。
「Password Reset」タブを選択し、目的のPassword Resetサーバー・インスタンスの管理インタフェースURLを入力して、「Apply」をクリックします。
左側のツリーで「System」ノードを選択してから、メイン・ペインで「Storage」タブを選択します。
「Storage Type」ドロップダウン・メニューから、「AD」を選択します。
「Servers」フィールドで「Add」をクリックして、表示されたダイアログで次の手順を実行します。
目的のドメイン・コントローラの完全修飾されたホスト名またはIPアドレスを入力します。
目的のドメイン・コントローラの任意のポート番号(次の表を参照)を入力します。デフォルトでは、SSLポートは636で非SSLポートは389です。
「OK」をクリックして、変更内容を保存します。
新しいエントリが「Servers」リストに表示されます。
「Server timeout」フィールドに、接続の試みが失敗したとみなされるまでPassword Resetが待機する必要のある秒数を指定します。
「Storage Location (DN)」フィールドに、Password Reset OUへのフルパスを入力します。SSPRWEBアカウントは、このOU内に格納されているすべてのオブジェクトに対する読取り、書込み、変更および削除権限を持つ必要があります。
セキュアな接続のためにリポジトリがSSLを使用している場合(推奨)は、「Use SSL」チェック・ボックスを選択します。
「Initialize Storage」フィールドで次の手順を実行します。
「Initialize Storage for ESSO-PR」チェック・ボックスを選択します。これによってPassword ResetがActive Directoryスキーマに拡大され、必要なオブジェクトが作成されます。
「Connect As (User)」フィールドに、ドメインのスキーマ管理者のアカウント名を入力します。このアカウントも、Password Reset OUにオブジェクトを作成するために必要な権限を持っている必要があります。
「Password」フィールドに、アカウントのパスワードを入力します。
「Submit」をクリックして、変更内容を保存します。
|
注意: Password Reset OUが正しく構成されていることを確認するには、目的のドメイン・コントローラで「Advanced」ビューを使用して、「Active Directory Users and Computers」の新しいインスタンスを開きます。ESSOPR (または選択した名前)というOUと、SystemQuestionsおよびUsersという2つの下位OUを確認します。これら2つの下位OUが存在する場合、正しく構成されています。 |
これで、Password Resetサーバー側コンポーネントをインストールしたIISメンバー・サーバーのローカル管理者のグループからSSPRWEBおよびSSPRRESETのアカウントを両方とも削除できます。
SSPRRESETアカウントには、ユーザー・パスワードをリセットし、このアカウントを使用して各アカウントのロックを解除できる以上の権限を付与することはできません。
SSPRRESETアカウントは、ドメイン・ユーザー・グループの単なるメンバーであることに注意してください。Active Directoryに組み込まれたフェイルセーフとして、このアカウントを使用してより上位の権限を持つユーザー(管理者アカウントなど)のパスワードを変更することはできません。
この権限は、組織単位レベルまたはグループ・レベルで割り当てることができます。ユーザー・レベルでこの権限を割り当てることは、一般的な操作ではなく、推奨されません。
パスワード・リセット権限の割当ては、慎重に検討して、目的のアカウントのみがこの権限を付与されるように計画する必要があります。これらのアカウントの設定時に戦略を調整するために役立つ操作および注意点は次のとおりです。
組織単位または特定のグループに基づいて、パスワード・リセット・アカウントに粒度の高い権限を付与することを検討します。いずれかに権限を適用したら、目的の結果が得られることをテストして確認します。
ドメインのルートでオブジェクト制御の委任ウィザードを実行しないでください(実行すると、ユーザーを超えてコンピュータやプリンタなどのオブジェクトにまで及ぶ権限をパスワード・リセット・アカウントに付与することになります)。
パスワード・リセット・アカウントはドメイン・ユーザー・グループのメンバーであるため、そのパスワード・リセット権限は、ドメイン・ユーザー・グループの同じレベルのすべてのメンバーに適用されます。
つまり、すべてのユーザーをADのデフォルト・ユーザー・コンテナに格納し、そのレベルでオブジェクト制御の委任ウィザードを実行する場合、ドメイン・ユーザー・アカウントは、管理者アカウントのパスワードをリセットできません。Active Directoryでは、ユーザーが管理者に対する管理権限を持つことは許可されません。
このシナリオでは、パスワード・リセット・サービス・アカウントには、管理者のパスワードをリセットする権限は付与されません。管理者は、Password Resetに登録し、パスワード・リセット・ダイアログ全体を使用できます。ただし、パスワード・リセット・サービス・アカウントは、上位のセキュリティ・グループに含まれるユーザーのパスワードをリセットする権限を持つように設計されていないため、パスワードをリセットしようとすると、エラー・メッセージが返されます。
ドメイン管理者グループのメンバーのパスワードを、通常のユーザー・アカウントによってリセットできるようにするかどうかは、慎重に検討してください。パスワード・リセット・アカウントにこのレベルの制御を付与することは可能ですが、そうしない方が適切なこともあります。
ユーザーが次の方法で分割されるActive DirectoryのOU構造について検討します。
OU = Users1
OU = Users2
OU = Users (Active Directoryで作成されるデフォルトのユーザー・コンテナ)
ユーザーを組織単位に割り当てると、多くのユーザーのSSPRRESETサービス・アカウントの権限を単純で統一化された方法で管理できます。
「スタート」→「管理ツール」→「Active Directoryユーザーとコンピュータ」の順に移動します。
まだ有効にされていない場合は、「表示」メニューで「詳細機能」オプションを有効化します。
「Active Directoryユーザーとコンピュータ」→「YourDomain」→「YourOU」の順にナビゲートします。
制御するOUを右クリックして、「プロパティ」を選択します。
「プロパティ」ウィンドウで、「セキュリティ」タブを選択して「詳細設定」をクリックします。
表示されるウィンドウで、「Add」をクリックします。
「選択するオブジェクト名を入力してください」フィールドに、SSPRRESETアカウントの名前を入力します。(「名前の確認」ボタンを使用して、入力した名前を確認します。)
「OK」をクリックします。
「アクセス許可エントリ」ウィンドウの「オブジェクト」タブで、「適用先」ドロップダウン・メニューから「ユーザー オブジェクト」を選択します。
「アクセス許可」ウィンドウで、「許可」列の「パスワードのリセット」ボックスを選択します。
「アクセス許可エントリ」ウィンドウで、「プロパティ」タブを選択します。
「適用先」ドロップダウン・メニューから「ユーザー オブジェクト」を選択します。
「アクセス許可」ウィンドウで、「Write lockoutTime」権限および「Write pwdLastSet」権限の「許可」ボックスを選択します。
「OK」をクリックします。
「OK」をさらに2回クリックしてウィンドウを閉じます。変更は即座に有効になります。
権限が正しく割り当てられたことを確認するには、次の手順を実行します。
新しい権限を割り当てたOUを右クリックします。
「プロパティ」を選択します。
「セキュリティ」タブを選択します。
特殊なアクセス許可を持つSSPRRESETアカウントがリストされているはずです。「詳細設定」タブには、このアカウントがOUに対するパスワード・リセット権限を持っていることが示されます。
Password Reset内には、匿名アクセスは許可されないが、統合Windows認証を使用するように構成される2つの仮想ディレクトリがあります(Windowsパスワードでドメインにログオンすると、そのページにアクセスできます)。
Windows Server 2008上で稼働するIISのセキュリティ・ポリシーのため、ユーザーが最初に登録しようとすると、ユーザー名とパスワードを要求するポップアップ画面が表示されます(同様の設定のWebサイトではよくあることです)。この動作(これは不要なヘルプ・デスク・コールにつながります)を回避するには、Password Reset IISサーバーの完全修飾ドメイン名を、ドメインの任意のユーザー向けとなる信頼できるサイトのリストに入力します。
Password Resetサーバーを信頼できるイントラネット・サイトとして指定するには、次の手順を実行します。
個々のコンピュータで、信頼できるイントラネット・サイトのリストにPassword Reset IISサーバーのデフォルトWebサイトを追加します。
Active Directory内で、信頼できるイントラネット・サイトのリストに、グループ・ポリシーを使用してこのサイトを追加します。
これを行うには、次のものが必要です。
ドメイン管理者の権限
OUまたはドメイン・レベルでグループ・ポリシーを作成または変更する権限
次の例では、Password Resetサーバー・サイトをドメイン全体の信頼できるイントラネット・サイトとして指定します。したがって、これはすべてのドメイン・ユーザーにとって信頼できるサイトになります。
|
注意: より粒度の高いアクセス制御のために、Password Resetの潜在的なユーザーを含むOUごとにこのポリシーを作成することもできます。選択したアプローチにかかわらず、最終結果では、信頼できるサイトとしてPassword Reset IISサーバーのデフォルトWebサイトが含まれます。 |
組織の信頼できるサイトのリストにPassword Reset IISサーバーを追加するには、最初にInternet Explorerセキュリティ強化の構成がインストールされていないWindowsクライアントでポリシーを作成する必要があります(デフォルトでは、Windows XPにはこの機能はインストールされていません)。
「Internet Explorer セキュリティ強化の構成」設定を削除します(「コントロール パネル」→「プログラムの追加と削除」→「Windows コンポーネントの追加と削除」)。
「Internet Explorerセキュリティ強化の構成」の選択を解除(削除)します。
|
注意: このポリシーの作成後に、このセキュリティ強化機能をドメイン・コントローラにインストールできます。グループ・ポリシー・オブジェクト・エディタ内で現在のゾーンをインポートしようとすると表示されるダイアログ・ボックスの内容を確認してください。 このポリシーを作成するには、「Active Directoryユーザーとコンピュータ」を開き、Password Resetに登録するユーザーを含む組織単位を右クリックして(この例ではドメインのルート・レベルに存在)、「グループ ポリシー」タブをクリックします。 |
「新規」をクリックして、新しいポリシーを作成します。ポリシーにSSPR TRUSTED INTRANET SERVERという名前を付けます。
「編集」をクリックします。
左側のツリーで、「ユーザーの構成」→「Windows の設定」→「Internet Explorer のメンテナンス」→「セキュリティ」→「セキュリティ ゾーンおよびコンテンツの規制」の順にナビゲートします。
「設定の変更」をクリックします。
表示されるメッセージを確認して続行します。
「インターネットのプロパティ」ダイアログ・ボックスで、「ローカル イントラネット ゾーン」アイコンをクリックしてから「サイト」ボタンをクリックします。
「ローカル イントラネット」ダイアログ・ボックスで、「詳細設定」をクリックします。
指定されている場所に、Password Reset IISのデフォルトWebサイトの完全修飾ドメイン名を入力します。
「閉じる」をクリックします。
必要に応じて「OK」および「適用」をクリックして、グループ・ポリシー・オブジェクト・エディタを終了します。
ネットワーク内のレプリケーション速度によっては、Active Directory構造全体にこのポリシーをレプリケートするために多少時間がかかる可能性があります。
このポリシーがADの目的のレベルに適用されたことを確認するには、次の手順を実行します。
このポリシーの影響を受けるユーザーとしてログインします(ADグループ・ポリシーにはレプリケーションのための十分な時間を与えます)。
Internet Explorerで、「ツール」→「インターネット オプション」→「セキュリティ」→「ローカル イントラネット」→「サイト」→「詳細設定」の順に開きます。
追加したサイトがInternet Explorerの「信頼済みサイト」ウィンドウにリストされているはずです。
権限のないユーザーがWebベースのPassword Reset管理コンソールにアクセスできないようにするには、次の手順を実行します。
Windowsエクスプローラを起動して次の場所に移動します。
32ビット・システム: C:\Program Files\Passlogix\v-GO SSPR
64ビット・システム: C:\Program Files (x86)\Passlogix\v-GO SSPR
「Management Client」を右クリックし、ショートカット・メニューから「Properties」を選択します。
「Properties」ダイアログ・ボックスで、「Security」タブをクリックします。
「詳細設定」をクリックします。
「Change Permissions」をクリックします。
「Include inheritable permissions from this object's parent」チェック・ボックスを選択解除します。
表示される警告ダイアログ・ボックスで、「Add」をクリックします。
「OK」をクリックします。
「Security」タブで、「Users」グループ(デフォルト継承の一部)およびその他の認可されていないユーザーを削除します。
「追加」をクリックします。
「Advanced Search」をクリックし、「IIS_IUSRS」グループを選択します。
「OK」をクリックします。
|
注意: 「Full」以外のすべての権限が「Allow」列で選択される必要があります。また、コンソールへのアクセス権を付与されるユーザーを含むドメイン・グループをセキュリティACLに追加する必要もあります。 |
Windows Server 2008/2008 R2またはWindows Server 2012とのSSL接続のためにPassword Resetを構成する前に、信頼できる認証局(CA)からX.509証明書を取得する必要があります。この信頼できるCAを、信頼できるルートCAのリストにインストールする必要があります。証明書は、現在の日付において有効である必要があり、そのサブジェクトは、Password Resetクライアント・インスタンスがPassword Resetサーバー・インスタンスへの接続時に使用するネットワーク名(ホスト名またはホスト名とドメイン接尾辞を含む完全修飾URL)と正確に一致している必要があります。この項の手順では、有効な証明書を取得済で、インストールの準備が完了していると仮定します。
|
注意: Microsoft Webサイトの次の記事で、証明書のインストールとSSLの設定に関する情報を参照できます。 · "How to: Obtain an X.509 Certificate" · "How to: Set Up SSL on a Web Server" Microsoft証明書サービスを使用してX.509証明書を取得する場合、サーバー認証証明書を選択してください。また、「キーのオプション」セクションで、「エクスポート可能なキーとしてマークする」および「ローカル コンピュータ ストアを使用する」オプションを選択します。 |
Password ResetサーバーへのSSL専用接続を実行するために必要な手順は、次のとおりです。
Microsoft IISマネージャを起動します。
左側の「接続」ペインで、ターゲット・サーバー・インスタンスを選択します。
中央の「ホーム」ペインで、「サーバー証明書」アイコンをダブルクリックします。
右側の「操作」ペインで、「証明書の要求の完了」をクリックします。
表示される「証明書の要求を完了する」ダイアログで、次の手順を実行します。
「証明機関の応答が含まれるファイルの名前」フィールドで、対象のX.509証明書のフルパスおよびファイル名を参照するか入力します。
「フレンドリ名」フィールドに、証明書のわかりやすい名前を入力します。
「OK」をクリックします。
証明書がターゲット・マシンの「サーバー証明書」リストに表示されます。
インストールした証明書を、選択したサイトのhttpsプロトコルにバインドします。左側の「接続」ペインで、ターゲット・マシンのノードを展開してドリルダウンし、「Default Web Site」ノードを選択します。
右側の「操作」ペインの「サイトの編集」セクションで、「バインド」をクリックします。
表示される「サイト バインド」ダイアログで、「追加」をクリックします。
表示される「サイト バインドの追加」ダイアログで、次の手順を実行します。
「種類」ドロップダウン・リストから、「https」を選択します。
「証明書」ドロップダウン・リストから、この手順で前にインストールした証明書を選択します。
残りの設定はデフォルトのままにします。
「OK」をクリックして「サイト バインドの追加」ダイアログを閉じます。
「閉じる」をクリックして「サイト バインド」ダイアログを閉じます。
Password Reset Webページを呼び出す場合にHTTP-over-SSL (HTTPS)プロトコルを使用するように、次の構成ファイルを更新する必要があります。
%PROGRAMFILES%\Passlogix\v-GO SSPR\EnrollmentClient\web.config
%PROGRAMFILES%\Passlogix\v-GO SSPR\ManagementClient\web.config
%PROGRAMFILES%\Passlogix\v-GO SSPR\ResetClient\web.config
\EnrollmentClient\web.configファイルを次の手順で変更します。
<appSettings>セクションを見つけます。
EnrollSvc.enrollmentキー値を次の手順で変更します。
httpをhttpsに変更します。
localhostを、X.509証明書のIssued Toの値に置き換えます。(この値は、この手順の前の部分で記録しました。)
(オプション)カスタム・ポートを使用してこのサービスに接続する場合、ホスト名の末尾にセミコロンで区切ったポート番号を追加します。
例: https://sssolabmem.ssolab.com:1880。
ファイルを保存して閉じます。
\ManagementClient\web.configファイルを次の手順で変更します。
<appSettings>セクションを見つけます。
AdminSvc.administrationキー値を次の手順で変更します。
httpをhttpsに変更します。
localhostを、X.509証明書のIssued Toの値に置き換えます。(この値は、この手順の前の部分で記録しました。)
(オプション)カスタム・ポートを使用してこのサービスに接続する場合、ホスト名の末尾にセミコロンで区切ったポート番号を追加します。
例: https://sssolabmem.ssolab.com:1880。
ファイルを保存して閉じます。
\ResetClient\web.configファイルを次の手順で変更します。
<appSettings>セクションを見つけます。
ResetSvc.PasswordResetキー値を次の手順で変更します。
httpをhttpsに変更します。
localhostを、X.509証明書のIssued Toの値に置き換えます。(この値は、この手順の前の部分で記録しました。)
(オプション)カスタム・ポートを使用してこのサービスに接続する場合、ホスト名の末尾にセミコロンで区切ったポート番号を追加します。
例: https://sssolabmem.ssolab.com:1880。
ファイルを保存して閉じます。
Microsoft IISマネージャを起動します(まだ起動していない場合)。
左側の「接続」ペインで、ターゲット・マシンのノードを展開してドリルダウンし、「サイト」→「Default Web Site」→「WebServices」ノードの順に選択します。
中央の「Default Web Site ホーム」ペインで、「IP アドレスおよびドメインの制限」アイコンをダブルクリックします。
右側の「操作」ペインで、「許可エントリの追加」をクリックします。
表示される「許可の制限規則の追加」ダイアログで、次の手順を実行します。
「特定の IP アドレス」ラジオ・ボタンを選択します。
ターゲット・マシンのIPv4またはIPv6アドレスを入力します。
「OK」をクリックして変更内容を保存し、ダイアログを閉じます。
Microsoft IISマネージャを起動します(まだ起動していない場合)。
左側の「接続」ペインで、ターゲット・マシンのノードを選択します。
ターゲット・マシンのノードをドリルダウンして、「サイト」→「Default Web Site」ノードを選択します。
中央の「Default Web Site ホーム」ペインで、「SSL 設定」アイコンをダブルクリックします。
中央ペインの「SSL 設定」画面で、「SSL が必要」チェック・ボックスを選択し、「クライアント証明書」オプションはデフォルト値のままにします。
右側の「操作」ペインで、「適用」をクリックして、変更内容を保存します。
Password Resetサーバー・マシン上のWebブラウザを直接使用して(このテストはリモート・マシンから実行しないでください)、新しいSSL対応のURLを使用して各Password Resetインタフェース・サービスにアクセスします(httpのかわりにhttpsプロトコル・ヘッダーを使用します)。URLは次のとおりです。
EnrollmentClient: https://<new_host_name>:<new_port>/vGOSelfServiceReset/ WebServices/Enrollment.asmx
ManagementClient: https://<new_host_name>:<new_port>/vGOSelfServiceReset/ WebServices/Administration.asmx
ResetClient: https://<new_host_name>:<new_port>/vGOSelfServiceReset/ WebServices/PasswordReset.asmx
いずれかのURLのロードに失敗した場合、または証明書エラーが表示された場合、仮想ディレクトリの権限や証明書のオプションなどの構成を確認し、必要に応じて修正してから再試行してください。
|
注意: Password Resetクライアントのインストーラは、次の機能を提供します。
|
Password Resetクライアント側ソフトウェアをインストールして構成するには、「Password Resetサーバー・コンポーネントのインストール」の説明に従ってPassword Resetサーバーの正常に動作するインストール環境が作成されていることを確認してください。
|
注意: Password Resetクライアントの自動(サイレント)インストールを実行するには、「コマンド行によるPassword Resetクライアント側ソフトウェアのインストール」を参照してください。 |
次に、「Logon Managerクライアント側ソフトウェアのインストール」の手順に従い、インストーラから求められたら次の手順を実行します。
「Typical」と「Advanced」インストールの選択を求められたら、「Advanced」を選択します。
「Advanced Setup」画面で、「Password Reset Client」をクリックし、「This feature, and all subfeatures, will be installed on local hard drive」を選択します。必要に応じて他のインストール・オプションを選択し、「Next」をクリックします。
「Setup Configuration Information」画面で、Password ResetサーバーのURLを入力します。終了したら「Next」をクリックします。
インストール・プロセスを、インストーラの指示および「Logon Managerクライアント側ソフトウェアのインストール」の説明に従って続行します。
初期インストール後に追加の言語パックをインストールするには、次の手順を実行します。
Windowsのコントロール・パネルで、「プログラムの追加と削除」を起動します。
「Logon Manager」を選択して、「変更」ボタンをクリックします。
インストール・ウィザード内を移動して、「変更」ボタンをクリックします。
インストールする追加の言語パックを選択します。
指示に従って再起動し、「プログラムの追加と削除」を再起動して追加の言語インストールを完了します。
別の言語のインストール後に元の言語パックに戻すには、次の手順を実行します。
「プログラムの追加と削除」を起動し、Logon Managerのインストールを変更して適切な言語パックを設定します。
インストールが終了したら指示に従って再起動します。
インストールを修復します。
|
注意: インストールは、変更の後に修復する必要があります。そのようにしないと、「GINA」ボタンが正常に動作しなくなります。 |
様々な言語パックをインストールするには、次に示すコマンド行スイッチを使用してPassword Resetをインストールする必要があり、そうしない場合、ローカライズされたオペレーティング・システムにGINAスタブが表示されません。目的の言語パックをインストールするには、ADDLOCALスイッチに続く文字列に言語名を追加します。
次に、ADDLOCALスイッチの最小限のコマンド行を示します。
msiexec /i "Location of .msi" ADDLOCAL=Gina,VersionTracker,English,CheckEnrollment.x86_only,Release_Only
次に、ドイツ語言語パックを追加するサイレント・インストール(/q)を行う場合のコマンド行の例を示します。
msiexec /i "Location of .msi" /q ADDLOCAL=Gina,vgo_sspr_client,English,German,CheckEnrollment.x86_only,Release_Only
| スイッチ | アクション |
|---|---|
|
|
インストール。 |
|
|
出力抑制インストール。 |
|
|
インストール・オプションをここに続ける(次のリストを参照) |
GINA:
Windows 7より前のすべてのオペレーティング・システムで必須です(Windows Vistaはサポート対象外です)。
Windows 7の場合は指定しないでください。
必須項目:
VersionTracker
CheckEnrollment.x86_only (32ビット・オペレーティング・システムのみ)
CheckEnrollment.x64_only (64ビット・オペレーティング・システムのみ)
Release_Only (32ビット・オペレーティング・システムのみ)
Release_Only.x64 (64ビット・オペレーティング・システムのみ)
Vista_Only (Windows 7 32ビットのみ)
Vista_Only.x64 (Windows 7 64ビットのみ)
インストール可能な言語パック(Englishは常にインストールされます): Brazilian Portuguese、Czech, Danish、Dutch、English、Finnish、French、German、Greek、Hungarian、Italian、Japanese、Korean、Norwegian、Polish、Portuguese、Romanian、Russian、Simplified Chinese、Slovak、Spanish、Swedish、Thai、Traditional Chinese、Turkish
|
注意: Microsoft Windows 7 32ビット・オペレーティング・システム上でクライアントを以前のバージョンからアップグレードする場合、次の手順を実行する前に以前のバージョンをアンインストールする必要があります。 |
Password Resetクライアントは、msiexecコマンドの次の構文を使用してインストールできます。
msiexec /q /i c:\ESSO-LM_installer.msi ADDLOCAL="component1,component2,component3" programURLs [REBOOT=ReallySuppress]
使用可能なコンポーネントの名前および機能については、次の表を参照してください。
msiexecのコマンド行スイッチのリストについては、http://msdn.microsoft.comにあるMicrosoft MSDNサイトを参照してください。
REBOOT=ReallySuppress: どのような状況でも再起動しないようにインストーラに指示します。
例:
次のコマンド行を使用して、ワークステーションを再起動せずにサイレント・インストールを実行できます。このコマンドでは、ユーザーのWindowsディレクトリがWindowsで、Logon Managerのインストーラ・ファイルがESSO-LM_installer.msiという名前であると仮定します。
msiexec /q /i "ESSO-LM 07.004_121.x64.msi" ADDLOCAL="InternetExplorer.x64,JavaHelper.x64,Mozilla,Chrome.x64,MainframeEmulators,PR_Components.x64,Provisioning,Authenticators,MSauth,AD_Sync,English_Pack" REG_CHECKENROLLURL="http://host/vgoselfservicereset/resetclient/
checkenrollment.aspx" REG_CHECKFORCEENROLLURL="http://host/vgoselfservicereset/
resetclient/checkforceenrollment.aspx" REG_ENROLLURL=" http://host/vgoselfservicereset/enrollmentclient/enrolluser.aspx" REG_RESETURL="http://host/vgoselfservicereset/resetclient/default.aspx" REG_CHECKSTATUSURL="http://host/vgoselfservicereset/resetclient/checkstatus.aspx" REBOOT=ReallySuppress
|
注意: 前述の例のとおり、インストーラの.msiへのフルパスを入力する必要があります。各REG_*="*.aspx"は、改行ではなく単一の空白で区切る必要があります。 |
| ProgramURL (必須) |
|---|
|
|
|
|
|
|
|
|
|
|
|
ここで、 |
Logon Managerをインストールせずにエンド・ユーザー・ワークステーションにPassword Resetのみをインストールするには、次のコマンドを使用します。
msiexec /i ""<lm_installer>.msi" TRANSFORMS="pr_client_only.mst"
必ずインストーラ・ファイルのフルパスおよび名前と、変換ファイルのフルパスを指定してください。
この項の手順を実行して、Password Resetクライアント・コンポーネントのインストールを完了します。
Password Resetクライアントは"ローカル・システム"アカウントで実行されますが、このアカウントでは、強化されたセキュリティ(より厳格な"信頼できるサイト"ゾーン構成)のため、デフォルトでWindows Server 2008/2012システムにパスワード・リセット・クイズは表示されません。この問題を回避するには、Password Resetサーバーの完全修飾ホスト名を、影響を受けるクライアント・システムの"信頼できるサイト"ゾーンに追加する必要があります。
たとえば、server.subdomain.domain.comを"信頼できるサイト"ゾーンに追加するには、次のレジストリ・キーを作成します。
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\domain.com\server.subdomain]
そのキーの下に、*という名前のDWORD値を作成して、2に設定します。
値の名前が*の場合、httpプロトコルとhttpsプロトコルの両方が許可され、値設定が2の場合、そのエントリは"信頼できるサイト"ゾーンのメンバーです。
|
注意: この機能は、Windows 7では使用不可です。Windows XPでのみ使用可能です。 aspnet_setreg.exeツールは、Microsoft社の次のWebサイトからダウンロードできます。 |
Password Resetクライアントでは、Local Systemアカウントのかわりに、指定したユーザー・アカウントでリセット・クライアントを実行できます。これによって、リセット・クライアントが、リソースに対する不必要なアクセス権を持つ可能性が排除されます。
この機能を有効にするには、次の手順を実行します。
コマンド・プロンプトを開いて、次のコマンドを入力します。
aspnet_setreg -k:software\passlogix\sspr\windowsinterface -u:domain\username -p:password
domain\usernameおよびpasswordを実際の値に置き換えます。
キーHKLM\Software\Passlogix\SSPR\WindowsInterface\ASPNET_SETREGが存在することを確認します。このキーには、2つの値(passwordおよびuserName)が存在する必要があります。
ASPNET_SETREGキーの名前をRestrictedUserに変更します。
リセット・クライアントは、構成したユーザーを使用して起動する必要があります。登録クライアントは、ログオンしたユーザーを使用して実行します。
この機能をテストするには、次の手順を実行します。
レジストリを開いてHKLM\Software\Passlogix\SSPR\WindowsInterfaceに移動します。
EnrollURLの値をコピーして、ResetURLにその値を設定します。
Password Resetサーバー上のEnrollmentClient Webアプリケーションの認証方式を、「Digest」から「Windows Authentication」に変更します。
|
注意: EnrollmentClient WebアプリケーションのIIS認証方式の変更は、このテスト目的でのみ必要となるため、テストが正常に完了したら、認証方式を「Digest」に戻す必要があります。 |
Password ResetサーバーのURLを、このマシンの「信頼済みサイト」ゾーンに手動で追加します。
Password Resetクライアントを起動します。指定されたユーザーをリストする「Enrollment」画面が表示されます。
Password Resetがユーザーを外部のリセット・ページにリダイレクトすることを示すポップアップを無効にできます。
このポップアップを無効にするために、Password Resetクライアントは、windowsinterface.exeを起動する前にHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings (値: WarnonZoneCrossing)という設定を作成し、リダイレクション後にそれをリストアします。
選択したウィンドウの一番上にPassword ResetのGINAボタンがバナーとして表示されるようにPassword Resetを構成できます。
このバナーを表示するウィンドウを指定するには、それらをHKLM\Software\Passlogix\SSPR\WindowsInterface\xx\GinaWindowsのリストに追加します。
ここで、xxは、現在インストールされているPassword Resetの言語パックの2文字の言語コードです。
このキー内で、バナーを表示するウィンドウ・タイトルごとにREG_SZ値を追加します。値の名前はWindowTitleXで、Xは1から始まる順序番号であり、値のデータはウィンドウ・タイトルです。次に例を示します。
WindowTitle1=Log On to Windows
WindowTitle2=Unlock Computer
|
注意: ウィンドウ・タイトルは、先頭または末尾の空白を含め、完全に一致している必要があります。 |
Password Resetサーバー・インストールが存在しない状態でPassword Resetクライアントを構成できます。
次の手順に従ってクライアント・マシンにPassword Resetをインストールします。
カスタム・リセットWebアプリケーションを指すようにResetURLの値を設定します。
成功レスポンスを返すリソースにStatusURLを設定します。これによって、Password Resetによるステータスの確認がバイパスされ、ResetURLのコンテンツの表示が強制されます。詳細は、次を参照してください。
StatusURL設定は、次のコンテンツを含む(HTMLファイルなどの)リソースを指す必要があります。
<HTML>
<HEAD>
<TITLE>CHECKSTATUS</TITLE>
</HEAD>
<BODY>
GOOD SSPR STATUS
</BODY>
</HTML>
