| Oracle Identity Manager UNIX SSH Connectorガイド リリース9.0.3 E05131-01 |
|
 戻る |
 次へ |
コネクタのデプロイには次の手順があります。
UNIX SSHの複数のインストールに対するコネクタを構成する場合は、次の手順を実行します。
次の表に、コネクタのデプロイ要件を示します。
| 項目 | 要件 |
|---|---|
| Oracle Identity Manager | Oracle Identity Managerリリース8.5.3以降。 |
| ターゲット・システム | ターゲット・システムは次のいずれか。
|
| 外部コード | JSCAPE SSH/SSHライブラリ(SSHファクトリ)。 |
| その他のシステム | OpenSSH、OpenSSL、オペレーティング・システム・パッチ(HP-UX)およびSUDOソフトウェア(SUDO Adminモードが必要な場合のみ)。 |
| ターゲット・システムのユーザー・アカウント | rootまたはsudoユーザー。
「ITリソースの定義」の項の手順を実行する際に、このユーザー・アカウントの資格証明を指定します。 |
ターゲット・システムでサポートされている文字エンコーディング(en_US) |
ターゲット・システムで、UTF-8およびiso8859などのen_US文字エンコーディングの標準がサポートされている必要があります。
ターゲット・システムでサポートされている locale -a 注意: ターゲット・システムで |
様々なオペレーティング・システムのサポートされているシェル・タイプを次の表に示します。
| Solaris | HP-UX | Linux | AIX |
|---|---|---|---|
sh |
csh |
ksh |
csh |
csh |
ksh |
bash |
ksh |
| - | sh |
sh |
sh |
| - | - | csh |
- |
ターゲット・システムの構成には、次の項で説明されている手順があります。
この項では、次のプラットフォームでターゲット・システムを構成する手順を説明します。
SolarisおよびLinux環境では、次の手順を実行します。
UNIXサーバーで/etc/passwdおよび/etc/shadowファイルが使用可能であることを確認します。
次のようなコマンドを使用して、ターゲット・サーバーにpasswdミラー・ファイルが作成されていることを確認します。
cp /etc/passwd /etc/passwd1
リコンシリエーション・スケジュール済タスクのPasswd Mirror File/User Mirror File属性に、パス付きで同じファイル名を挿入する必要があります。
次のようなコマンドを使用して、ターゲット・サーバーにshadowミラー・ファイルが作成されていることを確認します。
cp /etc/shadow /etc/shadow1
リコンシリエーション・スケジュール済タスクのShadow Mirror File属性に、このファイルの名前とパスを指定する必要があります。
AIX環境では、次の手順を実行します。
サーバーで/etc/passwdおよび/etc/security/userファイルが使用可能であることを確認します。
次のようなコマンドを使用して、サーバーにuserミラー・ファイルが作成されていることを確認します。
lsuser -c -a id pgrp gecos home shell expires maxage ALL |
tr '#' ' ' > /etc/mainUserFile1
リコンシリエーション・スケジュール済タスクのPasswd Mirror File/User Mirror File (AIX)属性に、このファイルの名前とパスを指定する必要があります。
HP-UX環境では、次の手順を実行します。
rootとしてログインし、次のコマンドを実行します。
「Auditing and Security」および「System Security Policies」を選択します。信頼できるモードに切り替えるかどうかを確認するメッセージが表示されます。
「OK」をクリックします。
次のメッセージが表示された場合には、次の手順をスキップします。
System changed successfully to trusted system
ターゲット・サーバーで/etc/passwdおよび/etc/shadowディレクトリが使用可能であることを確認します。
shadowファイルが存在しない場合には、次のサイトのインストール手順に従います。
http://docs.hp.com/en/5991-0909/index.html
すべてのパッチはHP社のパッチ・データベースで入手できます。次のサイトからダウンロード可能です。
この項では、外部ソフトウェアをインストールする手順を説明します。
Solaris 9またはHP-UXにOpenSSHをインストールするには、次の手順に従います。
Solaris 8の場合
SolarisサーバーにSSHがインストールされていない場合には、適切なOpenSSHをインストールします。Solaris 8では、この項に記載されているパッケージを次のサイトからダウンロードできます。
http://www.sunfreeware.com/openssh8.html
GCCコンパイラがインストールされていない場合には、次のファイルのパッケージをインストールする必要があります。
libgcc-3.3-sol8-sparc-local.gz
このファイルには、次のパッケージが含まれています。これらのパッケージは、指定された順序でインストールする必要があります。
prngd-0.9.25-sol8-sparc-local.gz(オプション)
tcp_wrappers-7.6-sol8-sparc-local.gz(オプションではあるが推奨)
zlib-1.2.1-sol8-sparc-local.gz
openssl-0.9.7g-sol8-sparc-local.gz
openssh-4.1p1-sol8-sparc-local.gz
sshdという名前で、グループIDが27のグループを作成します。このグループにsshadminという名前のユーザーを追加します。
rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。
PermitRootLogin yes
|
注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
Solaris 9の場合
SolarisサーバーにSSHがインストールされていない場合には、適切なOpenSSHをインストールします。Solaris 9では、この項に記載されているパッケージを次のサイトからダウンロードできます。
|
注意: GCCコンパイラがインストールされていない場合には、次のパッケージをインストールします。
|
これらのパッケージは、次の順序でインストールする必要があります。
prngd-0.9.25-sol9-sparc-local.gz
tcp_wrappers-7.6-sol9-sparc-local.gz
zlib-1.2.1-sol9-sparc-local.gz
openssl-0.9.7d-sol9-sparc-local.gz
openssh-3.9p1-sol9-sparc-local.gz
sshdという名前で、グループIDが27のグループを作成します。このグループにsshadminという名前のユーザーを追加します。
rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。
PermitRootLogin yes
|
注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
Solaris 10の場合
Solaris 10には、デフォルトでOpenSSHがインストールされています。インストールされていない場合には、オペレーティング・システムのインストールCDからOpenSSHサーバーをインストールします。Solaris 10でSSHを有効化するには、/etc/ssh/ssh_configファイルに次の変更を行います。
Host *の行からコメント文字を削除します。
rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。
PermitRootLogin yes
|
注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
HP-UXの場合
UNIXサーバーにSSHがインストールされていない場合には、適切なOpenSSHをインストールします。
HP-UX 11.11の場合、次のサイトから適切なパッチをダウンロードしてインストールします。
HP-UX B.11.11の場合は、hpux_800_11.11_11300132-patch.tgz用のファイルPHCO_33711.depotをダウンロードします。インストールするには、次のコマンドを使用します。
swinstall -x autoreboot=true -x patch_match_target=true -s /tmp/PHCO_33711.depot
OpenSSHをダウンロードしてインストールします。T1471AA_A.03.81.002_HP-UX_B.11.11_32+64.depotファイルは、次のサイトからダウンロードできます。
http://software.hp.com/portal/swdepot/displayProductInfo.do?productNumber=T1471AA
パッチを正常にインストールしたら、次のコマンドを使用してOpenSSHをインストールします。
swinstall -s /tmp/T1471AA_A.03.81.002_HP-UX_B.11.11_32+64.depot
インストール後、HP-UX Secure Shellデーモン(sshd)が自動的に事前構成および起動されます。
sshdという名前でグループを作成します。
このグループにsshadminという名前のユーザーを追加します。
rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。
PermitRootLogin yes
|
注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
Linuxの場合
Red Hat Advanced Server 2.1およびRed Hat Enterprise Linux 3には、デフォルトでOpenSSHがインストールされています。インストールされていない場合には、オペレーティング・システムのインストールCDからOpenSSHサーバーをインストールします。
AIXの場合
AIX 5.2サーバーにSSHがインストールされていない場合には、次の手順を実行します。
OpenSSLをダウンロードしてインストールします。
次のサイトから、openssl-0.9.7d-aix5.1.ppc.rpmファイルをダウンロードします。
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
次のコマンドを入力してOpenSSLをインストールします。
geninstall -d /root/download R: openssl-0.9.7d-2.aix5.1.ppc.rpm
このコマンドで、/root/downloadはopenssl-0.9.7d-2.aix5.1.ppc.rpmファイルが格納されているAIXサーバーの場所です。
PRNGをダウンロードしてインストールします。
次のサイトから、prngd-0.9.23-3.aix4.3.ppc.rpmファイルをダウンロードします。
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
次のコマンドを入力してPRNGをインストールします。
geninstall -d /root/download R: prngd-0.9.23-3.aix4.3.ppc.rpm
このコマンドで、/root/downloadはprngd-0.9.23-3.aix4.3.ppc.rpmファイルが格納されているAIXサーバーの場所です。
OpenSSHをダウンロードしてインストールします。
次のサイトから、openssh-3.8.1p1_52.tar.gzファイルをダウンロードします。
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
次のコマンドを入力してOpenSSHをインストールします。
gunzip /root/download/openssh-3.8.1p1_52.tar.gz tar -xvf /root/download/openssh-3.8.1p1_52.tar geninstall -I"Y" -d /root/download I:openssh.base
これらのコマンドで、/root/downloadはopenssh-3.8.1p1_52.tar.gzファイルが格納されているAIXサーバーの場所です。
rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。
PermitRootLogin yes
|
注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
SSHコネクタをSUDO Adminモードで使用する場合は、次の手順を実行してSUDOをインストールおよび構成します。
Solarisの場合
SolarisサーバーにSUDOがインストールされていない場合には、まずダウンロードします。
Solaris 9の場合には、sudo-1.6.8p4-sol9-sparc-local.gzファイルを次のサイトからダウンロードします。
Solaris 10の場合には、sudo-1.6.8p9-sol9-sparc-local.gzファイルを次のサイトからダウンロードします。
Solaris 8の場合には、sudo-1.6.8p9-sol8-sparc-local.gzファイルを次のサイトからダウンロードします。
SUDOをインストールするには、次のコマンドを使用します。
pkgadd -d filename_with_full_path
Solarisサーバーでsudoersファイルを編集し、要件に応じてカスタマイズします。このファイルは次のディレクトリにあります。
/usr/local/etc/
たとえば、Solarisサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次のような行が含まれている必要があります。
%mqm ALL= (ALL) ALL
これはサンプル構成です。グループの一部のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集する必要があります。
このコネクタでは次のコマンドが使用されます。
useradd
usermod
passwd
cat
diff
このため、SUDOユーザーにはこれらのコマンドを実行する権限が必要です。
|
注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。
|
同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=0
これは、このコネクタが正常に機能するための前提条件です。
rootとしてSolarisコンピュータにログインし、次のコマンドを入力します。
chmod 440 /usr/local/etc/sudoers chgrp root /usr/local/etc/sudoers chmod 4111 /usr/local/bin/sudo
SUDOユーザーを作成します。SUDOユーザーは、sudoersファイルに指定されている制約に基づいて作成する必要があります。
SUDOユーザーは、次のようなコマンドを使用して、必ずホーム・ディレクトリとともに作成する必要があります。
useradd -g group_name -d /export/home/directory_name -m user_name
SUDOユーザーのホーム・ディレクトリに作成されるSUDOユーザーの.profileファイルに、次の行を追加してPATH環境変数の値を設定します。
PATH=/usr/sbin:/usr/local/bin:/usr/local/etc:/var/adm/sw/products:$PATH export PATH
HP-UXの場合
HP-UXサーバーにSUDOがインストールされていない場合には、適切なSUDOをインストールします。HP-UXの場合には、sudo-1.6.8p6-sd-11.11.depot.gzファイルを次のサイトからダウンロードします。
SUDOをインストールするには、次のコマンドを入力します。
swinstall -s filename_with_full_path
sudoersファイルを編集し、要件に応じてカスタマイズします。このファイルは次のディレクトリにあります。
OIM_home/Xellerate/XLIntegrations/SSH/config/
たとえば、HP-UXサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。
%mqm ALL= (ALL) ALL
これはサンプル構成です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集します。
このコネクタでは次のコマンドが使用されます。
useradd
usermod
passwd
cat
diff
このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。
|
注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。
|
同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=0
これは、このコネクタが正常に機能するために必要な前提条件です。
編集したsudoersファイルを、ターゲット・システムの/etcディレクトリにコピーします。ファイルをコピーしたら、次のコマンドを入力します。
dos2ux /etc/sudoers > /etc/sudoers1
その後、ファイルの名前をsudoers1からsudoersに変更します。
rootとしてログインし、HP-UXコンピュータで次のコマンドを入力します。
chmod 440 /etc/sudoers chgrp root /etc/sudoers chmod 4111 /usr/local/bin/sudo
SUDOユーザーを作成します。SUDOユーザーは、sudoersファイルに指定されている制約に基づいて作成する必要があります。
SUDOユーザーは、次のようなコマンドを使用して、必ずホーム・ディレクトリとともに作成する必要があります。
useradd -g group_name -d /home/directory_name -m user_name
また、ホーム・ディレクトリに作成される.profileファイルに、次の行を追加して適切なPATHを設定します。
PATH=/usr/sbin:/usr/local/bin:/usr/local/etc:/var/adm/sw/products:$PATH export PATH
AIXの場合
AIX 5.2にSUDOがインストールされていない場合には、適切なSUDO AIX 5.2バージョンのsudo-1.6.7p5-2.aix5.1.ppc.rpmファイルを次のサイトからインストールします。
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
AIX 5.2サーバーにRPM Package Managerがインストールされていない場合には、次のサイトからインストールします。
http://www-1.ibm.com/servers/aix/products/aixos/linux/altlic.html
SUDOをインストールするには、次のコマンドを入力します。
rpm -I /root/download/sudo-1.6.7p5-2.aix5.1.ppc.rpm
このコマンドで、/root/downloadはsudo-1.6.7p5-2.aix5.1.ppc.rpmファイルが格納されているAIXサーバーの場所です。
AIXサーバーの/etcディレクトリにあるsudoersファイルを編集し、要件に応じてファイルをカスタマイズします。
たとえば、AIXサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。
%mqm ALL= (ALL) ALL
これはサンプル構成です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集します。
このコネクタでは次のコマンドが使用されます。
mkuser
chuser
passwd
cat
diff
usermod
このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。
|
注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。
|
システムを構成するために同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=0
これは、このコネクタが正常に機能するための前提条件です。
SUDOユーザーを作成します。SUDOユーザーは、sudoersファイルに指定されている制約に基づいて作成する必要があります。
Red Hat Advanced Server 2.1の場合
Red Hat Advanced Server 2.1サーバーにSUDOがインストールされていない場合には、適切なSUDOをインストールします。これを実行するには、まずsudo-1.6.7p5-1.i686.rpmファイルを次のサイトからダウンロードします。
http://rpmfind.net/linux/rpm2html/search.php?query=sudo&submit=Search
次のコマンドを入力してSUDOをインストールします。
rpm -i /root/download/sudo-1.6.7p5-1.i686.rpm
このコマンドで、/root/downloadはsudo-1.6.7p5-1.i686.rpmファイルが格納されているLinuxサーバーの場所です。
visudoコマンドを使用し、要件に応じて/etc/sudoersファイルを編集およびカスタマイズします。
|
注意: visudoコマンドを使用してsudoersファイルを編集できない場合は、次を実行します。
|
たとえば、Linuxサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。
mqm ALL= (ALL) ALL
これはサンプル構成の例です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集します。
このコネクタで使用されるコマンドは次のとおりです。
useradd
usermod
passwd
cat
diff
このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。
|
注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。
|
システムを構成するために同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=0
これは、このコネクタが正常に機能するための前提条件です。
次のようにしてSUDOユーザーを作成します。
次のコマンドを入力します。
useradd -g group_name -d /home/directory_name -m user_name
コマンドの説明は次のとおりです。
- group_nameは、/etc/sudoersファイルにエントリのあるSUDOユーザー・グループです。
- directory_nameは、ユーザーのデフォルトのディレクトリを作成するディレクトリの名前です。
/home/directory_nameディレクトリに作成される.bash_profileファイルに、次の行を追加してPATH環境変数を設定します。
PATH=/usr/sbin:$PATH export PATH
Red Hat Enterprise Linux 3.xおよびRed Hat Linux 4.xの場合
Red Hat Enterprise Linux 3.xまたは4.xサーバーにSUDOがインストールされていない場合には、適切なSUDOをインストールします。Linux Advanced Server 3.0および4.1の場合には、sudo-1.6.7p5-1.i686.rpmファイルを次のサイトからダウンロードします。
http://rpmfind.net/linux/rpm2html/search.php?query=sudo&submit=Search
次のコマンドを入力してSUDOをインストールします。
rpm -i /root/download/sudo-1.6.7p5-1.i686.rpm
このコマンドで、/root/downloadはsudo-1.6.7p5-1.i686.rpmファイルが格納されているLinuxサーバーの場所です。
visudoコマンドを使用し、要件に応じて/etc/sudoersファイルを編集およびカスタマイズします。
|
注意: visudoコマンドを使用してsudoersファイルを編集できない場合は、次を実行します。
|
たとえば、Linuxサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。
%mqm ALL= (ALL) ALL
これはサンプル構成です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集する必要があります。
このコネクタでは次のコマンドが使用されます。
useradd
usermod
passwd
cat
diff
このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。
|
注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。
|
システムを構成するために同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=0
これは、このコネクタが正常に機能するための前提条件です。
次のようにしてSUDOユーザーを作成します。
次のコマンドを入力します。
useradd -g group_name -d /home/directory_name -m user_name
コマンドの説明は次のとおりです。
- group_nameは、/etc/sudoersファイルにエントリのあるSUDOユーザー・グループです。
- directory_nameは、ユーザーのデフォルトのディレクトリを作成するディレクトリの名前です。
/home/directory_nameディレクトリに作成される.bash_profileファイルに、次の行を追加してPATH環境変数を設定します。
PATH=/usr/sbin:$PATH export PATH
ここでは次の項目について説明します。
公開鍵認証を構成するには、次のようにします。
SSH/scripts/privateKeyGen.shをサーバーの任意のディレクトリにコピーします。
このスクリプト・ファイルをテキスト・エディタで開き、作業ディレクトリのパスをこのファイルに指定されているデフォルト以外の値に指定します。
必要な場合には、次のコマンドを入力します。
SolarisまたはLinuxの場合:
dos2unix privateKeyGen.sh privateKeyGen.sh
HP-UXの場合:
dos2ux privateKeyGen.sh
UNIXサーバーでprivateKeyGen.shスクリプトを実行します。要求される場合には、安全なパスフレーズを指定します。
これらのコマンドが実行されると、$HOME/.sshディレクトリに次のファイルが作成されます。
id_rsa: これは公開鍵ファイルです。
authorized_keys: このファイルには、ログインに使用できる公開鍵がリストされています。
鍵が正常に生成されたら、公開鍵認証用のsshd_configファイルを編集し、ログインをテストします。
ログインを正常にテストしたら、id_rsaファイルを次のディレクトリにコピーします。
OIM_home/Xellerate/XLIntegrations/SSH/Config
|
注意: このリリースのコネクタは、RSAキーに対してのみテストおよび認証され、DSAに対しては行われていません。また、このコネクタがテストおよび認証されるのは単一のキー構成に対してのみで、複数のキーに対しては行われません。 |
SSH公開鍵認証を構成するには、次のようにします。
Solarisの場合
/etc/ssh/sshd_configファイルに次のパラメータを設定します。
PubKeyAuthorization yes PasswordAuthentication no PermitRootLogin yes
|
注意: ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLoginの値をyesに変更してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
SSHサーバーを再起動するには、次のコマンドを入力します。
/etc/init.d/sshd stop
/etc/init.d/sshd start
ログインをテストするには、次のようにします。
ssh -i /.ssh/id_rsa -l root server_IP_address
このコマンドにより、接続の設定前にパスキーを要求されます。
HP-UXの場合
/etc/ssh/sshd_configファイルの次の行を非コメント化します。
PermitRootLogin yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys
|
注意: ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLoginの値をyesに変更してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
SSHサーバーを再起動するには、次のコマンドを入力します。
/opt/ssh/sbin/sshd
ログインをテストするには、次のコマンドを入力します。
ssh -i /.ssh/id_rsa -l root server_IP_address
必要な場合には、パスキーを入力してサーバーに接続します。
Linuxの場合
UNIXサーバーのプロンプトに次のコマンドを入力します。
mkdir /.ssh chmod 700 /.ssh ssh-keygen -q -f /.ssh/id_rsa -t rsa chmod 700 /.ssh/*
これらのコマンドを入力すると、パスフレーズの入力を要求されます。パスフレーズを使用しない場合には、[Enter]を押します。
/etc/ssh/sshd_configファイルに次の行を追加します。
AuthorizedKeysFile /.ssh/id_rsa.pub
次のコマンドを入力してUNIXサーバーを再起動します。
/etc/init.d/sshd stop /etc/init.d/sshd start
SSHプロトコルを使用してターゲット・システムに接続できるかどうかを確認するには、パスワードを使用せずにコマンド・プロンプトから直接、次のコマンドを入力します。
#ssh -l root -i /.ssh/id_rsa host_ip_address
/.ssh/id_rsaファイルを次のディレクトリにコピーします。
OIM_home/xellerate/XLIntegrations/SSH/config
「ITリソースの定義」の項で説明されている手順を実行したら、id_rsaファイルの名前およびフルパスをPrivate Keyパラメータの値として指定します。
OIM_home/xellerate/XLIntegrations/SSH/config/id_rsa
AIXの場合
この手順の最初のステップは、使用しているAIXのバージョンによって異なります。
AIX 4.3の場合は、/etc/openssh/sshd_configファイルを使用して次のパラメータを設定します。
export PATH=$PATH: /usr/local/bin Installation path: /etc/openssh/ sshd -- /usr/local/bin/
AIX 5.2の場合は、/etc/ssh/sshd_configファイルを使用して次のパラメータを設定します。
export PATH=$PATH: /usr/sbin Installation path: /etc/ssh/ sshd -- /usr/sbin/
/etc/ssh/sshd_configファイルを開いて、次の行を非コメント化します。
AuthorizedKeysFile .ssh/authorized_keys PermitRootLogin yes PubkeyAuthentication yes
|
注意: ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLoginの値をyesに変更してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
SSHサーバーを再起動するには、次のコマンドを入力します。
/opt/ssh/sbin/sshd(AIX 4.3の場合)
/usr/sbin/sshd(AIX 5.2の場合)
ログインをテストするには、次のコマンドを入力します。
ssh -i /.ssh/id_rsa -l root server_IP_address
必要な場合には、パスキーを入力してサーバーに接続します。
|
注意: SUDO Adminモードで実装された場合には、このリリースのコネクタでは、公開鍵認証のプロビジョニングはサポートされません。システム・アクセスに使用される公開鍵認証を使用できるのは、rootユーザーです。この問題については、第4章の既知の問題リストでも説明しています。 |
次の表に、コピーするコネクタ・ファイルおよびそれらのコピー先のディレクトリを示します。
|
注意: この表の1列目のディレクトリ・パスは、インストール・メディアの次に示すディレクトリ内にあるコネクタ・ファイルの場所に対応しています。Operating Systems\UNIX\UNIX SSH これらのファイルの詳細は、「コネクタを構成するファイルおよびディレクトリ」の項を参照してください。 |
| インストール・メディア・ディレクトリのファイル | コピー先ディレクトリ |
|---|---|
config\sudoers |
OIM_home/xellerate/XLIntegrations/SSH/config
|
ext\sshfactory.jar |
OIM_home/xellerate/ThirdParty
|
lib\xliSSH.jar |
OIM_home/xellerate/JavaTasks
|
lib\xliSSH.jar |
OIM_home/xellerate/ScheduleTask
|
resourcesディレクトリのファイル |
OIM_home/xellerate/connectorResources
|
scripts\privateKeyGen.sh |
OIM_home/xellerate/XLIntegrations/SSH/scripts
|
testsディレクトリのファイル |
OIM_home/xellerate/XLIntegrations/SSH/tests
|
xmlディレクトリにあるファイル |
OIM_home/xellerate/XLIntegrations/SSH/xml
|
|
注意: Oracle Identity Managerをクラスタ環境にインストールするときは、インストール・ディレクトリの内容をクラスタの各ノードにコピーします。同じく、connectorResourcesディレクトリとJARファイルも、クラスタの各ノードの対応するディレクトリにコピーする必要があります。 |
Oracle Identity Managerサーバーの構成には、次の手順があります。
|
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールを設定するには、次のようにします。
|
注意: 使用しているオペレーティング・システムによっては、この手順の実行方法が異なる場合があります。 |
「コントロール パネル」を開きます。
「地域のオプション」をダブルクリックします。
「地域のオプション」ダイアログ・ボックスの「入力ロケール」で、使用する入力ロケールを追加してから、その入力ロケールに切り替えます。
OIM_home\xellerate\connectorResourcesディレクトリ内に新しいリソース・バンドルを追加するたび、または既存のリソース・バンドルで変更を行うたびに、コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去する必要があります。
サーバー・キャッシュからのコネクタ・リソース・バンドルに関連するコンテンツを消去するには、次のようにします。
コマンド・ウィンドウで、OIM_home\xellerate\binディレクトリに移動します。
次のコマンドのいずれかを入力します。
|
注意: このステップを実行する前にステップ1を実行する必要があります。コマンドを次のように実行すると、例外がスローされます。OIM_home\xellerate\bin\batch_file_name |
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
このコマンドで、ConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_home\xellerate\config\xlConfig.xml
|
注意: ステップ2の実行時にスローされる例外は無視できます。 |
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を粗密に選択した情報メッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルは、使用する次のアプリケーション・サーバーによって異なります。
JBoss Application Serverの場合
JBoss_home\server\default\conf\log4j.xmlファイルで、XMLコードの次の行を追加します。
<category name = "Adapter.TELNETSSH">
<priority value = "log_level"/>
</category>
XMLコードの2行目で、log_levelを、設定するログ・レベルに置換します。たとえば、次のようになります。
<category name = "Adapter.TELNETSSH"> <priority value = "WARN"/> </category>
ロギングを有効にすると、ログ情報は次のファイルに書き込まれます。
JBoss_home\server\default\log\server.log
IBM WebSphereの場合
次の行をOIM_home\xellerate\config\log.propertiesファイルに追加します。
log4j.logger.Adapter.TELNETSSH=log_level
この行で、log_levelを、設定するログ・レベルに置換します。たとえば、次のようになります。
log4j.logger.Adapter.TELNETSSH=INFO
ロギングを有効にすると、ログ情報は次のファイルに書き込まれます。
WebSphere_home\AppServer\logs\server_name\startServer.log
BEA WebLogicの場合
次の行をOIM_home\xellerate\config\log.propertiesファイルに追加します。
log4j.logger.Adapter.TELNETSSH=log_level
この行で、log_levelを、設定するログ・レベルに置換します。たとえば、次のようになります。
log4j.logger.Adapter.TELNETSSH=INFO
ロギングを有効にすると、ログ情報は次のファイルに書き込まれます。
WebLogic_home\user_projects\domains\domain_name\server_name\server_name.log
OC4Jの場合
次の行をOIM_home\xellerate\config\log.propertiesファイルに追加します。
log4j.logger.Adapter.TELNETSSH=log_level
この行で、log_levelを、設定するログ・レベルに置換します。たとえば、次のようになります。
log4j.logger.Adapter.TELNETSSH=INFO
ロギングを有効にすると、ログ情報は次のファイルに書き込まれます。
OC4J_home\opmn\logs\default_group~home~default_group~1.log
コネクタのXMLファイルをインポートするには、次のようにします。
左側のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイル検索用のダイアログ・ボックスが表示されます。
XLISSH_DM.xmlファイルを検索して開きます。このファイルはOIM_home/xellerate/XLIntegrations/SSH/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。SSH server Solaris ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
SSH server Solaris ITリソースのパラメータの値を指定します。指定する値の詳細は、「ITリソースの定義」の表を参照してください。
「次へ」をクリックします。SSH Server ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
その他のITリソースを定義しないことを指定するには、「スキップ」をクリックします。「確認」ページが表示されます。
|
関連資料: その他のITリソースを定義する場合、手順は『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。一部のノードに十字形のアイコンが表示されている場合があります。各ノードを右クリックして「削除」を選択し、それらのノードを削除します。
「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。
同じ手順を実行してXLISSH SchedulerTask_DM.xmlファイルをインポートします。このファイルはOIM_home/xellerate/XLIntegrations/SSH/xmlディレクトリにあります。
信頼できるソースのリコンシリエーション・モードでコネクタを使用する場合は、同じ手順を実行してXLISSH_Trusted_DM.xmlファイルをインポートします。このファイルはOIM_home/xellerate/XLIntegrations/SSH/xmlディレクトリにあります。
|
注意: 信頼できるソース・リコンシリエーションに構成できるのは、1つのコネクタのみです。別の信頼できるソースを構成している状態でXLISSH_Trusted_DM.xmlファイルをインポートした場合、2つのコネクタのリコンシリエーションはいずれも機能しなくなります。 |
コネクタのXMLファイルをインポートしたら、「手順6: リコンシリエーションの構成」の項に進みます。
SSH server Solaris ITリソース・パラメータには、次の表に示す値を指定してください。
| パラメータ | 説明 |
|---|---|
Admin UserId |
管理者のユーザーID。
SUDO Adminモードの場合、 |
Admin Password/Private file Pwd |
管理者のパスワード。
SUDO Adminモードの場合、 注意: SUDO Adminモードでは、秘密鍵はサポートされていません。このモードの場合には、値を指定する必要があります。 秘密鍵を使用する場合は、このパラメータの値としてPrivate Key PassPhraseを指定する必要があります。 |
Server IP Address |
サーバーのIPアドレス。 |
Port |
サーバーでSSHサービスが実行されているポート。
デフォルト値: |
Private Key |
フルパスの付いた秘密鍵ファイルの名前。
注意: SUDO Admin管理者の場合は、このパラメータを空にしておく必要があります。 |
Server OS |
次のいずれかを指定します。
|
Shell Prompt |
#または$。 |
Login Prompt |
このパラメータは無視できます。このパラメータはSSHでは使用できません。 |
Password Prompt |
このパラメータは無視できます。このパラメータはSSHでは使用できません。 |
Whether Trusted System (HP-UX) |
YES(信頼できるHP-UXシステムの場合)またはNO(信頼できないHP-UXシステムの場合)。 |
Whether SUDO Admin Mode |
NO(rootの場合)またはYES(SUDO Adminモードの場合)。 |
Target Locale |
ターゲット・ロケール(言語および国)。
次に示すいずれか1つの値を指定できます。
注意: 指定する値を変更(大/小文字の変更も含む)しないでください。 |
Supported Character Encoding (en_US) - Target |
en_USターゲット・ロケール用のエンコーディング形式。
デフォルト値はUTF-8です。 注意: 次のコマンドを使用して、ターゲット・システムでサポートされている locale -a |
これらのITリソース・パラメータの値を指定したら、この手順のステップ9に進んで、コネクタのXMLファイルをインポートします。
この項では、Oracle Identity Managerサーバーの構成に関わる次のステップを説明します。
ここでは次の項目について説明します。
システム・プロパティを構成するには、次のようにします。
|
注意: この手順のこのステップは、信頼できるソース・リコンシリエーションを構成する場合にのみ実行します。信頼できるソース・リコンシリエーションに構成できるのは、1つのコネクタのみです。信頼できるソースが別に構成されている場合に、信頼できるソース・リコンシリエーションをこのコネクタで構成すると、両方のコネクタでリコンシリエーションが機能しなくなります。リコンシリエーションの構成の概要は、『Oracle Identity Manager Connectorフレームワーク・ガイド』を参照してください。 |
この手順には次のステップがあります。
「Resource Object」フォームで次のようにします。
Xellerate Userを検索します。
「Object Reconciliation」タブで、必要なリコンシリエーション・フィールドを追加します。「Xellerate User」フォームの必須フィールドへの入力を指定するために必要な、すべてのリコンシリエーション・フィールドを追加します。たとえば、「User Login」や「First Name」などのフィールドです。マッピングする必要がない必須フィールドは、「Password」のみです。「User Defined Process」フォームのすべての必須フィールドをマッピングしてください。
「Process Definition」フォームで次のようにします。
Xellerate Userを検索します。
「Reconciliation Field Mappings」タブで、必要なリコンシリエーション・フィールド・マッピングを追加します。「User Defined Process」フォームのすべての必須フィールドをマッピングしてください。
「Reconciliation Rules」フォームで次のようにします。
ルール要素とともに、Xellerate Userリソース・オブジェクトの新規ルールを作成します。
「Active」チェック・ボックスを選択します。
リコンシリエーション・スケジュール済タスクを作成するには、次のようにします。
「Xellerate Administration」フォルダを開きます。
「Task Scheduler」を選択します。
「Find」をクリックします。事前定義されたスケジュール済タスクの詳細が表示されます。
「Max Retries」フィールドに数値を入力します。この数はOracle Identity Managerがタスクを完了するために試行する回数です。この数を超えると、ERRORステータスがタスクに割り当てられます。
「Disabled」および「Stop Execution」チェック・ボックスが選択されていないことを確認します。
「Start」リージョンで、「Start Time」フィールドをダブルクリックします。表示されている日時エディタから、タスクを実行する日時を選択します。
「Interval」リージョンで、次のスケジュール・パラメータを設定します。
タスクを繰り返し実行するように設定するには、「Daily」、「Weekly」、「Recurring Intervals」、「Monthly」または「Yearly」のオプションを選択します。
「Recurring Intervals」オプションを選択した場合は、タスクを再帰ベースで実行する時間間隔も指定する必要があります。
タスクを一度のみ実行するよう設定するには、「Once」オプションを選択します。
スケジュール済タスクのユーザーによる構成が可能な属性の値を指定します。指定する値の詳細は、「スケジュール済タスク属性の値の指定」を参照してください。
|
関連資料: タスク属性の追加および削除の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
「Save」をクリックします。スケジュール済タスクが作成されます。現在はタスクが実行されていないため、「Status」フィールドにINACTIVEステータスが表示されます。タスクは、ステップ7で設定した日時に実行されます。
スケジュール済タスクを作成したら、「Oracle Identity Managerリリース9.0.1のリコンシリエーションの有効化」に進みます。
リコンシリエーション・スケジュール済タスクの次の属性に値を指定する必要があります。
|
注意: 属性値はインポートしたコネクタのXMLファイルで事前定義されています。変更する属性にのみ値を指定してください。 |
| 属性 | 説明 | サンプル値 |
|---|---|---|
Server |
ITリソースの名前 | SSH server Solaris |
Passwd Mirror File/User Mirror File |
passwordミラー・ファイル/userミラー・ファイルの名前。
SUDOユーザーには、このファイルに対する読取りおよび書込み権限が必要です。 たとえば、次のコマンドを実行して、ミラー・ファイルに対する権限を表示するとします。
コマンドにより生成される出力は次のとおりです。
この出力で、 |
/etc/passwd1 |
Shadow Mirror File |
shadowミラー・ファイルの名前。
SUDOユーザーには、このファイルに対する読取りおよび書込み権限が必要です。 たとえば、次のコマンドを実行して、ミラー・ファイルに対する権限を表示するとします。
コマンドにより生成される出力は次のとおりです。
この出力で、 注意: この属性は、AIXでは不要です。 HP-UXの信頼できるシステムの場合でも、この属性の値はNULLまたは空白にはできません。ただし、HP-UXの信頼できるシステムでのリコンシリエーション・プロセスでは、この属性は無視されます。 |
/etc/shadow1 |
Target System Recon - Resource Object name |
ターゲット・システムのリソース・オブジェクトの名前。 | SSH User |
Trusted Source Recon - Resource Object name |
信頼できるソース・リソース・オブジェクトの名前。 | デフォルト値: Xellerate User
信頼できるソース・リコンシリエーションを構成しない場合には |
Date Format |
ターゲット・システムから送信される日付値が、リコンシリエーション中に保存される書式。
指定する値は、「システム・プロパティの構成」の項で指定された値と同一である必要があります。 |
yyyy/MM/dd hh:mm:ss z |
これらのタスク属性の値を指定したら、ステップ10に進んで、スケジュール済タスクを作成します。
Oracle Identity Managerリリース9.0.1を使用している場合は、次の手順を実行してリコンシリエーションを有効にする必要があります。
|
関連資料: 『Oracle Identity Managerデザイン・コンソール・ガイド』 |
SSH Userの「Process Definition」フォームを開きます。このフォームは「Process Management」フォルダにあります。
「Reconciliation Field Mappings」タブをクリックします。
ITリソース・タイプの各フィールドで次の操作を行います。
フィールドをダブルクリックして、そのフィールドの「Edit Reconciliation Field Mapping」ウィンドウを開きます。
「Key Field for Reconciliation Matching」の選択を解除します。
コネクタのXMLファイルのインポート時に、次のアダプタがOracle Identity Managerにインポートされます。
SSH Disable User
SSH GECOS Updated
SSH Set Password
SSH Default Shell Updated
SSH Password Change Time Updated
SSH Create User
SSH Delete User
SSH Home Directory Updated
SSH Primary Group Name Updated
SSH Account Expiry Date Updated
SSH User UID Updated
SSH Secondary Group Name Updated
SSH Inactive Days Updated
SSH User Login Updated
SSH Enable User
SSH Prepopulate User Login
SSH Prepopulate End Date
これらのアダプタを使用してターゲット・システムにアカウントをプロビジョニングするには、これらをコンパイルする必要があります。
「アダプタ・マネージャ」フォームを使用してアダプタをコンパイルするには、次のようにします。
「アダプタ・マネージャ」フォームを開きます。
現在のデータベースにインポートしたすべてのアダプタをコンパイルするには、「すべてをコンパイル」を選択します。
(すべてではないが)複数のアダプタをコンパイルするには、コンパイルするアダプタを選択します。次に、「選択したものをコンパイル」を選択します。
|
注意: 正常にコンパイルされなかったアダプタのみを再コンパイルするには、「以前の失敗分をコンパイル」をクリックします。そのようなアダプタはコンパイルのステータスがOKになっていません。 |
「開始」をクリックします。Oracle Identity Managerにより、選択したアダプタがコンパイルされます。
Oracle Identity Managerがクラスタ環境にインストールされている場合は、OIM_home\xellerate\Adapterディレクトリから、コンパイル済のアダプタをクラスタの他の各ノードの同じディレクトリにコピーします。必要な場合には、その他のノードのアダプタ・ファイルを上書きします。
アダプタの詳細情報を表示するには、次のようにします。
「アダプタ・マネージャ」フォームでアダプタをハイライト表示します。
アダプタの行ヘッダーをダブルクリックするか、アダプタを右クリックします。
表示されているショートカット・メニューから「アダプタの起動」を選択します。アダプタの詳細が表示されます。
|
注意: この手順は、UNIX SSHの複数のインストールに対してコネクタを構成する場合にのみ実行します。この手順の各ステップ実行の詳細は、『Oracle Identity Managerデザイン・コンソール・ガイド』を参照してください。 |
ターゲット・システムの複数のインストールに対してコネクタを構成するには、次のようにします。
各ターゲット・システム・インストールに対して1つのリソースを作成して構成します。
「IT Resources」フォームは「Resource Management」フォルダにあります。ITリソースは、コネクタのXMLファイルをインポートすると作成されます。このITリソースは、同じリソース・タイプの、残りのITリソース作成用のテンプレートとして使用できます。
各ターゲット・システム・インストールについてリコンシリエーションを構成します。手順は、「手順6: リコンシリエーションの構成」の項を参照してください。ITリソースの指定に使用される属性の変更と、ターゲット・システム・インストールを信頼できるソースとして設定するかどうかの指定のみが必要です。
UNIX SSHの単独インストールと複数インストールのいずれも信頼できるソースとして指定できます。
必要であれば、Xellerate Userリソース・オブジェクトに対してリコンサイルされるフィールドを変更します。
管理およびユーザー・コンソールを使用してプロビジョニングを実行する場合、ユーザーのプロビジョニング先のUNIX SSHインストールに対応するITリソースを指定できます。
