Novell Documentation: eDirectory 8.8

前提条件

GSSAPIを設定するには、まず次の作業を行う必要があります。

SASL-GSSAPIメソッド: SASL-GSSAPIメソッドをインストールします。『NMAS 3.0管理ガイド』の「ログインメソッドのインストール」を参照してください。

注: NetWareにSASL-GSSAPIログインメソッドをインストールする場合は、Windowsと同じ手順に従ってください。

SASL-GSSAPIがコンピュータにインストールされているかどうかを確認するには、次のように入力します。

ldapsearch -x -h osg-dt-srv9 -b " " -s base | grep -i sasl

SASL-GSSAPIがインストールされている場合、コマンドの出力は次のようになります。
```
supportedSASLMechanisms:NMAS_LOGIN
```
iManager用のKerberosプラグイン: iManager用のKerberosプラグインをインストールします。詳細については、iManager用のKerberosプラグインのインストールを参照してください。
KDC: Kerberos KDC (MIT、Microsoft (Active Directory)、またはHeimdal)をネットワーク上にインストールします。

Microsoft KDC (Active Directory)を使用する場合は、Kerberosツールをインストールしておく必要があります。これらのツールはWindowsに付属しており、WindowsインストールCDの\support\tools\setup.exeからインストールできます。
時刻の同期 このメソッドを正しく機能させるために、NMAS^TMクライアントコンピュータ、NMASサーバコンピュータ、およびKDCコンピュータの時刻を同期します。ネットワーク時刻の同期の詳細については、ネットワーク時刻の同期を参照してください。
LDAP Libraries for C: 最新のLDAP Libraries for Cをデフォルトの場所にインストールします(Windowsを除く)。詳細については、次を参照してください。LDAP Libraries for C
Kerberos LDAP拡張 Kerberos LDAP拡張を追加します。詳細については、「KerberosのLDAP拡張の追加」を参照してください。

重要: Kerberosの管理で収集されるKerberos情報では、大文字と小文字が区別されるため、大文字と小文字を正確に指定する必要があります。

ネットワークの特性に関する前提

SASL-GSSAPIメカニズムは次の前提に基いて動作します。

ネットワーク上のすべてのコンピュータの時刻がある程度正確に同期されている。言い換えると、システム時刻が5分以上異なる2台のコンピュータがネットワーク上に存在しない。
MAN環境やWAN環境では時刻の同期に関するこのような要件を満たすことが難しいため、SASL-GSSAPIメカニズムは主にLANでの使用を想定している。ただし、このメカニズムはLANのみに限定されていない。
KerberosサーバとKerberos管理者を検証なしで無条件に信頼する。
DoS(Denial-of-Service)攻撃に対抗する手段にはならない。詳細については、RFC 1510を参照してください。

iManager用のKerberosプラグインのインストール

ブラウザを開きます。
ブラウザウィンドウのアドレスフィールドに、次のURLを入力します。
```
http://ホスト名/nps/iManager.html
```
ホスト名は、SASL-GSSAPI用のiManagerプラグインをインストールするiManagerサーバのサーバ名またはIPアドレスです。

注: 問題が発生した場合は、TomcatおよびWebサーバが正しく設定されていることを確認します。詳細については、『iManager 2.5管理ガイド』を参照してください。
eDirectoryにログインするためのユーザ名とパスワードを指定して、［ログイン］をクリックします。
iManagerツールバーで、［設定］をクリックします。
左側の画面で、［モジュール設定］>［モジュールパッケージのインストール］の順にクリックします。
kerberosPlugin.npmファイルの場所を指定するか、［参照］をクリックしてファイルの場所を選択します。

このプラグインパッケージは次の場所にあります。

展開フォルダ/<プラットフォーム(Linux、Solaris)>/nmas/NmasMethods/Novell/GSSAPI/plugins/ (展開フォルダは、edir88.zipファイルが展開されたディレクトリです)。kerberosPlugin.npmファイルを別の場所に移動した場合は、その場所を参照して選択してください。
［インストール］をクリックします。

このインストールには数分かかります。

注: TomcatがインストールされたWindows IIS Webサーバ上でiManagerを実行している場合は、モジュールパッケージのインストール中に「予期しないパーツの終了」というエラーが発生する場合があります。これは、IIS用のTomcatリダイレクタを通じてファイルをアップロードする際に発生する既知の問題です。モジュールパッケージのインストールを正しく実行するには、Tomcatから直接(たとえば、ポート8080を使用して)iManagerに接続してください。

例: http://hostname:8080/nps/iManager.html

詳細については、『iManager 2.5管理ガイド』を参照してください。
モジュールが正しく保存されたことを示すメッセージが表示されたら、iManagerサーバを再起動します。

iManagerを無制限アクセスモードで実行している場合(ツリーにRBSコレクションがない場合)は、手順9～15を省略してください。

注: iManagerサーバの再起動の詳細については、『iManager 2.5管理ガイド』を参照してください。
iManagerにログインし、［設定］をクリックします。
左側の画面で、［RBSの設定］>［iManagerの設定］の順にクリックします。
(状況によって実行)RBSコレクションがすでに作成されている場合は、［コレクションのアップグレード］を選択して、［次へ］>［次へ］の順にクリックします。
(状況によって実行)RBSコレクションがない場合は、次の操作を実行します。
1. ［新しいコレクションの作成］を選択して、［次へ］をクリックします。
2. 役割ベースサービスを作成するコンテナを選択して、［次へ］をクリックします。
Novell Kerberosプラグインを選択して、スコープ(ツリー名または任意のコンテナ)を割り当ててから、［開始］をクリックしてKerberos構成用のiManagerプラグインのインストールを完了します。

注: これにより、Kerberos管理の役割で選択したスコープにスーパバイザの権利が割り当てられます。
完了メッセージが表示されるのを待って、［閉じる］をクリックします。
ページをリフレッシュします。

Kerberos管理の役割が左側の画面に表示されます。

Kerberos管理の役割が表示されない場合は、上の手順8の説明に従ってiManagerサーバを再起動します。

注: iManagerサーバがWindows Webサービス(IIS)上で動作している場合は、NMAS Kerberos用のiManagerプラグインをインストールする前にRBS収集を作成しておく必要があります。

KerberosのLDAP拡張の追加

KerberosのLDAP拡張では、Kerberosキーの管理機能が提供されています。

KerberosのLDAP 拡張を使用するには、C言語用のLDAPライブラリをインストールする必要があります。詳細については、LDAP Libraries for Cを参照してください。

KerberosのLDAP拡張を追加または削除するには、次の場所にあるkrbldapconfigユーティリティを使用します。

Linux: 展開フォルダ/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Linux/krbldapconfig

例:

/misc/eDir88/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Linux/krbldapconfig
Solaris: 展開フォルダ/Solaris/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Solaris/krbldapconfig

例:

/misc/eDir88/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Solaris/krbldapconfig
NetWare^(R)およびWindows:
NetWareの場合は、他の任意のプラットフォーム上でkrbldapconfigを実行できます。

展開フォルダ/Windows/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Windows/krbldapconfig

例:

/misc/eDir88/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Windows/krbldapconfig

Kerberos LDAP拡張を追加するには、次の構文を使用します。

krbldapconfig {-i | -u} -D バインドDN [-w バインドDNのパスワード] [-h LDAPホスト] [-p LDAPポート] [-e ルート認証局証明書]

krbldapconfigユーティリティのパラメータについて、次の表で説明します。

パラメータ	説明
-i	Kerberos LDAP拡張をeDirectoryに追加します。
-u	Kerberos LDAP拡張をeDirectoryから削除します。
-D バインドFDN	管理者または管理者と同等の権利を持つユーザのFDNを指定します。 cn=admin,o=orgの形式で指定する必要があります。
-w バインドFDNのパスワード	バインドFDNのパスワードを指定します。
-h LDAPサーバ	Kerberos LDAP拡張をインストールする必要があるLDAPサーバのホスト名またはIPアドレスを指定します。
-p ポート	LDAPサーバが動作しているポートを指定します。
-e ルート認証局ファイル	SSLバインド用のルート認証局証明書のファイル名を指定します。 SSLポートを使用する場合は、-eオプションを指定してください。詳細については、ルート認証局証明書のエクスポートを参照してください。

注: -hオプションを指定しなかった場合は、krbldapconfigを起動したローカルホストの名前がデフォルトとして使用されます。

LDAPサーバポートとルート認証局証明書を指定しなかった場合は、ポート389がデフォルトで使用されます。

LDAPサーバポートを指定せずにルート認証局証明書を指定した場合は、ポート636がデフォルトで使用されます。

この拡張を追加するには次のように入力します。

krbldapconfig -i -D cn=admin,o=org -w password -h ldapserver -p 389

削除するには次のように入力します。

krbldapconfig -u -D cn=admin,o=org -w password -h ldapserver -p 389

重要: インストールによる変更を有効にするには、LDAPサーバを手動でリフレッシュする必要があります。詳細については、LDAPサーバをリフレッシュするを参照してください。

ルート認証局証明書のエクスポート

iManagerで、［eDirectory管理］>［オブジェクトの変更］の順にクリックして、［オブジェクトの変更］ページを開きます。
［単一オブジェクト］をクリックして、サーバのサーバ証明書オブジェクトを選択します。
［OK］をクリックします。
［証明書］タブをクリックし、［ルート認証局証明書］を選択して、証明書の詳細を表示します。
［エクスポート］をクリックして、証明書エクスポートウィザードを起動します。
プライベートキーをエクスポートするかどうかを指定して、［次へ］をクリックします。
［バイナリDER形式のファイル］を選択して、［次へ］をクリックします。
［Save the Exported Certificate to a File(エクスポートされた証明書をファイルに保存)］をクリックします。
［閉じる］をクリックします。