Novell eDirectoryのWindowsへのインストール

このセクションでは、次の情報について説明します。

• Windows NT、2000、またはServer 2003へのNovell eDirectory 8.7.3のインストールまたは更新
• LDAPを介したeDirectoryとの通信
• NMASサーバソフトウェアのインストール
• NMASクライアントソフトウェアのインストール
• コンテナ名にドットを使用したツリーへのインストール

Windows NT、2000、またはServer 2003へのNovell eDirectory 8.7.3のインストールまたは更新

eDirectory 8.7.3 for Windowsでは、Novell Clientを含めずにインストールできます。すでにNovell Clientを含んだコンピュータにeDirectory 8.7.3をインストールすると、eDirectoryで既存のクライアントが使用されるか、最新バージョンでない場合は更新されます。

1. Windowsサーバで、管理者または管理権を持つユーザとしてログインします。

2. ツリー名を解決するには、ネットワーク上でSLPが正しく設定されていること、およびSLP DAが安定していることを確認してください。

   詳細については、次のいずれかを参照してください。

   • OpenSLP for eDirectoryの設定
   • DHCP Options for Service Location Protocol
   • OpenSLP Documentation

3. オートランをオフにしている場合は、Novell eDirectory 8.7.3 CDまたはダウンロードファイルにあるNTディレクトリからsetup.exeを実行します。

4. インストールまたはアップグレードするコンポーネントを選択します。

   次のコンポーネントを、個別または複数をまとめてインストールできます。

   • Novell eDirectoryのインストール

     Windowsサーバのみ、または異なるサーバが混在する環境でeDirectoryをインストールまたはアップグレードします。

   • Novell Clientのインストール

     Novell Client for Windowsをインストールするか、既存のバージョンのNovell Clientを更新します。

5. ［インストール］をクリックします。

   eDirectoryをインストールする前に、インストールプログラムによって次のコンポーネントがチェックされます。コンポーネントが検出されなかったり、バージョンが正しくない場合は、該当するコンポーネントのインストールが自動的に開始されます。

   • Novell eDirectoryライセンス

     評価用ライセンスはNovell eDirectory Eval License Download Webサイトで取得できます。

     eDirectoryライセンスを購入する場合は、Novell eDirectory How To Buy Webサイトを参照してください。

   • NICI 2.6.4

     Novell International Cryptographic Infrastructure (NICI)の詳細については、『NICI Administration Guide(NICI管理ガイド)』を参照してください。

     NICIのインストール後にサーバの再起動が必要になる場合があります。eDirectoryのインストールは再起動後に再開されます。

   • Novell Client for Widows NT/2000/XP。

     重要:  Novell Clientは、ConsoleOneをインストールするか、Novell Clientの古いバージョンがすでにコンピュータにインストールされている場合は自動的にインストールされます。Novell Clientの詳細については、Novell Client for Windowsのオンラインマニュアルを参照してください。

6. ［次へ］をクリックして、eDirectoryのインストールを開始します。

7. 使用許諾契約を表示し、［同意する］をクリックします。

8. インストールで使用する言語を選択し、［次へ］をクリックします。

9. インストールパスを指定または確認し、［次へ］をクリックします。

10. (新規インストールの場合のみ)eDirectoryインストールタイプを選択し、［次へ］をクリックします。

    • 既存のツリーへのeDirectoryのインストール このサーバをeDirectoryネットワークに組み入れます。サーバはツリーのどのレベルにでもインストールできます。

    • 新しいeDirectoryツリーの作成 新しいツリーを作成します。ツリーに最初のサーバをインストールする場合、またはこのサーバに個別のツリーが必要となる場合は、このオプションを使用します。新しいツリー上で使用可能となるリソースは、別のツリーにログインしているユーザからは使用できません。

11. eDirectoryのインストール画面で必要な情報を入力し、［次へ］をクリックします。

    • 新しいeDirectoryサーバをインストールする場合は、新しいツリーのツリー名、サーバオブジェクトのコンテキスト、および管理者のログイン名とパスワードを指定します。
    • eDirectoryサーバを既存のツリーにインストールする場合は、既存のツリーのツリー名、サーバオブジェクトのコンテキスト、および管理者のログイン名とパスワードを指定します。
    • eDirectoryサーバをアップグレードする場合は、管理者のパスワードを指定します。

    コンテナ名にドットを使用する場合の詳細については、コンテナ名にドットを使用したツリーへのインストールを参照してください。

12. (新規インストールの場合のみ)［HTTPサーバポートの設定］ページで、eDirectoryの管理用HTTPサーバで使用するポートを指定し、［次へ］をクリックします。

    重要:  eDirectoryインストールの実行中に設定するHTTPスタックポートには、Novell iManagerで使用している、または使用を予定しているHTTPスタックポートとは別のポートを指定してください。詳細については、『Novell iManager 2.0.x Administration Guide(Novell iManager 2.0.x管理ガイド)』を参照してください。

13. (新規インストールの場合のみ)［LDAP環境設定］ページで、使用するLDAPポートを指定し、［次へ］をクリックします。

    詳細については、LDAPを介したeDirectoryとの通信を参照してください。

14. インストールするNMAS^TMログインメソッドを選択し、［次へ］をクリックします。

    詳細については、NMASサーバソフトウェアのインストールおよびNMASクライアントソフトウェアのインストールを参照してください。

15. ［完了］をクリックして、eDirectoryのインストールを完了します。

LDAPを介したeDirectoryとの通信

eDirectoryをインストールする場合、LDAPサーバが監視するポートを選択して、LDAP要求を処理できるようにする必要があります。次の表では、さまざまなインストールオプションを示します。

ポート389(業界標準のLDAPクリアテキストポート)

ポート389を通じた接続は暗号化されません。このポートへの接続を通して送信されるすべてのデータはクリアテキストです。このため、セキュリティの問題が伴います。たとえば、単純バインド要求でLDAPパスワードが見られる可能性があります。

LDAP単純バインドでは、DNおよびパスワードのみが要求されます。パスワードはクリアテキスト形式です。ポート389を使用する場合、すべてのパケットはクリアテキスト形式です。デフォルトでは、eDirectoryインストールの実行中にこのオプションは使用できません。

ポート389ではクリアテキストが使用できるため、LDAPサーバサービスではこのポートを通じてeDirectoryへの読み込みおよび書き込みを処理します。このポートの使用は開放性が高く、通信に妨害を受けることがなく、パケットが不正受信されない信頼性の高い環境に適しています。

クリアテキストパスワードおよびその他のデータの使用を禁止するには、インストールの実行中に［パスワードとの単純バインドにTLSを必要とする］オプションを選択します。

次の図に示すように、このページでは、389、636、および［パスワードとの単純バインドにTLSを必要とする］オプションがデフォルトで表示されます。

図 2
LDAP環境設定画面のデフォルト

シナリオ: ［単純バインドにTLSを必要とする］オプションが有効の場合: ユーザはパスワードを要求するクライアントを使用しています。パスワードを入力すると、クライアントがサーバに接続されます。ただし、LDAPサーバではクリアテキストポートからサーバにバインドする接続は許可されていません。誰でもユーザのパスワードを見ることができますが、ユーザはバインド接続できません。

［単純バインドにTLSを必要とする］オプションを有効にすると、ユーザは閲覧可能なパスワードを送信できなくなります。この設定を無効にしている(チェックボックスがオフになっている)場合、ユーザは別の人がパスワードを閲覧しても気が付きません。このオプションは接続を許可しないように設定するもので、クリアテキストポートにのみ適用できます。

ポート636に対してセキュリティ保護された接続を行い、単純バインドを実行する場合は、接続はその時点ですでに暗号化されています。このため、パスワード、データパケット、またはバインド要求を閲覧することはできません。

ポート636(業界標準のセキュリティ保護されたポート)

ポート636を通じた接続は暗号化されます。TLS(以前のSSL)によって暗号化が管理されます。デフォルトでは、eDirectoryのインストールではこのポートが選択されます。

次の図で、選択されるポートを示します。

図 3
iManagerのLDAPサーバ接続ページ

ポート636への接続では、自動的にハンドシェークをインスタンス生成します。ハンドシェークが失敗した場合、接続は拒否されます。

重要:  この設定をデフォルトで選択することで、ローカルLDAPサーバに問題が発生する場合があります。eDirectoryがインストールされる前にホストサーバにロードされているサービスがポート636を使用している場合は、別のポートを指定する必要があります。

eDirectory 8.7以前のバージョンのインストールでは、この競合は致命的なエラーとみなされ、nldap.nlmファイルはアンロードされます。eDirectory 8.7.3のインストールでは、nldap.nlmファイルがロードされ、dstrace.logファイルにエラーメッセージが記録され、セキュリティ保護されたポートを使用せずに実行されます。

シナリオ: ポート636がすでに使用されている場合: ローカルサーバでActive Directory*を実行しています。Active Directoryでは、ポート636を使用してLDAPプログラムを実行しています。eDirectoryをインストールします。インストールプログラムによってポート636がすでに使用されていることが検出されるため、このポート番号はNovell LDAPサーバに割り当てられません。LDAPサーバはロードを開始し、実行されているように見えますが、LDAPサーバではすでに開いているポートを複製または使用できないため、複製されたポートでの要求はLDAPサーバで処理されません。

ポート389またはポート636がNovell LDAPサーバに割り当てられているかどうか不明な場合は、ICEユーティリティを実行してください。［ベンダバージョン］フィールドにNovellが指定されていない場合は、eDirectoryのLDAP Serverを再設定し、別のポートを選択する必要があります。詳細については、『Novell eDirectory 8.7.3管理ガイド』の「LDAPサーバが実行されているか確認する」を参照してください。

シナリオ: Active Directoryが実行中の場合: Active Directoryが実行中です。クリアテキストポート389が開かれています。ポート389にICEコマンドを実行して、ベンダバージョンを確認してください。レポートにMicrosoft*が表示されます。次に、別のポートを選択してNovell LDAPサーバを再設定します。eDirectory LDAPサーバがLDAPの要求を処理できるようになります。

またNovell iMonitorでは、ポート389または636がすでに開かれていることも表示されます。LDAPサーバが動作しない場合は、Novell iMonitorを使用して詳細を確認してください。詳細については、『Novell eDirectory 8.7.3管理ガイド』の「LDAPサーバが実行されているか確認する」を参照してください。

NMASサーバソフトウェアのインストール

NMAS (Novell Modular Authentication Service^TM)サーバコンポーネントは、eDirectoryインストールプログラムを実行すると自動的にインストールされます。その際、インストールするログインメソッドを選択する必要があります。

該当するチェックボックスをオンにして、eDirectoryにインストールするログインメソッドを選択します。ログインメソッドを選択すると、コンポーネントの説明が［説明］ボックスに表示されます。ログインメソッドの詳細については、『Novell Modular Authentication Service Administration Guide(Novell Modular Authentication Service管理ガイド)』の「Managing Login and Post-Login Methods and Sequences」を参照してください。

すべてのログインメソッドをeDirectoryにインストールする場合は、［すべて選択］をクリックします。選択したメソッドをすべてクリアするには、［すべてクリア］をクリックします。

NDSログインメソッドはデフォルトでインストールされます。

NMASクライアントソフトウェアのインストール

NMASクライアントソフトウェアは、NMASログインメソッドを使用する各クライアントワークステーションにインストールされている必要があります。

1. Windowsクライアントワークステーションで、Novell eDirectory 8.7.3 CDを挿入します。

2. NMASディレクトリからnmasinstall.exeを実行します。

3. ［NMASクライアントコンポーネント］チェックボックスをオンにします。

   オプションで、NICIコンポーネントをインストールする場合はチェックボックスをオンにします。

4. ［OK］をクリックして、画面の指示に従います。

5. インストールの完了後、クライアントワークステーションを再起動します。

コンテナ名にドットを使用したツリーへのインストール

Windowsサーバは、名前にドット(.)が含まれるコンテナ(O=novell.comまたはC=u.s.aなど)を保持しているeDirectoryツリーにインストールできます。名前にドットが含まれているコンテナを使用するには、ドットを円記号(\)でエスケープする必要があります。ドットをエスケープするには、コンテナ名に含まれるすべてのドットの前に円記号を挿入します。図 4の例を参照してください。

名前の最初にドットを使用することはできません。たとえば、ドット(「.」)から始まる「.novell」という名前のコンテナを作成することはできません。

図 4
eDirectoryインストールの情報画面

重要:  ツリー内に名前にドットが含まれるコンテナが存在する場合は、iMonitor、iManagerおよびDHost iConsoleなどのユーティリティにログインするときには、それらの名前を必ずエスケープしてください。たとえば、ツリー内に"novell.com"という名前の組織が存在する場合、iMonitorにログインするときは［ユーザ名］フィールドに「username.novell\.com」のように入力します(図 5を参照してください)。

図 5
iMonitorログイン画面