NICIのバックアップと復元

NICI (Novell International Cryptography Infrastructure)は、ファイルシステム内と、システムおよびユーザ固有のディレクトリやファイルに、キーとユーザデータを保存します。これらのディレクトリとファイルは、オペレーティングシステムによって提供されるメカニズムを使用して適切なアクセス権を設定することによって保護されます。この設定は、NICIインストールプログラムによって行われます。

システムからNICIをアンインストールしても、システムまたはユーザ固有のディレクトリとファイルは削除されません。したがって、これらのファイルを以前の状態に復元することが必要になるのは、重大なシステム障害や人為的エラーから回復する場合のみです。既存のNICIユーザディレクトリおよびファイルを上書きすると、既存のアプリケーションで問題が発生する可能性があることを理解しておくことが重要です。

NICIをバックアップおよび復元するには、次の2つの処理を行う必要があります。

  1. ディレクトリとファイルをバックアップおよび復元する。
  2. これらのディレクトリとファイルの特定のユーザの権利をバックアップおよび復元する。

上記の処理を行う適切な順序は、使用しているプラットフォームによって異なります。

バックアップと復元で重要になるのは、ディレクトリとファイルの正しいアクセス権を保持することです。NICIの動作と提供されるセキュリティは、これらのアクセス権が適切に設定されているかどうかに左右されます。

一般的な市販のバックアップソフトウェアでは、NICIシステムディレクトリとユーザディレクトリおよびファイルのアクセス権を保持する必要があります。NICIのカスタムバックアップを実行する前に、お使いのバックアップソフトウェアでこの処理が行われるかどうかを確認してください。

既存のNICIディレクトリ構造とその内容をバックアップする場合は、復元を実行する前に注意すき点がいくつかあります。まず、コンピュータキーが失われると、元に戻すことはできません。また、ユーザデータとキーはコンピュータキーを使って暗号化されている場合があるため、ユーザデータが永久に失われることになる可能性があります。

NICIの復元を行うには、復元する必要のあるファイルを特定するための知識が必要になります。復元時には、所有者のアクセス権が正しく復元されることが重要になります。UNIXシステムとWindowsシステムの場合、ユーザ固有のディレクトリの名前は所有者のIDを反映します。ただし、どちらのシステムでも、バックアップした後から復元するまでの間に所有者IDが変更される場合があります。セキュリティ上の理由により、オペレータは、復元されるアカウントを把握し、それに応じて割り当てられるディレクトリ名とアクセス権を決定する必要があります。バックアップされたIDと同じIDを持つユーザアカウントがシステム内に存在するからといって、現在のアカウントが復元される情報の実際の所有者であるとは限りません。

詳細については、Novell Knowledgebaseの「TID10098087, How to Backup NICI 2.7.x and 2.6.x」と「TID10096647, How to Backup the eDirectory Database and Associated Security Services Files」を参照してください。


UNIX

NICI 2.6.5以前の場合、/var/novell/niciディレクトリに、すべてのシステムディレクトリとユーザディレクトリおよびファイルが含まれています。NICI 2.7.0以降の場合、/var/novell/niciは、ファイルが含まれている/var/opt/novell/niciディレクトリへのシンボリックリンクになります。

使用しているNICIのバージョンを特定するには、/etc/nici.cfgファイルを確認します。


バックアップの実行

次のファイルとディレクトリをバックアップする必要があります。すべてのディレクトリとファイルの権利を保持していることを確認します。


2.7.0より前のバージョンのNICIの場合

ファイル/ディレクトリ名 ファイルの種類と特記事項

/etc/nici.cfg

環境設定ファイル。

/usr/lib/libccs2.so

/usr/lib/内の実際のライブラリへのシンボリックリンク。

/usr/lib/libccs2.so.*

NICIライブラリ(ライブラリのバージョンが名前の末尾に付きます)。

/var/novell/nici

このディレクトリには、すべてのシステムキー、ユーザディレクトリとファイル/キー、およびNICIの初期化に使用されるプログラムが格納されます。


NICI 2.7.0以降の場合

ファイル/ディレクトリ名 ファイルの種類と特記事項

/etc/nici.cfg

/etc/opt/novell/nici.cfg環境設定ファイルへのシンボリックリンク。

/etc/opt/novell/nici.cfg

環境設定ファイル。

/usr/lib/libccs2.so

/opt/novell/lib/内の実際のライブラリへのシンボリックリンク。

/opt/novell/lib/libccs2.so.*

NICIライブラリ(ライブラリのバージョンが名前の末尾に付きます)。

/var/novell/nici

/var/opt/novell/niciディレクトリへのシンボリックリンク。

/var/opt/novell/nici

このディレクトリには、すべてのシステムキー、ユーザディレクトリとファイル/キー、およびNICIの初期化に使用されるプログラムが格納されます。


NICIの復元

NICI環境設定ファイルを復元するには、最初に、/etc/nici.cfgファイルまたはリンクを検索して、コンピュータにNICIがインストールされているかどうかを確認します。

  1. NICIがシステムにすでにインストールされている場合、上記のように既存の設定のバックアップを取ります。

  2. NICIをアンインストールし、/var/novell/niciまたは/var/opt/novell/niciディレクトリ構造を削除します。

    この操作を行うのは、既存のシステムキーが復元されたセットと競合しないようにするためです。

  3. (NICIのバージョンに応じて)バックアップストアから構造全体を復元します。アクセス権も必ず復元します。

上記の手順に従うことをお勧めします。ただし、知識が豊富なオペレータであれば、個々のファイルまたはディレクトリを復元することを選択できます。場合によっては、ファイルやディレクトリの名前を変更したり、新しいアクセス権を割り当てたりできます。この操作を行えるのは、nicifkファイルとxmgrcfg.wksファイルがバックアップストア上のこれらのファイルから変更されていない場合です。

NICIがコンピュータにすでにインストールされている状況で復元を行う場合は、それぞれのファイル/ディレクトリについて次のガイドラインに従うことをお勧めします。

ファイル名 操作手順

xmgrcfg.nif

既存のファイル上に復元できます。

xarchive.000

既存のファイル上に復元できます。

ユーザ固有のディレクトリとファイル

バックアップのユーザIDが、コンピュータ上のユーザと同じになるようにします。ユーザディレクトリがすでに存在する場合は、そのユーザが現在のファイルを保持することを希望しているのか、以前の状態に復元することを希望しているのかを確認します。通常、ユーザの環境設定ファイルの復元は、個別にではなくまとめて行う必要があります。必ず、適切なユーザの正しいユーザIDでユーザファイルを復元し、ユーザディレクトリとその内容の権利を復元するようにします。

たとえば、バックアップ時にはBOBにuserid 1000が指定されて、現在はuserid 5000が指定されている場合、バックアップされたディレクトリ1000内のファイルをディレクトリ5000に復元するか、またはBOBのUIDを1000に戻す必要があります。

ユーザディレクトリの復元は、オペレータの入力なしに作業を進めることがないよう、計画的に行ってください。いずれの場合においても、既存のNICIユーザディレクトリのバックアップを行う必要があります。


NetWareの場合

NICI 2.xよりも前のバージョンでは、環境設定ファイルはsys:\_NetWareに保存され、別の手順が適用されます。これらの手順は、NICI 2.x以降でのみ有効です。


バックアップの実行

sys:\system\NICIディレクトリとすべてのサブディレクトリおよびアクセス権をバックアップします。NetWareでは、存在するユーザが1人のみであるため、ユーザディレクトリのバックアップや復元はUNIXやWindowsの場合のように複雑ではありません。


NICIの復元

NICIがインストールされていない場合は、sys:\system\NICIディレクトリとその内容を復元します。

NICIがインストールされている場合(sys:\system\NICI\nici.cfgファイルが存在している場合)、既存の設定のバックアップを取り、NICIを削除します。バックアップストアからバックアップ構造全体をコピーして復元します。

選択的な復元が可能なのは、nicifkファイルがバックアップストア上のファイルから変更されていない場合のみです。ファイルが変更されていない場合は、sys:\system\NICIディレクトリ内の任意のファイルを復元します。通常、ファイルはまとめて復元する必要があります。ただし、知識の豊富なオペレータであれば、個々のファイルまたはディレクトリを復元することを選択してもかまいません。


Windowsの場合

設定情報は、次のキーの下のシステムレジストリ内に保持されます。 

HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI

2つ目のキーは、現在インストールされているNICIのバージョンを示します。例: 

HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI (Shared) U.S./Worldwide (128ビット)


バックアップの実行

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI*の下にあるレジストリ情報をすべてバックアップします。

    NICI*は、NICIで始まるすべてのレジストリキーを表します。レジストリキーは複数存在する可能性があります。

  2. HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI\ConfigDirectoryによって識別される、ディレクトリ(サブディレクトリを含む)をバックアップします。

    UNIXシステムの場合と同様に、ディレクトリとすべてのサブディレクトリのアクセス権を保持します。詳細については、「バックアップの実行」を参照してください。

市販のソフトウェアを使用してバックアップする場合は、必ず、バックアッププログラム自体をシステムプロセスとして実行します。これにより、バックアッププログラムがすべてのディレクトリとサブディレクトリにアクセスできるようになります。


NICIの復元

  1. NICIがインストールされていない場合は、最初にすべてのレジストリ情報を復元します。

    または

    NICIがインストールされている場合は、NICIを削除し、バックアップストアからのレジストリ情報を上書きします。

  2. オペレータによって選択されたように、HKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI\ConfigDirectory内のファイルとディレクトリを復元します。

UNIXの場合と同様に、すべてのファイルをまとめて復元することをお勧めします。ただし、知識の豊富なオペレータであれば個々のエントリを復元することを選択してもかまいません。この操作が可能なのは、nicifkファイルとxmgrcfg.wksファイルがバックアップストア上のファイルから変更されていない場合のみです。その場合には、ユーザ構成ディレクトリの新しい所有者に基づいてアクセス権を調整します。個々のディレクトリにはその所有者に基づく名前が付けられますが、アクセス権はSIDによって制御されます。サブディレクトリにBOBという名前が付けられているというだけで、現在のユーザBOBが復元されている情報の正しい所有者であるとは限りません。


Windowsの特殊な場合

レジストリ値をHKEY_LOCAL_MACHINE\SOFTWARE\Novell\NICI\UserDirectoryRootに設定して、ユーザの環境設定ファイルがユーザ個人の構成ディレクトリに格納されていることを示すことができます。その場合、通常のバックアップ/復元処理の一環として、ユーザ情報をバックアップおよび復元する準備を整えます。NICIが上記のように設定されている場合は、そのことを把握し、個々のバックアップのための準備をしておく必要があります。

このようなWindowsの特殊な場合には、単にディレクトリパスを指定するのではなく、レジストリ値EnableUserProfileDirectoryを作成することによってユーザディレクトリが有効になります。ユーザアカウントを自動的に作成および削除するようにWindowsが設定されている場合、ユーザプロファイルディレクトリが有効になると、ディレクトリが自動的に削除されます。その場合、バックアップと復元が必要になるのは永続的な特定のユーザのみです。デフォルトのパスは、Documents and Settings内のユーザのディレクトリのApplication Data\Novell\Niciディレクトリの分岐になります。