GSSAPIを設定するには、まず次の作業を行う必要があります。
SASL-GSSAPIメソッド: SASL-GSSAPIメソッドをインストールします。『NMAS 3.0管理ガイド』の「ログインメソッドのインストール」を参照してください。
注: NetWareにSASL-GSSAPIログインメソッドをインストールする場合は、Windowsと同じ手順に従ってください。
SASL-GSSAPIがコンピュータにインストールされているかどうかを確認するには、次のように入力します。
ldapsearch -x -h osg-dt-srv9 -b " " -s base | grep -i sasl
SASL-GSSAPIがインストールされている場合、コマンドの出力は次のようになります。
supportedSASLMechanisms:NMAS_LOGIN
iManager用のKerberosプラグイン: iManager用のKerberosプラグインをインストールします。詳細については、iManager用のKerberosプラグインのインストールを参照してください。
KDC: Kerberos KDC (MIT、Microsoft (Active Directory)、またはHeimdal)をネットワーク上にインストールします。
Microsoft KDC (Active Directory)を使用する場合は、Kerberosツールをインストールしておく必要があります。これらのツールはWindowsに付属しており、WindowsインストールCDの\support\tools\setup.exeからインストールできます。
時刻の同期 このメソッドを正しく機能させるために、NMASTMクライアントコンピュータ、NMASサーバコンピュータ、およびKDCコンピュータの時刻を同期します。ネットワーク時刻の同期の詳細については、ネットワーク時刻の同期を参照してください。
LDAP Libraries for C: 最新のLDAP Libraries for Cをデフォルトの場所にインストールします(Windowsを除く)。詳細については、次を参照してください。LDAP Libraries for C
Kerberos LDAP拡張 Kerberos LDAP拡張を追加します。詳細については、「KerberosのLDAP拡張の追加」を参照してください。
重要: Kerberosの管理で収集されるKerberos情報では、大文字と小文字が区別されるため、大文字と小文字を正確に指定する必要があります。
SASL-GSSAPIメカニズムは次の前提に基いて動作します。
ブラウザを開きます。
ブラウザウィンドウのアドレスフィールドに、次のURLを入力します。
http://ホスト名/nps/iManager.html
ホスト名は、SASL-GSSAPI用のiManagerプラグインをインストールするiManagerサーバのサーバ名またはIPアドレスです。
注: 問題が発生した場合は、TomcatおよびWebサーバが正しく設定されていることを確認します。詳細については、『iManager 2.5管理ガイド』を参照してください。
eDirectoryにログインするためのユーザ名とパスワードを指定して、[ログイン]をクリックします。
iManagerツールバーで、[設定]をクリックします。
左側の画面で、[モジュール設定]>[モジュールパッケージのインストール]の順にクリックします。
kerberosPlugin.npmファイルの場所を指定するか、[参照]をクリックしてファイルの場所を選択します。
このプラグインパッケージは次の場所にあります。
展開フォルダ/<プラットフォーム(Linux、Solaris)>/nmas/NmasMethods/Novell/GSSAPI/plugins/ (展開フォルダは、edir88.zipファイルが展開されたディレクトリです)。kerberosPlugin.npmファイルを別の場所に移動した場合は、その場所を参照して選択してください。
[インストール]をクリックします。
このインストールには数分かかります。
注: TomcatがインストールされたWindows IIS Webサーバ上でiManagerを実行している場合は、モジュールパッケージのインストール中に「予期しないパーツの終了」というエラーが発生する場合があります。これは、IIS用のTomcatリダイレクタを通じてファイルをアップロードする際に発生する既知の問題です。モジュールパッケージのインストールを正しく実行するには、Tomcatから直接(たとえば、ポート8080を使用して)iManagerに接続してください。
例: http://hostname:8080/nps/iManager.html
詳細については、『iManager 2.5管理ガイド』を参照してください。
モジュールが正しく保存されたことを示すメッセージが表示されたら、iManagerサーバを再起動します。
iManagerを無制限アクセスモードで実行している場合(ツリーにRBSコレクションがない場合)は、手順9〜15を省略してください。
注: iManagerサーバの再起動の詳細については、『iManager 2.5管理ガイド』を参照してください。
iManagerにログインし、[設定]をクリックします。
左側の画面で、[RBSの設定]>[iManagerの設定]の順にクリックします。
(状況によって実行)RBSコレクションがすでに作成されている場合は、[コレクションのアップグレード]を選択して、[次へ]>[次へ]の順にクリックします。
(状況によって実行)RBSコレクションがない場合は、次の操作を実行します。
Novell Kerberosプラグインを選択して、スコープ(ツリー名または任意のコンテナ)を割り当ててから、[開始]をクリックしてKerberos構成用のiManagerプラグインのインストールを完了します。
注: これにより、Kerberos管理の役割で選択したスコープにスーパバイザの権利が割り当てられます。
完了メッセージが表示されるのを待って、[閉じる]をクリックします。
ページをリフレッシュします。
Kerberos管理の役割が左側の画面に表示されます。
Kerberos管理の役割が表示されない場合は、上の手順8の説明に従ってiManagerサーバを再起動します。
注: iManagerサーバがWindows Webサービス(IIS)上で動作している場合は、NMAS Kerberos用のiManagerプラグインをインストールする前にRBS収集を作成しておく必要があります。
KerberosのLDAP拡張では、Kerberosキーの管理機能が提供されています。
KerberosのLDAP 拡張を使用するには、C言語用のLDAPライブラリをインストールする必要があります。詳細については、LDAP Libraries for Cを参照してください。
KerberosのLDAP拡張を追加または削除するには、次の場所にあるkrbldapconfigユーティリティを使用します。
Linux: 展開フォルダ/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Linux/krbldapconfig
例:
/misc/eDir88/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Linux/krbldapconfig
Solaris: 展開フォルダ/Solaris/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Solaris/krbldapconfig
例:
/misc/eDir88/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Solaris/krbldapconfig
NetWare(R)およびWindows:
NetWareの場合は、他の任意のプラットフォーム上でkrbldapconfigを実行できます。
展開フォルダ/Windows/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Windows/krbldapconfig
例:
/misc/eDir88/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Windows/krbldapconfig
Kerberos LDAP拡張を追加するには、次の構文を使用します。
krbldapconfig {-i | -u} -D バインドDN [-w バインドDNのパスワード] [-h LDAPホスト] [-p LDAPポート] [-e ルート認証局証明書]
krbldapconfigユーティリティのパラメータについて、次の表で説明します。
パラメータ | 説明 |
---|---|
-i |
Kerberos LDAP拡張をeDirectoryに追加します。 |
-u |
Kerberos LDAP拡張をeDirectoryから削除します。 |
-D バインドFDN |
管理者または管理者と同等の権利を持つユーザのFDNを指定します。 cn=admin,o=orgの形式で指定する必要があります。 |
-w バインドFDNのパスワード |
バインドFDNのパスワードを指定します。 |
-h LDAPサーバ |
Kerberos LDAP拡張をインストールする必要があるLDAPサーバのホスト名またはIPアドレスを指定します。 |
-p ポート |
LDAPサーバが動作しているポートを指定します。 |
-e ルート認証局ファイル |
SSLバインド用のルート認証局証明書のファイル名を指定します。 SSLポートを使用する場合は、-eオプションを指定してください。 詳細については、ルート認証局証明書のエクスポートを参照してください。 |
注: -hオプションを指定しなかった場合は、krbldapconfigを起動したローカルホストの名前がデフォルトとして使用されます。
LDAPサーバポートとルート認証局証明書を指定しなかった場合は、ポート389がデフォルトで使用されます。
LDAPサーバポートを指定せずにルート認証局証明書を指定した場合は、ポート636がデフォルトで使用されます。
この拡張を追加するには次のように入力します。
krbldapconfig -i -D cn=admin,o=org -w password -h ldapserver -p 389
削除するには次のように入力します。
krbldapconfig -u -D cn=admin,o=org -w password -h ldapserver -p 389
重要: インストールによる変更を有効にするには、LDAPサーバを手動でリフレッシュする必要があります。詳細については、LDAPサーバをリフレッシュするを参照してください。
iManagerで、[eDirectory管理]>[オブジェクトの変更]の順にクリックして、[オブジェクトの変更]ページを開きます。
[単一オブジェクト]をクリックして、サーバのサーバ証明書オブジェクトを選択します。
[OK]をクリックします。
[証明書]タブをクリックし、[ルート認証局証明書]を選択して、証明書の詳細を表示します。
[エクスポート]をクリックして、証明書エクスポートウィザードを起動します。
プライベートキーをエクスポートするかどうかを指定して、[次へ]をクリックします。
[バイナリDER形式のファイル]を選択して、[次へ]をクリックします。
[Save the Exported Certificate to a File(エクスポートされた証明書をファイルに保存)]をクリックします。
[閉じる]をクリックします。