各節の概要は次のとおりです。
v 75 ページの『ソフトウェア・インストールの検査』
v 76 ページの『個々のコンポーネントの機能の検査』
ソフトウェア・インストールの検査
Tivoli Access Manager のインストールには、前提条件となるいくつかのソフトウェ
ア・プロダクトおよび Tivoli Access Manager コンポーネントのインストールおよ び構成が含まれます。Tivoli Access Manager プロダクトの操作上の障害は、前提条 件となるすべての必須ソフトウェアのインストールの失敗、またはこのソフトウェ アの正しいレベルのインストールの失敗に起因する可能性があります。
以下のいずれかの場合は、インストール済みのソフトウェアおよびソフトウェア・
レベルを常に再検査してください。
v 新規の Tivoli Access Manager インストール・システムが適切に働かない。
v 前提条件となる 1 つ以上のプロダクトまたは Tivoli Access Manager コンポーネ ントを更新した後で、既存の Tivoli Access Manager インストール・システムが 適切に働かない。
Tivoli Access Manager インストール・ガイド およびリリース情報 では、 Tivoli
Access Manager を正常にインストールおよび構成するために満たす必要がある特定
のソフトウェア要件について詳しく説明しています。これらの要件には、サポート されるオペレーティング・システム、前提条件となるソフトウェア、および必須パ ッチが含まれます。各ソフトウェア・アイテムのリリースまたはレベルに注意して ください。
Tivoli Access Manager の技術資料では、特定の Tivoli Access Manager システムに どのソフトウェアをインストールする必要があるかについても正確に説明していま す。たとえば、 IBM Tivoli Access Manager Base インストール・ガイド では、
Tivoli Access Manager ポリシー・サーバーを含むシステムには少なくとも以下のソ
フトウェアをインストールする必要があることが記されています。
v IBM Global Security Toolkit (GSKit) v IBM SecureWay Directory LDAP Client v Tivoli Access Manager Runtime
v Tivoli Access Manager Policy Server
特定の Tivoli Access Manager システムに正しいソフトウェアおよびレベルがイン
ストールされているかどうかを判別するためのツールが存在します。 Tivoli Access Manager は、システム上にインストールされているすべての Tivoli Access Manager コンポーネントならびにそのバージョン番号を自動的にリストする、 pdversion と いう名前のユーティリティーを用意しています。
pdversion ユーティリティーは、前提条件となるソフトウェア (たとえば、IBM SecureWay Directory LDAP Client または IBM Global Security Toolkit (GSKit)) を リストしません。ほとんどの場合、この前提条件となるソフトウェアの有無は、固 有のオペレーティング・システム・ユーティリティーを使用して判別することがで きます。
v Windows プラットフォームの場合は、Windows の「コントロール パネル」の
「アプリケーションの追加と削除」アイコンを使用します。
v AIX の場合は、lslpp -l コマンドを使用します。
v Solaris の場合は、pkginfo -l コマンドを使用します。
v Linux の場合は、rpm -qa コマンドを使用します。
v HP-UX の場合は、swlist コマンドを使用します。
これらのツールを使用した場合でも、特定のプラットフォーム上の特定のパッケー ジを見付けることが困難な場合があります。たとえば、Windows プラットフォーム
上の GSKit は、 Windows 「アプリケーションの追加と削除」リストには項目を追
加しません。Windows プラットフォームでは、 GSKit は通常、次のディレクトリ ーにインストールされます。
C:¥Program Files¥IBM¥gsk5
次のコマンドを使用して、GSKit バージョンを表示することができます。
MSDOS> C:¥Program Files¥IBM¥gsk5¥bin¥gsk5ver.exe
Tivoli Access Manager インストール・ガイド の中にリストされているソフトウェア
要件とともにこれらのツールを使用して、すべての必須ソフトウェアが Tivoli
Access Manager 構成内の各マシンにインストールされていることを確認します。
個々のコンポーネントの機能の検査
Tivoli Access Manager プロダクトの通常のインストールには、前提条件となるいく
つかのプロダクトおよび Tivoli Access Manager コンポーネントのインストールが 含まれます。前提条件となるこれらのプロダクトのいずれかが適切にインストール および構成されていないと、 Tivoli Access Manager に操作上の問題が生じます。
この節では、前提条件となる特定のソフトウェア・プロダクトまたは Tivoli Access
Manager コンポーネントがおおむね適切に機能しているかどうかをユーザーが検査
する方法について説明します。操作上の異常が検出された場合は、そのプロダクト
または Tivoli Access Manager コンポーネントに関するインストールおよび構成の
該当の説明を参照してください。
次の表は、さまざまなタイプの Tivoli Access Manager システムで必要とされるコ ンポーネントを示したものです。
表40. Tivoli Access Manager システム・タイプの必須コンポーネント Tivoli Access Manager
システム・タイプ
必須ソフトウェア・コンポーネント
ポリシー・サーバー - IBM Global Security Toolkit (GSKit) - Tivoli Access Manager Runtime
- IBM SecureWay Directory クライアント
- Tivoli Access Manager ポリシー・サーバー
ランタイム・システム - IBM Global Security Toolkit (GSKit) - Tivoli Access Manager Runtime
- IBM SecureWay Directory クライアント
開発システム - IBM Global Security Toolkit (GSKit) - Tivoli Access Manager Runtime
- IBM SecureWay Directory クライアント
- Tivoli Access Manager アプリケーション開発キット
- Tivoli Access Manager Java Runtime
(Java アプリケーションの開発に必要)
許可サーバー - IBM Global Security Toolkit (GSKit) - Tivoli Access Manager Runtime
- IBM SecureWay Directory クライアント
- Tivoli Access Manager 許可サーバー
注: Active Directory をユーザー・レジストリーとしてインストールする場合は、
IBM SecureWay Directory クライアントは、セキュア・ドメイン内の Tivoli Access Manager システム上では必要ありません。
IBM Global Security Toolkit (GSKit)
IBM Global Security Toolkit を使用する際によくある 2 つの問題は、次のとおりで す。
v GSKit がインストールされていない
v GSKit の正しくないバージョンがインストールされている (おそらく、Tivoli
Access Manager の前のバージョンが残されています)
次のコマンドを実行して、 GSKit が正しいバージョンであるかを確認することがで きます。
gsk5ver(.exe)
このコマンドは、すべての GSKit 共用ライブラリーを呼び出し、各ライブラリーに 関するバージョン情報を表示するためのものです。
LDAP サーバー
IBM SecureWay LDAP クライアントと LDAP サーバーとの間の通信は、
ldapsearch コマンドを使用して検査することができます。このコマンドを使用し
て、 LDAP サーバー・ソフトウェアのバージョンを表示することもできます。この コマンド (1 行で入力してください) は、 IBM SecureWay Directory クライアント のコピーがインストールされている任意のマシンから実行することができます。
ldapsearch -h <ldapserver-hostname> -p 389 -D "<ldapadminDN>" ¥ -w <ldapadmin-password> -b "" -s base objectclass=*
このコマンドの出力は、サポートされるどの LDAP サーバーを使用するかに応じて 異なります。次の出力は、IBM SecureWay LDAP Server によって生成されます。
namingcontexts=CN=SCHEMA namingcontexts=CN=LOCALHOST subschemasubentry=cn=schema supportedextension=1.3.18.0.2.12.1 supportedextension=1.3.18.0.2.12.3 supportedextension=1.3.18.0.2.12.5 supportedextension=1.3.18.0.2.12.6 supportedcontrol=2.16.840.1.113730.3.4.2 supportedcontrol=1.3.18.0.2.10.5
supportedcontrol=1.2.840.113556.1.4.473 supportedcontrol=1.2.840.113556.1.4.319 security=none
port=389
supportedsaslmechanisms=CRAM-MD5 supportedldapversion=2
supportedldapversion=3 ibmdirectoryversion=4.1
ibm-ldapservicename=ldapserverhostname.domainname ibm-adminid=CN=ROOT
ibm-servertype=master
ibm-supportedacimechanisms=1.3.18.0.2.26.2 vendorname=International Business Machines (IBM) vendorversion=4.1
ibm-sslciphers=N/A
LDAP サーバーに対して SSL が構成されている場合は、次のコマンド (1 行で入力 してください) を使用して SSL 接続を検査することができます。
ldapsearch -h <ldapserver-hostname> -p 636 -D "<ldapadminDN>" ¥ -w <ldapadmin-password> -Z -K <client-keyfile> ¥
-P <key-password> -b "" -s base objectclass=*
この出力は、上記の出力と類似しているはずです。
IBM SecureWay Directory クライアント
次のコマンドを使用して、 IBM SecureWay Directory クライアントのバージョンを 判別することができます。
ldapsearch -e
LDAP サーバーに関する上記の検査手順では、LDAP サーバー・システム自体にイ ンストールされている IBM SecureWay Directory クライアントを使用しました。た だし、Active Directory を Tivoli Access Manager ユーザー・レジストリーに使用し ないのであれば、 LDAP サーバーがインストールされているマシンだけでなく、そ れぞれの Tivoli Access Manager システムに、IBM SecureWay Directory クライアン トをインストールする必要があります。
LDAP サーバーに関する上記の検査手順は、それぞれの Tivoli Access Manager シ ステム上の IBM SecureWay Directory クライアントの機能を検査する場合にも適し ます。
Active Directory
クライアント/サーバー構成
サーバー
次のメニューを用いて、Active Directory 用 MMC を開始します。
「スタート」>「プログラム」>「管理ツール」>
「Active Directory ユーザーとコンポーネント」
Active Directory 管理コンソールが正常に開始されており、 Active Directory ですべ てのオブジェクトをブラウズできる場合は、 Active Directory サーバーがその構成 を正しく完了しています。それ以外の場合は、 IBM Tivoli Access Manager Base イ ンストール・ガイド で説明している Active Directory の構成解除および再構成に関 する手順を実行してください。
クライアント
クライアントは、Tivoli Access Manager 構成を実行するために既存の Active
Directory ドメイン内に構成する必要があります。クライアント・マシンが Active
Directory ドメインの一部であることを確認するために、「システムのプロパティ」
を使用してクライアント・マシンの正しい構成を確認することができます。
「スタート」>「設定」>「コントロール パネル」>「システム」>「システムのプロパティ」
「コントロール パネル」で、「システム」アイコンをダブルクリックします。「シ ステムのプロパティ」ウィンドウが表示されます。「システムのプロパティ」ウィ ンドウで、「ネットワーク ID (Network Identification)」メニューをクリックしま す。「ネットワーク ID (Network Identification)」の「ドメイン」に正しい Active
Directory ドメインが含まれている場合は、それはクライアント・マシンが Active
Directory ドメイン内に適切に構成されていることを示します。
バージョン番号
サーバー
Active Directory は、Windows 2000 Advance Server のインストール・システムに組 み込まれます。したがって、このソフトウェアに関して考えられるバージョンは 1 つだけです。Active Directory サーバーの構成が正常に行われると、 Active
Directory サーバーはリブート処理時に自動的に開始されます。
クライアント
Active Directory は、Windows 2000 Advance Server のインストール・システムに組 み込まれます。したがって、このソフトウェアに関して考えられるバージョンは 1 つだけです。
ADSI を使用したクライアント / サーバー接続の確認
Windows 2000 オペレーティング・システム CD 上の SUPPORT¥TOOLS ディレク トリー内の「Windows 2000 Support Tools」をインストールします。このディレクト リーから、setup.exe を開始し、インストール・ガイドに従って「Windows 2000 Support Tools」のインストールを完了します。
次のメニューを使用して、「ADSI Edit MMC」ウィンドウを活動化します。