| Oracle Identity Manager UNIX SSH Connectorガイド リリース9.0.4 E05517-01 |
|
 戻る |
 次へ |
コネクタをデプロイするには次の手順を実行します。
次の表に、コネクタのデプロイ要件を示します。
| 項目 | 要件 |
|---|---|
| Oracle Identity Manager | Oracle Identity Managerリリース8.5.3以上。 |
| ターゲット・システム | ターゲット・システムは、SSH 2.0をサポートする次のオペレーティング・システムのいずれか。
|
| 外部コード | JSCAPE SSH/SSHライブラリ(SSHファクトリ)。 |
| その他のシステム | OpenSSH、OpenSSL、オペレーティング・システム・パッチ(HP-UX)およびSUDOソフトウェア(SUDO Adminモードが必要な場合のみ)。 |
| ターゲット・システムのユーザー・アカウント | rootまたはsudoユーザー。
「ITリソースの定義」の項の手順を実行する際に、このユーザー・アカウントの資格証明を指定します。 指定されたタイプのターゲット・システム・ユーザー・アカウントを使用しなかった場合、Oracle Identity Managerがターゲット・システムとデータを交換しようする際に次のようなエラー・メッセージが表示されます。
|
ターゲット・システムでサポートされている文字エンコーディング(en_US) |
ターゲット・システムで、UTF-8およびiso8859などのen_US文字エンコーディングの標準がサポートされている必要があります。
ターゲット・システムでサポートされている locale -a 注意: ターゲット・システムで |
様々なオペレーティング・システムのサポートされているシェル・タイプを次の表に示します。
| Solaris | HP-UX | Linux | AIX |
|---|---|---|---|
sh |
csh |
ksh |
csh |
csh |
ksh |
bash |
ksh |
| - | sh |
sh |
sh |
| - | - | csh |
- |
ターゲット・システムの構成には、次の項で説明されている手順があります。
この項では、次のプラットフォームでターゲット・システムを構成する手順を説明します。
SolarisおよびLinux環境では、次の手順を実行します。
UNIXサーバーで/etc/passwdおよび/etc/shadowファイルが使用可能であることを確認します。
次のようなコマンドを使用して、ターゲット・サーバーにpasswdミラー・ファイルが作成されていることを確認します。
cp /etc/passwd /etc/passwd1
リコンシリエーションのスケジュール済タスクのPasswd Mirror File/User Mirror File属性に、パス付きで同じファイル名を挿入する必要があります。
次のようなコマンドを使用して、ターゲット・サーバーにshadowミラー・ファイルが作成されていることを確認します。
cp /etc/shadow /etc/shadow1
リコンシリエーションのスケジュール済タスクのShadow Mirror File属性に、このファイルの名前とパスを指定する必要があります。
AIX環境では、次の手順を実行します。
サーバーで/etc/passwdおよび/etc/security/userファイルが使用可能であることを確認します。
次のようなコマンドを使用して、サーバーにuserミラー・ファイルが作成されていることを確認します。
cat >/etc/mainUserFile1 CTRL+C
リコンシリエーションのスケジュール済タスクのPasswd Mirror File/User Mirror File (AIX)属性に、このファイルの名前とパスを指定する必要があります。
HP-UX環境では、次の手順を実行します。
rootとしてログインし、次のコマンドを実行します。
「Auditing and Security」および「System Security Policies」を選択します。信頼できるモードに切り替えるかどうかを確認するメッセージが表示されます。
「OK」をクリックします。
次のメッセージが表示された場合には、次の手順をスキップします。
System changed successfully to trusted system
ターゲット・サーバーで/etc/passwdおよび/etc/shadowディレクトリが使用可能であることを確認します。
shadowファイルが存在しない場合には、次のサイトのインストール手順に従います。
http://docs.hp.com/en/5991-0909/index.html
すべてのパッチはHP社のパッチ・データベースで入手できます。次のサイトからダウンロード可能です。
次のようなコマンドを使用して、ターゲット・サーバーにpasswdミラー・ファイルが作成されていることを確認します。
cp /etc/passwd /etc/passwd1
リコンシリエーションのスケジュール済タスクのPasswd Mirror File/User Mirror File属性に、パス付きで同じファイル名を挿入する必要があります。
次のようなコマンドを使用して、ターゲット・サーバーにshadowミラー・ファイルが作成されていることを確認します。
cp /etc/shadow /etc/shadow1
リコンシリエーションのスケジュール済タスクのShadow Mirror File属性に、このファイルの名前とパスを指定する必要があります。
この項では、外部ソフトウェアをインストールする手順を説明します。
Solaris 9またはHP-UXにOpenSSHをインストールするには、次の手順に従います。
Solaris 8の場合
SolarisサーバーにSSHがインストールされていない場合には、適切なOpenSSHをインストールします。Solaris 8では、この項に記載されているパッケージを次のサイトからダウンロードできます。
http://www.sunfreeware.com/openssh8.html
GCCコンパイラがインストールされていない場合には、次のファイルのパッケージをインストールする必要があります。
libgcc-3.3-sol8-sparc-local.gz
このファイルには、次のパッケージが含まれています。これらのパッケージは、指定された順序でインストールする必要があります。
prngd-0.9.25-sol8-sparc-local.gz(オプション)
tcp_wrappers-7.6-sol8-sparc-local.gz(オプションではあるが推奨)
zlib-1.2.1-sol8-sparc-local.gz
openssl-0.9.7g-sol8-sparc-local.gz
openssh-4.1p1-sol8-sparc-local.gz
sshdという名前で、グループIDが27のグループを作成します。このグループにsshadminという名前のユーザーを追加します。
rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。
PermitRootLogin yes
|
注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
Solaris 9の場合
SolarisサーバーにSSHがインストールされていない場合には、適切なOpenSSHをインストールします。Solaris 9では、この項に記載されているパッケージを次のサイトからダウンロードできます。
|
注意: GCCコンパイラがインストールされていない場合には、次のパッケージをインストールします。
|
これらのパッケージは、次の順序でインストールする必要があります。
prngd-0.9.25-sol9-sparc-local.gz
tcp_wrappers-7.6-sol9-sparc-local.gz
zlib-1.2.1-sol9-sparc-local.gz
openssl-0.9.7d-sol9-sparc-local.gz
openssh-3.9p1-sol9-sparc-local.gz
sshdという名前で、グループIDが27のグループを作成します。このグループにsshadminという名前のユーザーを追加します。
rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。
PermitRootLogin yes
|
注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
Solaris 10の場合
Solaris 10には、デフォルトでOpenSSHがインストールされています。インストールされていない場合には、オペレーティング・システムのインストールCDからOpenSSHサーバーをインストールします。Solaris 10でSSHを有効化するには、/etc/ssh/ssh_configファイルに次の変更を行います。
Host *の行からコメント文字を削除します。
rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。
PermitRootLogin yes
|
注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
HP-UXの場合
UNIXサーバーにSSHがインストールされていない場合には、適切なOpenSSHをインストールします。
HP-UX 11.11の場合、次のサイトから適切なパッチをダウンロードしてインストールします。
HP-UX B.11.11の場合は、hpux_800_11.11_11300132-patch.tgz用のファイルPHCO_33711.depotをダウンロードします。インストールするには、次のコマンドを使用します。
swinstall -x autoreboot=true -x patch_match_target=true -s /tmp/PHCO_33711.depot
OpenSSHをダウンロードしてインストールします。T1471AA_A.03.81.002_HP-UX_B.11.11_32+64.depotファイルは、次のサイトからダウンロードできます。
http://software.hp.com/portal/swdepot/displayProductInfo.do?productNumber=T1471AA
パッチを正常にインストールしたら、次のコマンドを使用してOpenSSHをインストールします。
swinstall -s /tmp/T1471AA_A.03.81.002_HP-UX_B.11.11_32+64.depot
インストール後、HP-UX Secure Shellデーモン(sshd)が自動的に事前構成および起動されます。
sshdという名前でグループを作成します。
このグループにsshadminという名前のユーザーを追加します。
rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。
PermitRootLogin yes
|
注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
Linuxの場合
Red Hat Advanced Server 2.1およびRed Hat Enterprise Linux 3には、デフォルトでOpenSSHがインストールされています。インストールされていない場合には、オペレーティング・システムのインストールCDからOpenSSHサーバーをインストールします。
AIXの場合
AIX 5.2サーバーにSSHがインストールされていない場合には、次の手順を実行します。
OpenSSLをダウンロードしてインストールします。
次のサイトから、openssl-0.9.7d-aix5.1.ppc.rpmファイルをダウンロードします。
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
次のコマンドを入力してOpenSSLをインストールします。
geninstall -d /root/download R: openssl-0.9.7d-2.aix5.1.ppc.rpm
このコマンドで、/root/downloadはopenssl-0.9.7d-2.aix5.1.ppc.rpmファイルが格納されているAIXサーバーの場所です。
PRNGをダウンロードしてインストールします。
次のサイトから、prngd-0.9.23-3.aix4.3.ppc.rpmファイルをダウンロードします。
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
次のコマンドを入力してPRNGをインストールします。
geninstall -d /root/download R: prngd-0.9.23-3.aix4.3.ppc.rpm
このコマンドで、/root/downloadはprngd-0.9.23-3.aix4.3.ppc.rpmファイルが格納されているAIXサーバーの場所です。
OpenSSHをダウンロードしてインストールします。
次のサイトから、openssh-3.8.1p1_52.tar.gzファイルをダウンロードします。
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
次のコマンドを入力してOpenSSHをインストールします。
gunzip /root/download/openssh-3.8.1p1_52.tar.gz tar -xvf /root/download/openssh-3.8.1p1_52.tar geninstall -I"Y" -d /root/download I:openssh.base
これらのコマンドで、/root/downloadはopenssh-3.8.1p1_52.tar.gzファイルが格納されているAIXサーバーの場所です。
rootログインを有効化するには、次のようにして/etc/ssh/sshd_configファイルのPermitRootLoginの値を変更します。
PermitRootLogin yes
|
注意: この変更は、ローカル・セキュリティ・ポリシーに違反しない場合にのみ実行してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
SSHコネクタをSUDO Adminモードで使用する場合は、次の手順を実行してSUDOをインストールおよび構成します。
Solarisの場合
SolarisサーバーにSUDOがインストールされていない場合には、まずダウンロードします。
Solaris 9の場合には、sudo-1.6.8p4-sol9-sparc-local.gzファイルを次のサイトからダウンロードします。
Solaris 10の場合には、sudo-1.6.8p9-sol9-sparc-local.gzファイルを次のサイトからダウンロードします。
Solaris 8の場合には、sudo-1.6.8p9-sol8-sparc-local.gzファイルを次のサイトからダウンロードします。
SUDOをインストールするには、次のコマンドを使用します。
pkgadd -d filename_with_full_path
Solarisサーバーでsudoersファイルを編集し、要件に応じてカスタマイズします。このファイルは次のディレクトリにあります。
/usr/local/etc/
たとえば、Solarisサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次のような行が含まれている必要があります。
%mqm ALL= (ALL) ALL
これはサンプル構成です。グループの一部のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集する必要があります。
このコネクタでは次のコマンドが使用されます。
useradd
usermod
passwd
cat
diff
userdel
このため、SUDOユーザーにはこれらのコマンドを実行する権限が必要です。
|
注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。
|
同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=0
これは、このコネクタが正常に機能するための前提条件です。
rootとしてSolarisコンピュータにログインし、次のコマンドを入力します。
chmod 440 /usr/local/etc/sudoers chgrp root /usr/local/etc/sudoers chmod 4111 /usr/local/bin/sudo
SUDOユーザーを作成します。SUDOユーザーは、sudoersファイルに指定されている制約に基づいて作成する必要があります。
SUDOユーザーは、次のようなコマンドを使用して、必ずホーム・ディレクトリとともに作成する必要があります。
useradd -g group_name -d /export/home/directory_name -m user_name
SUDOユーザーのホーム・ディレクトリに作成されるSUDOユーザーの.profileファイルに、次の行を追加してPATH環境変数の値を設定します。
PATH=/usr/sbin:/usr/local/bin:/usr/local/etc:/var/adm/sw/products:$PATH export PATH
HP-UXの場合
HP-UXサーバーにSUDOがインストールされていない場合には、適切なSUDOをインストールします。HP-UXの場合には、sudo-1.6.8p6-sd-11.11.depot.gzファイルを次のサイトからダウンロードします。
SUDOをインストールするには、次のコマンドを入力します。
swinstall -s filename_with_full_path
sudoersファイルを編集し、要件に応じてカスタマイズします。このファイルは次のディレクトリにあります。
OIM_home/Xellerate/XLIntegrations/SSH/config/
たとえば、HP-UXサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。
%mqm ALL= (ALL) ALL
これはサンプル構成です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集します。
このコネクタでは次のコマンドが使用されます。
useradd
usermod
passwd
cat
diff
userdel
このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。
|
注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。
|
同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=0
これは、このコネクタが正常に機能するために必要な前提条件です。
編集したsudoersファイルを、ターゲット・システムの/etcディレクトリにコピーします。ファイルをコピーしたら、次のコマンドを入力します。
dos2ux /etc/sudoers > /etc/sudoers1
その後、ファイルの名前をsudoers1からsudoersに変更します。
rootとしてログインし、HP-UXコンピュータで次のコマンドを入力します。
chmod 440 /etc/sudoers chgrp root /etc/sudoers chmod 4111 /usr/local/bin/sudo
SUDOユーザーを作成します。SUDOユーザーは、sudoersファイルに指定されている制約に基づいて作成する必要があります。
SUDOユーザーは、次のようなコマンドを使用して、必ずホーム・ディレクトリとともに作成する必要があります。
useradd -g group_name -d /home/directory_name -m user_name
また、ホーム・ディレクトリに作成される.profileファイルに、次の行を追加して適切なPATHを設定します。
PATH=/usr/sbin:/usr/local/bin:/usr/local/etc:/var/adm/sw/products:$PATH export PATH
AIXの場合
AIX 5.2にSUDOがインストールされていない場合には、適切なSUDO AIX 5.2バージョンのsudo-1.6.7p5-2.aix5.1.ppc.rpmファイルを次のサイトからインストールします。
http://www-1.ibm.com/servers/aix/products/aixos/linux/download.html
AIX 5.2サーバーにRPM Package Managerがインストールされていない場合には、次のサイトからインストールします。
http://www-1.ibm.com/servers/aix/products/aixos/linux/altlic.html
SUDOをインストールするには、次のコマンドを入力します。
rpm -I /root/download/sudo-1.6.7p5-2.aix5.1.ppc.rpm
このコマンドで、/root/downloadはsudo-1.6.7p5-2.aix5.1.ppc.rpmファイルが格納されているAIXサーバーの場所です。
AIXサーバーの/etcディレクトリにあるsudoersファイルを編集し、要件に応じてファイルをカスタマイズします。
たとえば、AIXサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。
%mqm ALL= (ALL) ALL
これはサンプル構成です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集します。
このコネクタでは次のコマンドが使用されます。
mkuser
chuser
passwd
cat
diff
rmuser
このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。
|
注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。
|
システムを構成するために同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=0
これは、このコネクタが正常に機能するための前提条件です。
SUDOユーザーを作成します。SUDOユーザーは、sudoersファイルに指定されている制約に基づいて作成する必要があります。
Red Hat Advanced Server 2.1の場合
Red Hat Advanced Server 2.1サーバーにSUDOがインストールされていない場合には、適切なSUDOをインストールします。これを実行するには、まずsudo-1.6.7p5-1.i686.rpmファイルを次のサイトからダウンロードします。
http://rpmfind.net/linux/rpm2html/search.php?query=sudo&submit=Search
次のコマンドを入力してSUDOをインストールします。
rpm -i /root/download/sudo-1.6.7p5-1.i686.rpm
このコマンドで、/root/downloadはsudo-1.6.7p5-1.i686.rpmファイルが格納されているLinuxサーバーの場所です。
visudoコマンドを使用し、要件に応じて/etc/sudoersファイルを編集およびカスタマイズします。
|
注意: visudoコマンドを使用してsudoersファイルを編集できない場合は、次を実行します。
|
たとえば、Linuxサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。
mqm ALL= (ALL) ALL
これはサンプル構成の例です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集します。
このコネクタで使用されるコマンドは次のとおりです。
useradd
usermod
passwd
cat
diff
userdel
このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。
|
注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。
|
システムを構成するために同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=0
これは、このコネクタが正常に機能するための前提条件です。
次のようにしてSUDOユーザーを作成します。
次のコマンドを入力します。
useradd -g group_name -d /home/directory_name -m user_name
コマンドの説明は次のとおりです。
- group_nameは、/etc/sudoersファイルにエントリのあるSUDOユーザー・グループです。
- directory_nameは、ユーザーのデフォルトのディレクトリを作成するディレクトリの名前です。
/home/directory_nameディレクトリに作成される.bash_profileファイルに、次の行を追加してPATH環境変数を設定します。
PATH=/usr/sbin:$PATH export PATH
Red Hat Enterprise Linux 3.xおよびRed Hat Linux 4.xの場合
Red Hat Enterprise Linux 3.xまたは4.xサーバーにSUDOがインストールされていない場合には、適切なSUDOをインストールします。Linux Advanced Server 3.0および4.1の場合には、sudo-1.6.7p5-1.i686.rpmファイルを次のサイトからダウンロードします。
http://rpmfind.net/linux/rpm2html/search.php?query=sudo&submit=Search
次のコマンドを入力してSUDOをインストールします。
rpm -i /root/download/sudo-1.6.7p5-1.i686.rpm
このコマンドで、/root/downloadはsudo-1.6.7p5-1.i686.rpmファイルが格納されているLinuxサーバーの場所です。
visudoコマンドを使用し、要件に応じて/etc/sudoersファイルを編集およびカスタマイズします。
|
注意: visudoコマンドを使用してsudoersファイルを編集できない場合は、次を実行します。
|
たとえば、Linuxサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。
%mqm ALL= (ALL) ALL
これはサンプル構成です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集する必要があります。
このコネクタでは次のコマンドが使用されます。
useradd
usermod
passwd
cat
diff
userdel
このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。
|
注意: SUDOユーザーまたはグループに対してNOPASSWD: ALLオプションを使用しないでください。
|
システムを構成するために同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=0
これは、このコネクタが正常に機能するための前提条件です。
次のようにしてSUDOユーザーを作成します。
次のコマンドを入力します。
useradd -g group_name -d /home/directory_name -m user_name
コマンドの説明は次のとおりです。
- group_nameは、/etc/sudoersファイルにエントリのあるSUDOユーザー・グループです。
- directory_nameは、ユーザーのデフォルトのディレクトリを作成するディレクトリの名前です。
/home/directory_nameディレクトリに作成される.bash_profileファイルに、次の行を追加してPATH環境変数を設定します。
PATH=/usr/sbin:$PATH export PATH
ここでは次の項目について説明します。
公開鍵認証を構成するには、次のようにします。
SSH/scripts/privateKeyGen.shをサーバーの任意のディレクトリにコピーします。
このスクリプト・ファイルをテキスト・エディタで開き、作業ディレクトリのパスをこのファイルに指定されているデフォルト以外の値に指定します。
必要な場合には、次のコマンドを入力します。
SolarisまたはLinuxの場合:
dos2unix privateKeyGen.sh privateKeyGen.sh
HP-UXの場合:
dos2ux privateKeyGen.sh
UNIXサーバーでprivateKeyGen.shスクリプトを実行します。要求される場合には、安全なパスフレーズを指定します。
これらのコマンドが実行されると、$HOME/.sshディレクトリに次のファイルが作成されます。
id_rsa: これは公開鍵ファイルです。
authorized_keys: このファイルには、ログインに使用できる公開鍵がリストされています。
キーが正常に生成されたら、公開鍵認証用のsshd_configファイルを編集し、テスト・ログインします。
ログインを正常にテストしたら、id_rsaファイルを次のディレクトリにコピーします。
OIM_home/Xellerate/XLIntegrations/SSH/Config
|
注意: このリリースのコネクタは、RSAキーに対してのみテストおよび認証され、DSAに対しては行われていません。また、このコネクタがテストおよび認証されるのは単一のキー構成に対してのみで、複数のキーに対しては行われません。 |
SSH公開鍵認証を構成するには、次のようにします。
Solarisの場合
/etc/ssh/sshd_configファイルに次のパラメータを設定します。
PubKeyAuthorization yes PasswordAuthentication no PermitRootLogin yes
|
注意: ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLoginの値をyesに変更してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
SSHサーバーを再起動するには、次のコマンドを入力します。
/etc/init.d/sshd stop
/etc/init.d/sshd start
ログインをテストするには、次のようにします。
ssh -i /.ssh/id_rsa -l root server_IP_address
このコマンドにより、接続の設定前にパスキーを要求されます。
HP-UXの場合
/etc/ssh/sshd_configファイルの次の行を非コメント化します。
PermitRootLogin yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys
|
注意: ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLoginの値をyesに変更してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
SSHサーバーを再起動するには、次のコマンドを入力します。
/opt/ssh/sbin/sshd
ログインをテストするには、次のコマンドを入力します。
ssh -i /.ssh/id_rsa -l root server_IP_address
必要な場合には、パスキーを入力してサーバーに接続します。
Linuxの場合
UNIXサーバーのプロンプトに次のコマンドを入力します。
mkdir /.ssh chmod 700 /.ssh ssh-keygen -q -f /.ssh/id_rsa -t rsa chmod 700 /.ssh/*
これらのコマンドを入力すると、パスフレーズの入力を要求されます。パスフレーズを使用しない場合には、[Enter]を押します。
/etc/ssh/sshd_configファイルに次の行を追加します。
AuthorizedKeysFile /.ssh/id_rsa.pub
次のコマンドを入力してUNIXサーバーを再起動します。
/etc/init.d/sshd stop /etc/init.d/sshd start
SSHプロトコルを使用してターゲット・システムに接続できるかどうかを確認するには、パスワードを使用せずにコマンド・プロンプトから直接、次のコマンドを入力します。
#ssh -l root -i /.ssh/id_rsa host_ip_address
/.ssh/id_rsaファイルを次のディレクトリにコピーします。
OIM_home/xellerate/XLIntegrations/SSH/config
「ITリソースの定義」の項で説明されている手順を実行したら、id_rsaファイルの名前およびフルパスをPrivate Keyパラメータの値として指定します。
OIM_home/xellerate/XLIntegrations/SSH/config/id_rsa
AIXの場合
この手順の最初のステップは、使用しているAIXのバージョンによって異なります。
AIX 4.3の場合は、/etc/openssh/sshd_configファイルを使用して次のパラメータを設定します。
export PATH=$PATH: /usr/local/bin Installation path: /etc/openssh/ sshd -- /usr/local/bin/
AIX 5.2の場合は、/etc/ssh/sshd_configファイルを使用して次のパラメータを設定します。
export PATH=$PATH: /usr/sbin Installation path: /etc/ssh/ sshd -- /usr/sbin/
/etc/ssh/sshd_configファイルを開いて、次の行を非コメント化します。
AuthorizedKeysFile .ssh/authorized_keys PermitRootLogin yes PubkeyAuthentication yes
|
注意: ローカル・セキュリティ・ポリシーに違反しない場合のみ、PermitRootLoginの値をyesに変更してください。公開鍵認証が有効な場合は、PermitRootLoginの値をwithout-passwordに変更できます。
rootアカウントではなく、sudo権限のあるユーザー・アカウントを使用できる場合は、この手順を行う必要はありません。 |
SSHサーバーを再起動するには、次のコマンドを入力します。
/opt/ssh/sbin/sshd(AIX 4.3の場合)
/usr/sbin/sshd(AIX 5.2の場合)
ログインをテストするには、次のコマンドを入力します。
ssh -i /.ssh/id_rsa -l root server_IP_address
必要な場合には、パスキーを入力してサーバーに接続します。
|
注意: SUDO Adminモードで実装された場合には、このリリースのコネクタでは、公開鍵認証のプロビジョニングはサポートされません。システム・アクセスに使用される公開鍵認証を使用できるのは、rootユーザーです。この点については、第5章の既知の問題リストでも説明しています。 |
コピーするコネクタのファイルと、コピーする必要があるディレクトリを次の表に示します。
|
注意: この表の最初の列に示すディレクトリ・パスは、インストール・メディアの次のディレクトリでのコネクタ・ファイルの場所に対応しています。Operating Systems/UNIX/UNIX SSH これらのファイルの詳細は、「コネクタを構成するファイルおよびディレクトリ」の項を参照してください。 |
| インストール・メディア・ディレクトリのファイル | コピー先ディレクトリ |
|---|---|
ext/sshfactory.jar |
OIM_home/xellerate/ThirdParty
|
lib/xliSSH.jar |
OIM_home/xellerate/JavaTasks
|
lib/xliSSH.jar |
OIM_home/xellerate/ScheduleTask
|
test/lib/xliSSHTest.jar |
OIM_home/xellerate/JavaTasks
|
resourcesディレクトリにあるファイル |
OIM_home/xellerate/connectorResources
|
scriptsディレクトリにあるファイル |
OIM_home/xellerate/XLIntegrations/SSH/scripts
|
testディレクトリにあるファイルとディレクトリ |
OIM_home/xellerate/XLIntegrations/SSH
|
xmlディレクトリにあるファイル |
OIM_home/xellerate/XLIntegrations/SSH/xml
|
|
注意: Oracle Identity Managerをクラスタ環境にインストールするときは、インストール・ディレクトリの内容をクラスタの各ノードにコピーします。同じく、connectorResourcesディレクトリとJARファイルの内容も、クラスタの各ノードの対応するディレクトリにコピーする必要があります。 |
Oracle Identity Managerサーバーの構成には、次の手順があります。
|
注意: クラスタ環境では、クラスタの各ノードでこの手順を実行する必要があります。 |
必要な入力ロケール(言語および国の設定)に変更するには、必要なフォントのインストールと必要な入力ロケールの設定を行います。
必要な入力ロケールに変更するため、システム管理者の支援が必要となる場合があります。
「手順3: コネクタ・ファイルのコピー」の項で説明した手順を実行する一方で、インストール・メディアのresourcesディレクトリにあるファイルを、OIM_home/xellerate/connectorResourcesディレクトリにコピーします。connectorResourcesディレクトリ内に新しいリソース・バンドルを追加するたび、または既存のリソース・バンドルで変更を行うたびに、コネクタ・リソース・バンドルに関連するコンテンツをサーバー・キャッシュから消去する必要があります。
サーバー・キャッシュからのコネクタ・リソース・バンドルに関連するコンテンツを消去するには、次のようにします。
コマンド・ウィンドウで、OIM_home/xellerate/binディレクトリに移動します。
|
注意: ステップ1を実行してからステップ2を実行してください。ステップ2で次のようにコマンドを実行すると、例外がスローされます。OIM_home/xellerate/bin/batch_file_name |
次のいずれかのコマンドを入力します。
Microsoft Windowsの場合:
PurgeCache.bat ConnectorResourceBundle
UNIXの場合:
PurgeCache.sh ConnectorResourceBundle
|
注意: ステップ2の実行時にスローされる例外は無視できます。 |
このコマンドのConnectorResourceBundleは、サーバー・キャッシュから削除できるコンテンツ・カテゴリの1つです。その他のコンテンツ・カテゴリの詳細は、次のファイルを参照してください。
OIM_home/xellerate/config/xlConfig.xml
ロギングを有効化すると、Oracle Identity Managerはプロビジョニングおよびリコンシリエーション操作の過程で発生するイベントについての情報をログ・ファイルに自動的に格納します。ロギングを行うイベントのタイプを指定するには、ログ・レベルを次のいずれかに設定します。
ALL
このレベルでは、すべてのイベントのロギングが有効化されます。
DEBUG
このレベルでは、デバッグに役立つ詳細なイベントに関する情報のロギングが有効化されます。
INFO
このレベルでは、アプリケーションの進行状況を粗密に選択した情報メッセージのロギングが有効化されます。
WARN
このレベルでは、障害を引き起こす可能性のある状況に関する情報のロギングが有効化されます。
ERROR
このレベルでは、アプリケーションを続行できる場合があるエラー・イベントに関する情報のロギングが有効化されます。
FATAL
このレベルでは、アプリケーションの機能停止の原因となる可能性がある、非常に重大なエラー・イベントに関する情報のロギングが有効化されます。
OFF
このレベルでは、すべてのイベントのロギングが無効化されます。
ログ・レベルを設定するファイルは、使用するアプリケーション・サーバーによって異なります。
BEA WebLogic
ロギングを有効にするには、次のようにします。
OIM_home/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.Adapter.TELNETSSH=log_level
この行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.Adapter.TELNETSSH=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WebLogic_home/user_projects/domains/domain_name/server_name/server_name.log
IBM WebSphere
ロギングを有効にするには、次のようにします。
OIM_home/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.Adapter.TELNETSSH=log_level
この行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.Adapter.TELNETSSH=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
WebSphere_home/AppServer/logs/server_name/startServer.log
JBoss Application Server
ロギングを有効にするには、次のようにします。
JBoss_home/server/default/conf/log4j.xmlファイルで、次の行を検索します。
<category name="Adapter.TELNETSSH">
<priority value="log_level"/>
</category>
XMLコードの2行目で、log_levelを、設定するログ・レベルに置換します。次に例を示します。
<category name="Adapter.TELNETSSH"> <priority value="INFO"/> </category>
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
JBoss_home/server/default/log/server.log
OC4J
ロギングを有効にするには、次のようにします。
OIM_home/xellerate/config/log.propertiesファイルに次の行を追加します。
log4j.logger.Adapter.TELNETSSH=log_level
この行で、log_levelを、設定するログ・レベルに置換します。
次に例を示します。
log4j.logger.Adapter.TELNETSSH=INFO
ロギングを有効化すると、ログ情報が次のファイルに書き込まれます。
OC4J_home/opmn/logs/default_group~home~default_group~1.log
コネクタのXMLファイルをインポートするには、次のようにします。
左のナビゲーション・バーの「デプロイメント管理」リンクをクリックします。
「デプロイメント管理」の下の「インポート」リンクをクリックします。ファイルを開くダイアログ・ボックスが表示されます。
SSHNonTrustedUser.xmlファイルを検索して開きます。このファイルはOIM_home/xellerate/XLIntegrations/SSH/xmlディレクトリにあります。このXMLファイルの詳細は、「ファイル・プレビュー」ページに表示されます。
「ファイルの追加」をクリックします。「置換」ページが表示されます。
「次へ」をクリックします。「確認」ページが表示されます。
「次へ」をクリックします。SSH server Solaris ITリソースの「ITリソース・インスタンス・データの提供」ページが表示されます。
SSH server Solaris ITリソースのパラメータの値を指定します。指定する値の詳細は、「ITリソースの定義」の表を参照してください。
「次へ」をクリックします。SSH Server ITリソース・タイプの新しいインスタンスの「ITリソース・インスタンス・データの提供」ページが表示されます。
「スキップ」をクリックして、他のITリソースを定義しないことを指定します。「確認」ページが表示されます。
|
関連資料: その他のITリソースを定義する場合、手順は『Oracle Identity Manager Toolsリファレンス・ガイド』を参照してください。 |
「選択内容の表示」をクリックします。
XMLファイルの内容が「インポート」ページに表示されます。ノードの横に十字形のアイコンが表示されることがあります。これらのノードは、冗長なOracle Identity Managerエンティティを示しています。コネクタのXMLファイルをインポートする前に、各ノードを右クリックして「削除」を選択し、これらのエンティティを削除する必要があります。
「インポート」をクリックします。コネクタのファイルがOracle Identity Managerにインポートされます。
コネクタのXMLファイルをインポートしたら、次の章に進みます。
SSH server Solaris ITリソース・パラメータには、次の表に示す値を指定してください。
| パラメータ | 説明 |
|---|---|
Admin UserId |
管理者のユーザーID。
SUDO Adminモードの場合、 |
Admin Password/Private file Pwd |
管理者のパスワード。
SUDO Adminモードの場合、 注意: SUDO Adminモードでは、秘密鍵はサポートされていません。このモードの場合には、値を指定する必要があります。 秘密鍵を使用する場合は、このパラメータの値としてPrivate Key PassPhraseを指定する必要があります。 |
Server IP Address |
サーバーのIPアドレス。 |
Port |
サーバーでSSHサービスが実行されているポート。
デフォルト値: |
Private Key |
フルパスの付いた秘密鍵ファイルの名前。
注意: SUDO Admin管理者の場合は、このパラメータを空にしておく必要があります。 |
Server OS |
次のいずれかを指定します。
|
Shell Prompt |
#または$。 |
Login Prompt |
このパラメータは無視できます。このパラメータはSSHでは使用できません。 |
Password Prompt |
このパラメータは無視できます。このパラメータはSSHでは使用できません。 |
Whether Trusted System (HP-UX) |
YES(信頼できるHP-UXシステムの場合)またはNO(信頼できないHP-UXシステムの場合)。 |
Whether SUDO Admin Mode |
NO(rootの場合)またはYES(SUDO Adminモードの場合)。 |
Target Locale |
ターゲット・ロケール(言語および国)。
使用するロケールに応じて、次の値を指定できます。
注意: 指定する値には変更を加えないでください(大/小文字の変更も含む)。 |
Supported Character Encoding (en_US) - Target |
en_USターゲット・ロケール用のエンコーディング形式。
デフォルト値はUTF-8です。 注意: 次のコマンドを使用して、ターゲット・システムでサポートされている locale -a |
Max Retries |
接続が失敗した場合にコネクタがターゲット・サーバーへの接続を再試行する回数。
デフォルト値: |
Delay |
接続が失敗した場合に、コネクタがターゲット・システムへの接続を再試行するまでの遅延(ミリ秒)。
デフォルト値: |
Timeout |
ターゲット・サーバーへの接続のタイムアウト値(ミリ秒)。
デフォルト値: |
これらのITリソース・パラメータの値を指定したら、この手順のステップ9に進んで、コネクタのXMLファイルをインポートします。
