一方のツリーまたは両方のツリーにセキュリティコンテナがインストールされているeDirectoryツリーをマージする場合、特に注意が必要です。この手順は時間を要する複雑な作業になる可能性があるため、本当に実行する必要があるかどうか確認してください。
重要: この説明では、Novell Certificate ServerTM 2.21以前、Novell Single Sign-on 2.x、およびNMAS 2.xのツリーを対象としています。
複数のセキュリティコンテナを持つツリーをマージするには次を実行します。
iManagerで、マージするツリーを指定します。
ソースツリーにするツリーと、ターゲットツリーにするツリーを指定します。
ソースツリーおよびターゲットツリーについて、次のセキュリティ上の配慮事項に注意してください。
ソースツリーおよびターゲットツリーの両方がSecurityというコンテナをツリーのルート直下に保持していない場合、またはツリーのうち一方だけがSecurityコンテナを保持している場合、これ以上の処置は不要です。その他の場合には、このセクションの残りの手順を続けます。
このセクションでは、次の情報について説明します。
Novell Certificate Server(PKIS(Public Key Infrastructure Services)の後継バージョン)がソースツリー内のサーバのいずれかにインストールされている場合、次の手順を実行する必要があります。
注: 製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。次の手順で指定されたオブジェクトや項目がソースツリーに存在しない場合には、手順を省略できます。
ソースツリー内のルート認証局証明書は、ターゲットツリーにインストールする必要があります。
ルート認証局証明書は、ルート認証局コンテナに含まれる、ルート認証局オブジェクトに格納されています。ルート認証局コンテナはツリー内の任意の場所に作成できます。ただし、セキュリティコンテナ内のルート認証局コンテナに存在するルート認証局証明書は、ソースツリーからターゲットツリーに手動で移動する必要があります。
ターゲットツリーにルート認証局証明書をインストールします。
ソースツリーのセキュリティコンテナでルート認証局を選択します。
ソースツリーで使用されている正確な名前(手順2a)で、ルート認証局コンテナをターゲットツリーのセキュリティコンテナに作成します。
ソースツリーで、選択したルート認証局コンテナのルート認証局オブジェクトを開き、証明書をエクスポートします。
重要: 次の手順で使用するため、選択した場所とファイル名を記憶しておきます。
ターゲットツリーで、手順2bで作成したコンテナのルート認証局オブジェクトを作成します。ソースツリーと同じ名前を指定し、証明書を求められたら、手順2cで作成したファイルを指定します。
ソースツリーのルート認証局オブジェクトを削除します。
選択したルート認証局コンテナ内のすべてのルート認証局オブジェクトがターゲットツリーにインストールされるまで、手順2cから手順2eを繰り返します。
ソースツリーのルート認証局コンテナを削除します。
すべてのルート認証局コンテナがソースツリー内で削除されるまで、手順2aから手順2fを繰り返します。
ソースツリーの組織の認証局を削除します。
組織の認証局オブジェクトは、セキュリティコンテナ内に存在します。
重要: ソースツリーの組織の認証局によって署名された証明書は、この手順以降は使用できません。これには、ソースツリーの組織の認証局によって署名された、サーバ証明書とユーザ証明書も含まれます。
ソースツリーの組織の認証局によって署名された証明書を持つ、ソースツリー内の暗号化キーオブジェクト(KMO)をすべて削除します。
他の組織の認証局によって署名された証明書を持つ、ソースツリー内の暗号化キーオブジェクトは引き続き有効で、削除する必要はありません。
暗号化オブジェクトに署名しているCAの識別情報がわからない場合は、暗号化オブジェクトのプロパティページにある[証明書]タブの[ルート認証局証明書]セクションを参照します。
ソースツリーの組織の認証局によって署名された、ソースツリー内のユーザ証明書をすべて削除します。
ソースツリー内のユーザがすでに証明書とプライベートキーをエクスポートしている場合、エクスポートされた各証明書とキーは引き続き使用できます。手順3を実行した後では、eDirectory内に残っているプライベートキーと証明書は使用できません。
証明書を持つユーザごとに、ユーザオブジェクトのプロパティを開きます。[セキュリティ]タブの[証明書]セクションの下に、そのユーザのすべての証明書を示すテーブルが表示されます。発行者として組織の認証局が設定されている証明書はすべて削除してください。
ソースツリーの組織の認証局のホストとなっているサーバに、Novell Certificate Server 2.0以降がインストールされている場合にのみ、ユーザ証明書はソースツリーに存在します。
Novell Single Sign-onがソースツリー内のサーバのいずれかにインストールされている場合、ソースツリーのユーザ用Novell Single Sign-Onシークレットをすべて削除する必要があります。
ソースツリーでNovell Single Sign-onを使用するすべてのユーザについて、ユーザオブジェクトのプロパティを開きます。[セキュリティ]タブの[SecretStore]セクションの下に、そのユーザのすべてのシークレットが表示されます。表示されたシークレットをすべて削除します。
注: 製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。指定されたオブジェクトや項目が存在しない場合には、この手順を省略できます。
NMASがソースツリー内のサーバにインストールされている場合、次の手順を実行する必要があります。
注: 製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。指定されたオブジェクトや項目が存在しない場合には、手順を省略できます。
ターゲットツリーに、ソースツリーに存在してターゲットツリーには存在しない、NMASログインメソッドをインストールします。
必要なすべてのクライアントとサーバのログインコンポーネントをターゲットツリーに適切にインストールするには、Novellのオリジナルソースやベンダー提供のソースを使用して、すべて新しいログインメソッドをインストールすることを推奨します。
メソッドは既存のサーバファイルから再インストールできますが、通常、Novellのパッケージやベンダー提供のパッケージを使用してクリーンインストールを行う方が簡単で確実です。
ソースツリーで以前に確立されたログインシーケンスをターゲットツリーで使用できるようにするには、対象のログインシーケンスを移行します。
ソースツリーのNMASログインセキュリティ属性を削除します。
Novell Certificate Server 2.x以降、Novell Single Sign-on、NMAS、NetWare 5.1以降、またはeDirectory 8.5以降がソースツリー内のサーバのいずれかにインストールされている場合、Novellセキュリティドメインインフラストラクチャ(SDI)がインストールされます。SDIがインストールされている場合、次の手順を実行します。
注: 製品の使用状況によっては、指定されたオブジェクトと項目が存在しない可能性があります。指定されたオブジェクトや項目が存在しない場合には、手順を省略できます。
ndsmergeユーティリティを使用して、eDirectoryツリーをマージします。詳細については、Novell eDirectoryツリーのマージおよびNovell eDirectoryのLinuxおよびUNIX用コマンドとその使用法を参照してください。
このセクションでは、次の情報について説明します。
W0オブジェクトがマージ前にターゲットツリーに存在していた場合、ターゲットツリー内に存在していたサーバが使用していたセキュリティドメインインフラストラクチャ(SDI)キーを、ソースツリー内に存在していたサーバにインストールする必要があります。
この手順を実行する一番簡単な方法は、SDIキー(sys:\system\nici\nicisdi.keyファイル)を保持していたソースツリー内のすべてのサーバに、Novell Certificate Server 2.52以降をインストールすることです。Novell Certificate Serverがすでにサーバにインストールされている場合でも、この手順を実行する必要があります。
マージ前に、ターゲットツリーにW0オブジェクトが存在せず、ソースツリー内には存在していた場合は、マージ後のツリーにSDIを再インストールする必要があります。
この手順を実行する一番簡単な方法は、マージ後のツリー内のサーバにNovell Certificate Server 2.52以降をインストールすることです。Novell Certificate Serverは、SDIキー(sys:\system\nici\nicisdi.keyファイル)を保持していたサーバにインストールする必要があります。また、作成されたツリー内の他のサーバにもインストールできます。
Novell Certificate Serverのインストールの詳細については、『Novell Certificate Server管理ガイド』を参照してください。
Novell Certificate Serverを使用している場合、ツリーのマージ後に、ソースツリー内に存在していたサーバとユーザに必要に応じて証明書を再発行します。
ユーザオブジェクトを含むパーティションのレプリカを保持していたすべてのサーバに、Novell Certificate Server 2.52以降をインストールすることを推奨します。
サーバに証明書を発行するには、Novell Certificate Server 2.52がインストールされている必要があります。
Novell Certificate Server 2.52以降が、組織の認証局のホストとなっているサーバにインストールされている必要があります。詳細については、『Novell Certificate Server管理ガイド』を参照してください。
Novell Single Sign-onを使用している場合、ツリーのマージ後に、ソースツリー内に存在していたユーザのSecretStoreシークレットを必要に応じて再作成する必要があります。
NMASを使用している場合、ツリーのマージ後に、ソースツリー内に存在していたNMASユーザを必要に応じて再登録する必要があります。
詳細については、『Novell Modular Authentication Service管理ガイド』を参照してください。