4 「System」メニューの使用

この章では、OKM Manager を使用して KMA に接続するための詳細な手順について説明します。また、「System」メニューのその他のオプションを使用する手順についても説明します。

クラスタへの接続

重要 – KMA に接続する前に、少なくとも 1 つのクラスタプロファイルが存在する必要があり、さらに KMA 上でユーザーが作成され、有効になっている必要があります。

このセクションでは、OKM Manager を使用して KMA に接続するための手順について説明します。はじめて KMA に接続する場合は、最初にクラスタプロファイルを定義する必要があります。それ以降は、作成したクラスタプロファイルを使用して KMA に接続できます。OKM Manager は、クラスタプロファイル情報を使用して、クラスタ (KMA IP アドレス) との通信を開始します。

クラスタプロファイルの作成

クラスタプロファイルを作成するには:

  1. 「System」メニューから「Connect」を選択するかまたは、ツールバーの「Connect」ボタンをクリックします。「Connect to Cluster」ダイアログボックスが表示されます。既存のプロファイルが存在する場合は、クラスタプロファイルの名前と IP アドレスがそれぞれ、「Cluster Name」フィールドと「IP Address」フィールドに表示されます。

    connect_to_cluster.jpgについては周囲の文で説明しています。

  2. New Cluster Profile」ボタンをクリックします。「Create Cluster Profile」ダイアログボックスが表示されます。

    new_cluster.jpgについては周囲の文で説明しています。

  3. 次のパラメータを設定します。

    Cluster Name

    クラスタプロファイル名を一意に識別する値を入力します。

    Initial IP Address or Host Name

    接続先となる、このクラスタ内の最初の KMA のサービスネットワーク IP アドレスまたはホスト名を入力します。接続先のネットワークの選択は、OKM Manager が実行されているコンピュータシステムの接続先のネットワークによって決まります。

    注:

    クラスタプロファイルは、クラスタ全体を対象としており、エージェントのすべてのユーザーがこれを使用できるため、1 つ作成するだけで済みます。別のクラスタプロファイルの作成が必要になるのは、2 番目のクラスタを確立したい場合か、または現在のクラスタ内のすべての KMA の IP アドレスを変更した場合のみです。

  4. OK」ボタンをクリックします。「Connect to Cluster」ダイアログボックスが表示され、作成したクラスタプロファイルの情報が示されます。

    connect_to_cluster_so.jpgについては周囲の文で説明しています。

  5. 次のパラメータを入力し、「Connect」ボタンをクリックします。

    User ID

    指定された KMA に接続するユーザーの名前を入力するか、または最初の QuickStart 処理を実行したあとにはじめて KMA に接続する場合は、QuickStart の処理中に作成されたセキュリティー責任者の名前を入力します。

    Passphrase

    選択したユーザーのパスフレーズを入力します。

    Cluster Name

    接続先のクラスタを選択します。

    Member KMA

    このクラスタ内の接続先となる KMA を選択します。

    IP Preference

    必要なインターネットプロトコルバージョンを、「IPv4 only」、「IPv6 only」、または「IPv6 preferred」から選択します。

    クラスタに接続したあとで KMA がそのクラスタに参加した場合、その KMA は「Member KMA」リストに表示されません。このリストを更新するには、ユーザー名とパスフレーズを入力し、クラスタプロファイルを選択して、「Refresh KMAs」ボタンをクリックします。

    重要 – KMA はユーザー ID とパスフレーズを認証します。返される KMA IP アドレスのリストは、クラスタプロファイルを生成するために使用され、ホスト上に格納されます。次回 KMA に接続するときに、ユーザー名とパスフレーズを入力し、クラスタプロファイルを選択して、KMA を選択できます。

  6. 接続が成功した場合は、OKM Manager GUI のステータスバーにユーザー名と別名、KMA の接続ステータス (「Connected」)、KMA の IP アドレスが表示されます。

    connection_status1.jpgについては周囲の文で説明しています。

  7. これで、OKM Manager を使用してさまざまな操作を実行できるようになりました。さまざまなユーザーの役割が実行できる操作については、章 5から章 9を参照してください。

    注:

    KMA 管理操作のツリーペインに表示されるタスクは、役割の割り当てによって異なります。

クラスタプロファイルの削除

クラスタプロファイルを削除するには:

  1. 「Connect to Cluster」ダイアログボックスから、「Cluster Name」フィールドの横にある下矢印ボタンをクリックし、削除するクラスタプロファイルを強調表示して、「Delete Cluster Profile」ボタンをクリックします。「Delete Cluster Profile」ダイアログボックスが表示され、選択したクラスタプロファイルの削除の確認が求められます。

    aysdeleteclusterprofile.jpgについては周囲の文で説明しています。

  2. Yes」ボタンをクリックして、プロファイルを削除します。クラスタプロファイルが削除され、「Connect to Cluster」ダイアログボックスに戻ります。

KMA からの切断

KMA から切断するには:

「System」メニューから「Disconnect」を選択するか、またはツールバーの「Disconnect」をクリックします。KMA と OKM クラスタからただちに切断されます。セッション監査ログペインに、KMA から切断した日時が表示されます。

パスフレーズの変更

注:

このメニューオプションは、プロファイルを使用して KMA に接続されている場合にのみ有効になります。

この機能を使用すると、ユーザーは自分のパスフレーズを変更できます。この機能によって、ユーザーの現在の証明書が無効になることはありません。

接続されているユーザーのパスフレーズを変更するには:

  1. 「System」メニューから「Change passphrase...」を選択します。「Change Passphrase」ダイアログボックスが表示されます。

    change_passphrase.jpgについては周囲の文で説明しています。

  2. 次のパラメータを入力し、「OK」ボタンをクリックします。

    Old Passphrase

    ユーザーの古いパスフレーズを入力します。

    New Passphrase

    ユーザーの新しいパスフレーズを入力します。

    Confirm New Passphrase

    同じパスフレーズを再入力します。

  3. セッション監査ログペインに、ユーザーのパスフレーズを変更した日時を示す次のメッセージが表示されます。

証明書の保存

この機能を使用すると、OKM コマンド行ユーティリティーで使用できる証明書をエクスポートできます ("OKM コマンド行ユーティリティー"を参照)。

ルート CA 証明書は PEM 形式で保存された公開証明書であり、PEM ファイルとしてコマンド行インタフェース (CLI) 操作に使用できます。

クライアント証明書は、PEM 形式または PKCS#12 形式のどちらかで保存できます。PEM 形式には、証明書と暗号化されていない非公開鍵が含まれています。この形式で保存されたクライアント証明書は、PEM ファイルとして CLI 操作に使用できます。

PKCS#12 形式は暗号化されています。この形式で保存されたクライアント証明書は、CLI 操作に使用される前に PEM 形式に変換する必要があります ("PKCS#12 形式から PEM 形式への変換"を参照)。クライアント証明書を PKCS#12 形式で保存するには、暗号化に使用するパスワードが必要です。このパスワードには、少なくとも 8 文字が含まれている必要があります。

注:

これらの証明書ファイルは、ほかのユーザーからのアクセスを制限するのに十分なアクセス権を使用して、セキュアな場所に格納するようにしてください。クライアント証明書を PKCS#12 形式で保存する場合は、パスワードを保持する必要があります。

証明書を保存するには:

  1. 「System」メニューから「Save Certificates」を選択します。

    save_certs1.jpgについては周囲の文で説明しています。

    注:

    「Save Certificates」メニューオプションは、ユーザーが KMA に接続されている場合にのみ有効になります。

    「Save Certificates」ダイアログが表示され、ルート CA 証明書とクライアント証明書の自動的に生成されたファイル名が示されます。

    save_certs2.jpgについては周囲の文で説明しています。

    これらのファイル名を直接編集するか、または「Browse」をクリックして別の宛先パスを選択したり、ファイル名を編集したりすることができます。

  2. 「Format」フィールドで、クライアント証明書がエクスポートされるときの形式を選択します。

  3. PKCS#12 形式を選択した場合は、「Passphrase」フィールドにパスフレーズを入力し、「Confirm Passphrase」フィールドにこのパスフレーズを再入力します。

  4. 「OK」をクリックして、これらの証明書をエクスポートします。これらの証明書がエクスポートされると、これらのファイルの場所を示すメッセージが表示されます。

  5. このダイアログを閉じて前の画面に戻るには、「Cancel」をクリックします。

PKCS#12 形式から PEM 形式への変換

クライアント証明書を PKCS#12 形式で保存した場合は、OKM コマンド行ユーティリティーで使用する前に、その証明書を PEM 形式に変換する必要があります。変換するには、openssl ユーティリティーを使用します。

openssl ユーティリティーは、OKM Manager GUI と OKM コマンド行ユーティリティーがインストールされたディレクトリの下の OpenSSL ディレクトリにあります。

その構文は次のとおりです。

openssl pkcs12 -in PKCS12file -out PEMfile -nodes

例:

openssl pkcs12 -in KeyTransferOperator.p12 \
-out KeyTransferOperator.pem -nodes
Enter Import Password:

-nodes 引数は、非公開鍵のエクスポートに必要です。非公開鍵はパスワードで保護されていないため、このファイルは適切に管理するようにしてください。

注:

Import Password は必要に応じて -passin パラメータを使用してコマンド行でオプションとして指定できます。

構成設定値の指定

構成設定値を指定するには:

  1. 「System」メニューから「Options...」を選択します。「Options」ダイアログボックスが表示され、現在の構成設定値が示されます。

    注:

    選択されたオプションは、ほかのプラットフォームのために Windows レジストリまたは「~/.KMS Manager」(~ はユーザーのホームディレクトリ) に格納されます。これらの値の Windows レジストリキーは、「My Computer\HKEY_CURRENT_USER\Software\Sun Microsystems\KMS Manager」です。
    options_dialog1.jpgについては周囲の文で説明しています。

  2. 必要に応じて次のパラメータを変更し、「Save」ボタンをクリックします。

    Communication Timeout

    接続されている KMA との通信のタイムアウト期間 (秒単位) を入力します。KMA がこのタイムアウト値以内に応答しない場合は、OKM Manager によって通信が切断されます。最小値は 1、最大値は 60 です。デフォルトは 15 です。

    comm_timeout.jpgについては周囲の文で説明しています。

Query Page Size

画面、ダイアログ、または項目リストを表示するダイアログのタブに表示される、項目の最大数を入力します。ページングを使用すると、項目数がこの制限よりも多いリストを表示できます。最小値は 1、最大値は 1000 です。デフォルトは 20 です。

Display Dates in Local Time Zone

このチェックボックスは、すべての日付と時間を UTC ではなく、ローカルマシンの (つまり、OKM Manager が実行されている) タイムゾーンで表示する場合に選択します。デフォルトで選択されています。次の確認メッセージが表示されます。

Display Tool Tips on List Panels

このチェックボックスは、カーソルを項目の上に置いたときにツールチップが表示されるようにする場合に選択します。これはデフォルトです。

Zone ID

KMA が IPv6 アドレスを持つように構成されており、IPv6 リンクローカルアドレス (つまり、「fe80」で始まる IPv6 アドレス) を使用してそれらの KMA のいずれかに接続する場合は、そのリンクローカルアドレスに接続するときに使用するゾーン ID を選択します。

詳細については、"ゾーン ID を含む IPv6 アドレス"を参照してください。

ゾーン ID を含む IPv6 アドレス

Windows システムユーザーの場合は、OKM Manager GUI や、バックアップおよび OKM コマンド行ユーティリティー ("コマンド行ユーティリティー"を参照) を使用してリンクローカル IPv6 アドレスを入力できます。ただし、最初にある程度の初期設定を実行する必要があります。

注:

リンクローカルアドレス (つまり、「fe80」で始まる IPv6 アドレス) を指定する場合は常に、ゾーン ID を入力する必要があります。ゾーン ID は、IPv6 アドレスの最後にパーセント記号 (%) に続けてその ID を追加することによって指定できます。

  1. コマンドプロンプトウィンドウを表示し、Windows システム上でどのゾーン ID が使用可能かを確認します。

    netsh interface ipv6 show interface

    ゾーン ID は、このコマンドの出力にある「Idx」列に表示されます。「Connected」の状態を示すエントリを探します。

  2. ping コマンドを使用して、これらのゾーン ID のいずれかを使用したネットワーク接続を確認します。例:

    ping fe80::216:36ff:fed5:fba2%4

  3. OKM Manager GUI で「Connect」ダイアログを表示する前に、「Options」ダイアログを表示し、適切なゾーン ID を選択します。

    options_bo1.jpgについては周囲の文で説明しています。

  4. Save」ボタンをクリックします。

OKM Manager の終了

OKM Manager を終了するには:

  1. 「System」メニューから「Exit」を選択するかまたは、タイトルバーの「X」ボタンをクリックします。OKM Manager が終了し、Windows のデスクトップに戻ります。

  2. OKM Manager が接続されている場合は、ただちに切断されて終了します。