この章では、次の各項目について説明します。
リモートローダは、異なるプロセスとして異なる場所で実行されているDirXMLドライバとDirXMLエンジンがデータを交換できるようにするサービスです。リモートローダの動作形態には次のようなものがあります。
DirXMLエンジンはeDirectoryプロセスの一部として実行されます。一部のDirXMLドライバは、DirXMLエンジンが実行されているサーバ上で実行できます。実際に、これらはDirXMLエンジンと同じプロセスの一部として実行できます。
戦略上の理由から、DirXMLドライバをサーバ上で別のプロセスとして実行できますが、通常は別のサーバ上で実行します。
一部のDirXMLドライバは、DirXMLエンジンが実行されているサーバ上では実行できません。リモートローダを使用すると、DirXMLエンジンを特定の環境で実行しつつ、DirXMLドライバは別の環境のサーバ上で実行できます。
シナリオ - 別のサーバ。 DirXMLエンジンはNewWareサーバ上で実行されています。Active Directory用のDirXMLドライバを実行する必要があります。このドライバは、Active Directory環境で実行する必要があるため、NetWareサーバ上では実行できません。Windows 2003サーバ上にリモートローダをインストールして実行してください。リモートローダは、Active DirectoryドライバとDirXMLエンジンの間の通信チャネルになります。
シナリオ - ホスト以外。 DirXMLエンジンはSolaris上で実行されています。ユーザアカウントのプロビジョニングを行うNISシステムと通信する必要があります。通常、NISシステムはDirXMLエンジンをホストしません。NISシステム上にリモートローダとNIS用のDirXMLドライバをインストールしてください。NISシステム上のリモートロードがNISドライバを実行し、DirXMLエンジンとNISドライバがデータを交換できるようにします。
リモートローダによって、DirXMLエンジンは次の環境で実行されているDirXMLドライバと通信できます。
DirXML Javaリモートローダは純粋なJavaアプリケーションです。これは、あるサーバ上で実行中のDirXMLエンジンと、rdxmlが実行されていない別の場所で実行中のDirXMLドライバの間でデータを交換するために使用されます。互換性のあるJRE (1.4.0以上、1.4.2以上を推奨)とJava Socketがインストールされたシステムであれば動作しますが、公式にサポートされているのは、HP-UX、AS/400、OS/390、またはz/OS上のみです。
Identity Manager 2インストールプログラムを実行します(\nt\install.exeなど)。
最初の画面を確認して、使用許諾契約に同意し、2つの概要ページを表示します。
[DirXML Install]ダイアログボックスで、[DirXML Connected System]以外のすべてのコンポーネントを選択解除して、[Next]をクリックします。
接続システム(リモートローダとリモートドライバシム)の場所を選択し、[Next]をクリックします。
[DirXML Remote Loader Service]とリモートドライバシムを選択し、[Next]をクリックします。
アクティベーション要件を確認して、インストールする製品を表示し、[Finish]をクリックします。
デスクトップに[Remote Loader Console]アイコンを作成するかどうかを選択します。
Novell WebサイトからダウンロードしたIdentity Manager 2ファイルを展開した後で、次の手順を実行します。
Javaリモートローダを実行するターゲットシステムにディレクトリを作成します。
手順1で作成したディレクトリに、Identity Manager 2 CDまたはダウンロードイメージから/java_remoteloaderディレクトリ内の適切なファイルをコピーします。
プラットフォーム | ファイル |
---|---|
HP-UX |
dirxml_jremote.tar.gz |
OS/390 |
dirxml_jremote_mvs.tar |
HP-UX、AS/400、またはz/OSについては、dirxml_jremoteファイルを解凍します。
コピーしたtar形式ファイルを解凍(untar)します。
これでJavaリモートローダを設定する準備ができました。このtarファイルはドライバを含まないため、ドライバを手動でlibディレクトリにコピーする必要があります。
MVSの情報については、dirxml_jremote_mvs.tarファイルを解凍(untar)して、usage.htmlドキュメントを参照してください。
DirXMLリモートローダは、.dll、.nlm、.so、または.jarファイルに含まれるDirXMLアプリケーションシムをホストできます。JavaリモートローダはJavaドライバシムのみをホストし、ネイティブ(C++)ドライバシムはロードまたはホストしません。
Dirxml_remote.exeは、Windowsプラットフォーム上でリモートローダを実行します。DirXMLリモートローダは、パラメータを指定せずにdirxml_remote.exeを実行することで設定できます。この実行可能ファイルは、リモートローダを設定できる設定ウィザードを起動します。
リモートローダコンソールは、Identity Manager 2の新しい機能です。dirxml_remote.exeによって起動されるウィザードの代わりにリモートローダコンソールを使用することをお勧めします。デスクトップの[Remote Loader Console]アイコンをクリックすると、次のリモートローダコンソールが表示されます。
コンソールを使用して、コンピュータのリモートローダ下で実行されているすべてDirXMLドライバ(またはこれらのドライバのインスタンス)を管理できます。
注: Identity Manager 2にアップグレードすると、コンソールはリモートロードの既存のインスタンスを検出し、インポートします(自動的にインポートするには、ドライバ設定をremoteloaderディレクトリ(通常はc:\novell\remoteloader)に保存する必要があります)。これでコンソールを使用してリモートドライバを管理できます。
ウィザードとコンソールを併用すると、予期しない動作が生じることがあります。実行中のコンソールを使用して、既存の設定をコンソールにアップグレードすることをお勧めします。
リモートローダのインスタンスを追加または編集すると、次の情報を求めるメッセージが表示されます。
リモートローダのインスタンスを識別する説明を指定します。
ドライバに適したシムを参照して選択します。
設定ファイルの名前を指定します。リモートローダのコンソールは設定パラメータをこのテキストファイルに保存し、実行時にこれらのパラメータを使用します。
リモートローダがDirXMLサーバからの接続をリッスンするIPアドレスを指定します。
リモートローダがDirXMLサーバからの接続をリッスンするTCPポートを指定します。この接続のデフォルトのTCP/IPポートは8090です。作成する新しいインスタンスごとに、デフォルトのポート番号が自動的に1つずつ増えます。
リモートローダがStopやChange Trace LevelなどのコマンドをリッスンするTCPポート番号を指定します。特定のコンピュータ上で実行されるリモートローダの各インスタンスには、異なるコマンドポート番号を設定する必要があります。デフォルトのコマンドポートは8000です。作成する新しいインスタンスごとに、デフォルトのポート番号が自動的に1つずつ増えます。
注: 異なる接続ポートとコマンドポートを指定することによって、複数のドライバインスタンスをホストする同じサーバ上で、リモートローダの複数のインスタンスを実行できます。
このパスワードは、ドライバのリモートローダインスタンスへのアクセスを制御するために使用します。リモート接続するためのドライバの設定時に(Novell iManagerの[Driver Parameters]のページで)指定したパスワードと同じパスワードを指定する必要があります。
パスワードを再入力します。
リモートローダはこのパスワードを使用してDirXMLサーバで自身を認証します。このパスワードには、ドライバをリモートで接続するように設定する際に(Novell iManagerの[Driver Parameters]のページで)指定したパスワードと同じパスワードを指定する必要があります。
パスワードを再入力します。
SSL接続を指定する場合は、このオプションを選択します。
適切なルート認証局証明書を含む証明書ファイルを参照し、選択します。これは、eDirectoryツリーの組織認証局からエクスポートされた自己署名証明書です。証明書はBase64形式(たとえば、akranes-tree CA.b64)でエクスポートする必要があります。
リモートローダインスタンスがローダとドライバの両方からの情報メッセージを含むトレースウィンドウを表示するには、ゼロよりも大きいトレースレベルを設定します。
トレースメッセージを書き込むトレースファイル名を指定します。特定のマシン上で実行されているリモートローダの各インスタンスは、別々のトレースファイルを使用する必要があります。トレースメッセージは、トレースレベルがゼロよりも大きい場合にだけトレースファイルに書き込まれます。
トレースファイルがディスク上で使用できる最大サイズを指定します。[Unlimited]を選択しないと、デフォルト値は4096MB (4ギガバイト)に設定されます。
RdxmlはSolaris、Linux、またはAIXプラットフォーム上でリモートローダを実行する実行可能ファイルです。Rdxmlは、ネイティブドライバまたはJavaドライバのいずれかをホストできます。rdxmlを使用してリモートローダの環境を設定できます。rdxmlはコマンドラインから実行します。
Rdxmlは、ネイティブインタフェースを使用するJavaドライバをサポートするために、JVMをロードします。また、ネイティブドライバもロードします。
次の表に示されたコマンドを使用して次の作業を実行できます。
テキストエディタを使用して、テキストエディタで設定ファイルを開くか、作成します。続いて、コマンドを追加します。
(オプション) DirXMLサーバとJavaリモートローダとの通信にSSLを使用する場合は、次の手順を実行します。
DirXMLサーバが表示されているツリーの組織CAから自己署名証明書をエクスポートします。
証明書とともにプライベートキーをエクスポートする必要はありません。証明書をバイナリ(DER)形式で保存します。
create_keystoreスクリプトを実行して、リモートローダで使用するJavaキーストアファイルを作成します。
たとえば、次のように入力します。
create_keystore tree-root.der my.keystore
設定ファイルで使用できるよう、create_keystoreスクリプトによって表示される設定パラメータを書き留めます。create_keystoreスクリプトは、キーストアのパスワードに、ハードコードされたパスワード「dirxml」を指定します。キーストアに保存されるのはパブリック証明書とパブリックキーのみなので、セキュリティリスクはありません。
サンプルの設定ファイル(config8000.txt)を編集し、任意のプロパティを指定します。
特に、実行されるドライバのクラス名、接続パラメータ、およびコマンドポートを指定します。
(オプション) DirXMLサーバとJavaリモートローダとの通信にSSLを使用する場合は、create_keystoreスクリプトによって報告されるキーストア値とストアパス値を接続文字列に追加します。
ドライバシムのインストールと同じ手順を実行します。iManagerで、[DirXML Management]>[Overview]の順に選択し、ドライバシムを既存のドライバセットまたは新しいドライバセットに追加します。
リモートローダとDirXMLドライバをインストールした後、ドライバオブジェクトに、リモートローダに接続するためのパラメータを指定する必要もあります。
Novell iManagerで、[DirXML Management]>[Overview]の順にクリックします。
設定するドライバオブジェクトを参照して選択します。
ドライバのステータスアイコンをクリックし、[Edit Properties]をクリックします。
リモートローダのパラメータを入力します。
この通信パラメータを指定しないと、値はデフォルトでlocalhostに設定されます。
これは、リモートローダがリモートインタフェースシムからの接続を受け付けるポートです。この通信パラメータを指定しないと、値はデフォルトで8090に設定されます。
アプリケーションユーザIDのパスワードを指定します。通常、ドライバがアプリケーションと接続するために、ドライバシムはこのパスワードを必要とします。
リモートローダのパスワードを指定します。リモートインタフェースは、このパスワードを使用してリモートローダで自身を認証します。
注: アプリケーションのパスワードとリモートローダのパスワードは、両方を同時に設定するか、または両方を同時にリセットしてください。
この通信パラメータを指定しないと、値は保存されません。つまり、SSLは使用されません。
[OK]をクリックします。
DirXMLリモートローダでコマンドラインオプションを使用すると、次の操作を実行できます。
これらのオプションには、シムクラス名の指定、DirXMLサーバ上のリモートインタフェースシムとの通信に使用される接続パラメータの指定、またはトレースレベルの設定などがあります。
これらのオプションには、トレースウィンドウの開閉やリモートローダのアンロードなどがあります。
これらのオプションには、パスワードの設定や、リモートローダインスタンスのWin32サービスとしてのインストールおよびアンインストールなどがあります。
オプションリストについては、リモートローダの設定ファイルの作成の表を参照してください。
SSLを使用してセキュリティで保護されたデータ転送を提供する場合は、次に示す作業を完了します。
Novell iManagerで、[Novell Certificate Server]>[Create Server Certificate]の順にクリックします。
証明書を所有するサーバを選択し、証明書のニックネーム(remotecertなど)を付けます。
重要: 証明書のニックネーム(remotecertなど)は書き留めておいてください。このニックネームは、ドライバのリモート接続パラメータのKMO名に使用します。
[Creation method]は[Standard]のままにし、[Next]をクリックします。
[Summary]の画面を確認し、[Finish]をクリックして[Close]をクリックします。
これでサーバ証明書が作成されました。自己署名証明書のエクスポートに進みます。
[eDirectory Administration]>[Modify Object]の順にクリックします。
[Security]コンテナの[Certificate Authority]を参照して選択し、[OK]をクリックします。
認証局(CA)にはツリー名に基づいた名前(Treename-CA.Security)が付けられます。
[Certificates]タブをクリックして[Self-Signed Certificate]をクリックし、[Export]をクリックします。
Export Certificate Wizardで、[No]を選択して[Next]をクリックします。
プライベートキーは証明書と一緒にエクスポートしません。
ファイルをBase64形式でエクスポートすることを選択し、[Nex]をクリックします。
[Save the Exported Certificate to a File]へのリンクをクリックし、場所を指定して[Save]をクリックします。
[Save As]ダイアログボックスで、このファイルをローカルディレクトリにコピーします。
[閉じる]をクリックします。
SSL接続を設定する前に、自己署名証明書をエクスポート済みで、リモートローダが、エクスポートしたファイルへのアクセス権を持っていることを確認してください。サーバ証明書の作成を参照してください。
ここで、この証明書を使用するようにドライバのパラメータを変更する必要があります。
Novell iManagerで、[DirXML Management]>[Overview]の順にクリックします。
SSL接続を設定するドライバオブジェクトを参照して選択します。
リモートローダの接続パラメータを指定します。
たとえば、次のように入力します。
192.168.0.1 port=8090 remotecert
証明書の名前にスペースを使用した場合は、KMOオブジェクトのニックネームを引用符で囲む必要があります。
ヒント: KMOオブジェクト名は、サーバ証明書の作成の手順2で指定したニックネーム値です。
キーストアは、暗号化キーおよび証明書(オプション)を含むJavaファイルです。リモートローダとDirXMLエンジンの間でSSLを使用する必要があり、Javaシムを使用する場合は、キーストアファイルを作成する必要があります。
Solaris、Linux、またはAIXの環境では、create_keystoreファイルを使用します。Create_keystoreはrdxmlとともにインストールされ、\dirxml\java_remoteloaderディレクトリにあるdirxml_jremote.tar.gzファイルにも含まれています。create_keystoreファイルは、Keytoolユーティリティを呼び出すシェルスクリプトです。
コマンドラインで次を入力します。
create_keystore self-signed_certificate_name keystorename
Keystorenameには任意の名前を指定できます(rdev_keystoreなど)。
[Overview]から[DirXML Driver]オブジェクトをクリックします。
[Driver Configuration]ページで[Connect to Remote Loader]を選択します。
[Driver Object]編集ボックスにパスワードを入力します。
リモートローダは、このパスワードを使用してリモートインタフェースシムで自身を認証します。
[Authentication]ページでアプリケーションのパスワードを入力します。
リモートローダは、このパスワードを使用してリモートインタフェースシムで自身を認証します。
リモートローダのパスワードを入力します。
リモートローダは、このパスワードを使用してリモートインタフェースシムで自身を認証します。
リモートローダの通信パラメータを入力します。
パラメータはキーと値のペアです。
ホスト名またはIPアドレス(190. 162.0.など)。リモートローダを実行しているコンピュータのアドレスまたは名前を指定します。
TCPポート番号(8090など)。リモートローダがリモートインタフェースシムからの接続を受け付けるポートを指定します。
SSLに使用するキーと証明書を含む暗号化キーオブジェクトのキー名(kmo=remotecertなど)を指定します。
たとえば、通信パラメータは、hostname=192.168.0.1 port=8090 kmo=remotecertのようになります。
Windowsでリモートローダを実行するには、デスクトップの[Remote Loader Console]アイコンをクリックします。
Solaris、Linux、またはAIXでは、バイナリコンポーネントrdxmlがリモートローダの機能を提供します。このコンポーネントは/usr/bin/ディレクトリにあります。Windowsでは、デフォルトはc:\novell\RemoteLoaderです。
リモートローダを実行する
パスワードを設定します。
設定ファイルを起動するコマンドを入力して、リモートローダを起動します。
プラットフォーム | コマンド |
---|---|
Windows |
dirxml_remote -config path_to_config_file |
Solaris |
rdxml -config path_to_config_file |
HP-UX |
dirxml_jremote -config path_to_config_file |
iManagerを使用してドライバを起動します。
リモートローダが適切に動作していることを確認します。
psコマンドまたはトレースファイルを使用して、コマンドと接続ポートがリッスンしているかどうかを確認します。
Javaリモートローダが実行されている間は、トレースファイルで次のtailコマンドを使用して、その進捗を監視できます。
tail -f trace filename
ログの最終行に次の情報が表示される場合、ローダは正常に実行されていて、DirXMLリモートインタフェースシムからの接続を待機しています。
TRACE: Remote Loader: Entering listener accept()
リモートローダは、リモートローダがDirXMLサーバ上のリモートインタフェースシムと通信している場合にのみ、DirXMLアプリケーションシムをロードします。つまり、たとえば、リモートローダがDirXMLサーバとの通信を失うと、アプリケーションシムはシャットダウンされます。
リモートローダを停止するには、コマンドラインで次を入力します。
プラットフォーム | コマンド |
---|---|
Windows |
dirxml_remote -config path_to_config_file -U |
Solaris |
rdxml -config path_to_config_file -U |
HP-UX |
dirxml_jremote -config path_to_config_file -U |
コンピュータ上でリモートローダの複数のインスタンスが実行されている場合は、リモートローダが適切なインスタンスを停止できるように-cp command portオプションを渡します。
接続パラメータは、接続コマンドラインのオプションを使用して指定します。
DirXMLリモートローダでは、リモートローダと、DirXMLサーバ上でホストされているリモートインタフェースシムの間でカスタム接続方法を使用できます。デフォルトの接続方法は、SSLを使用したTCP/IPです。カスタム接続の接続文字列の要件と設定可能な項目の詳細については、カスタム接続モジュールに付属のマニュアルを参照してください。
リモートローダはサーバソケットを開き、リモートインタフェースシムからの接続をリッスンします。リモートインタフェースシムがリモートローダに接続すると、SSLハンドシェイクが実行され、セキュリティで保護されたチャンネルが確立されます。セキュリティで保護されたチャネルが確立された後、リモートインタフェースシムはリモートローダの認証を受けます。
リモートインタフェースシムが正常に認証されると、リモートローダがリモートインタフェースシムの認証を受けます。同期トラフィックは、両側が認証されたエンティティと通信していることを確認した後でのみ発生します。
この節では、TCP/IP接続方法の引数名とパラメータについて説明します。