Conversational Monitor System (CMS) 鍵データベースをサポートするように GSKit をセットアップするには、以下の手順を実行してから iKeyman GUI を始動しま す。
1. GSKit 7a をインストール済みであることを確認します。
2. IBM JRE または JDK 1.4.1、あるいはこれらと等価の JRE または JDK をイン ストールします。
3. Java 1.4.1 をインストールしたディレクトリーを指すように JAVA_HOME を設
定します。以下に例を示します。
v Windows の場合は、JAVA_HOME=c:¥Program Files¥IBM¥Java14 を設定しま す。
v AIX の場合は、JAVA_HOME=/usr/ldap/java をエクスポートします。
4. AIX の場合は、コマンド・プロンプトで次のように入力して、/usr/ldap/jre to
/usr/ldap/java からのリンクを作成します。
ln -s /usr/ldap/java /usr/ldap/jre
5. ibmjsse.jar、gskikm.jar (存在する場合)、および ibmjcaprovider.jar の各ファイルを Windows の JAVA_HOME¥jre¥lib¥ext ディレクトリーから除去します。このディ レクトリーは、AIX の場合は JAVA_HOME/lib/ext (/usr/ldap/java/lib/ext) となり ます。
6. JAVA_HOME¥jre¥ (AIX の場合は /usr/ldap/java/) ディレクトリーに、以下の JAR ファイルが置かれていることを確認してください。
v lib/ext/ibmjceprovider.jar v lib/ext/ibmpkcs.jar v lib/ibmjcefw.jar
v lib/ext/ibmjcefips.jar (FIPS をサポートするためのオプション) v lib/security/local_policy.jar
v lib/security/US_export_policy.jar v lib/ibmpkcs11.jar
Solaris の場合は、JDK 1.4 により、ユーザーが管轄権ポリシー・ファイルを保
有する必要があります。 いくつかの国に対する輸入制限により、J2SDK バージ
ョン 1.4.1 ソフトウェアとともに配布された管轄権ポリシー・ファイルには、利
用可能な暗号強度にあらかじめ制限が設けられています。 Solaris システムで は、暗号強度に制限のない管轄権ポリシー・ファイルが必要です。
管轄権ポリシー・ファイルの詳細については、次の Web サイトを参照してくだ さい。
http://java.sun.com/products/jce/index-14.html
ダウンロードするには、次の Web サイトにアクセスしてください。
http://java.sun.com/j2se/1.4/download.html#docs
注: GSKit では、ユーザーの便宜を図るため、前述の jar ファイルや
ibmpkcs11.jar ファイルを GSKit_installation_path¥classes¥jre¥lib¥ext に用意し てあります。 これらの JSSE jar ファイルを製品に組み込んで出荷するかど うかは、個々の製品で決めることになっています。以下に GSKit の推奨事 項を示します。
v システムのテストに使用する JSSE jar ファイルは、すべて製品に組み込 んで出荷する。
v 既存の Java システムの JSSE jar ファイルが GSKit に必要なファイルよ り新しい場合、処理は必要ない。
v 既存の Java システムの JSSE jar ファイルが GSKit に必要なファイルよ り古い場合は、古い JSSE jar ファイルを GSKit の jar ファイルで置き換 える。GSKit iKeyman は、古い JSSE jar ファイルを処理します。 ただ し、使用の JDK システムに組み込まれていない既知のバグ修正プログラ ムが原因で、iKeyman の一部の機能が動作しない場合があります。
7. GSKit ユーザーは、以下のようにして IBM CMS および IBM JCE の両方のサ
ービス・プロバイダーに登録する必要があります。
JAVA_HOME/jre/lib/security/java.security ファイルを更新し、Sun プロバイダーの
後に IBM CMS および IBM JCE の両方のプロバイダーを追加します。以下に
例を示します。
security.provider.1=sun.security.provider.Sun security.provider.2=com.ibm.spi.IBMCMSProvider security.provider.3=com.ibm.crypto.provider.IBMJCE java.security ファイルのサンプルは、
GSKit_Installation_path¥classes¥gsk_java.security にあります。
FIPS 操作を使用可能にするには、JAVA_HOME/jre/lib/security/java.security ファ イルを更新して、Sun プロバイダーの後に IBMCMS、IBMJCE、IBMJCEFIPS の 各プロバイダーを追加します。 IBMJCEFIPS プロバイダーの方が IBMJCE より も高い優先順位で登録されていることを確認してください。 以下に例を示しま す。
security.provider.1=sun.security.provider.Sun security.provider.2=com.ibm.spi.IBMCMSProvider
security.provider.3=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.4=com.ibm.crypto.provider.IBMJCE
8. このステップはオプションです。JSSE ユーザーが JSSE を使用して暗号ハード ウェアにアクセスする場合は、JAVA_HOME¥jre¥lib¥ext ディレクトリーに ibmpkcs11.jar をインストールし、
GSKit_Installation_path/classes/native/native-support.zip に記載されている手順に従 って暗号ハードウェア DLL をセットアップしてください。
注: ibmpkcs11.jar ファイルは、2002 年 8 月 5 日以降にリリースされた JSSE パッケージにも収録されています。 IBMPKCS11 サービス・プロバイダーを 登録するために、次の例では、JAVA_HOME/jre/lib/security/java.security ファ イルを更新しています。
security.provider.1=sun.security.provider.Sun security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.crypto.pkcs11.provider.IBMPKCS11
付録 J. /home が NFS マウントの場合、/home 以外のロケーシ ョンに存在するデータベースの構成
UNIX システムでは、NFS 自動マウントを使用する場合、/home 以外のロケーショ ンにデータベースを作成するには、すべてを手動で構成する必要があります。この 状況で手動構成を実行すると、ldapcfg コマンドによる /home への書き込みの問題 を回避することにもなります。
注:
1. 以下の手順では、インスタンスの所有者が ldapdb2、DB2のインスタンスが
ldapdb2、データベース名が ldapdb2 であるデータベースをセットアップするこ
とを前提としています。
2. システム・ファイルを編集する場合は、その前にファイルのコピーを保存してお くことを強くお勧めします。
1. データベース管理者向けに dbsysadm という名前のグループを作成します。
groupadd [-g <gid>] dbsysadm
注: 一部の Linux 配布版の groupadd コマンドでは、-g <gid> 構文を使用し てグループ ID 番号 (GID) を指定する必要があります。 使用可能なグル ープ ID 番号を検索するには、
cat /etc/group
と入力します。Red Hat では、-g オプションを指定しなかった場合、使用 可能な次の GID が自動的に割り当てられます。
2. ユーザー root と ldap を dbsysadm グループに追加します。
usermod -G dbsysadm root usermod -G dbsysadm ldap
3. DB2 のインスタンスに対してユーザー・アカウント (ldapdb2) を作成します。
useradd -g dbsysadm -m ldapdb2
4. このユーザー・アカウントのパスワード (ldapdb2) を設定します。
passwd ldapdb2
プロンプトが表示されたら、新しいパスワードを入力します。 将来参照できる ように、このパスワードは記録しておきます。
5. データベースのインスタンスを作成します。
<LDAPHOME>/db2/instance/db2icrt -u ldapdb2 ldapdb2
ここで、<LDAPHOME> は、以下のいずれかになります。
v AIX、Linux オペレーティング・システムの場合: /usr/ldap v Solaris オペレーティング・システムの場合: /opt/IBMldaps v HP-UX オペレーティング・システムの場合: /usr/IBMldap 6. データベースのユーザー ID でログインします。
su - ldapdb2
7. データベース・マネージャーを始動します。
db2start
8. インスタンスの下にデータベースを作成します。
db2 create db ldapdb2 on <location> using codeset UTF-8 territory US
注: using codeset UTF-8 territory US を省略すると、データベースはローカ ルのコード・ページで作成されます。ただし、ローカルのコード・ページ を使用すると、パフォーマンスに影響があります。ファイル・システム上 にはデータベース用に 80MB 以上のフリー・スペースが必要です。 デー タベースを作成する前に、df -k を使用してフリー・スペースが十分あるこ とを確認してください。
9. 複数ページにわたるファイルの割り振りを使用可能にします。
db2empfa ldapdb2
注: これはパフォーマンスの強化の 1 つであり、実行後のやり直しはできませ ん。
10. DB2 のチューニング変数をいくつか更新します。
db2 update db cfg for <databasename> using <parm> <newvalue>
DB2 Parameter Minimum value allowed APPLHEAPSZ 2048
PCKCACHESZ 360 SORTHEAP 256
以下に例を示します。
db2 update db cfg for ldapdb2 using APPLHEAPSZ 1280
11. データベースは完全に構成されました。構成ファイルを更新して、このデータ ベースを使用できるようにします。 <LDAPHOME>etc/ibmslapd.conf の次のスタ ンザに、
dn: cn=Directory,cn=RDBM Backends,cn=IBM SecureWay,cn=Schemas,cn=Configuration objectclass: top
objectclass: ibm-slapdRdbmBackend cn: Directory
ibm-slapdPlugin: database /bin/libback-rdbm.dll rdbm_backend_init ibm-slapdDbConnections: 15
ibm-slapdSuffix: cn=localhost ibm-slapdReadOnly: FALSE 以下の行を追加します。
ibm-slapdDbInstance: ldapdb2 ibm-slapdDbAlias: ldapdb2b ibm-slapdDbUserId: ldapdb2 ibm-slapdDbUserPw: <user pw>
ibm-slapdDbLocation: <user defined location>
追加後のスタンザは以下のようになります。
dn: cn=Directory,cn=RDBM Backends,cn=IBM SecureWay,cn=Schemas,cn=Configuration objectclass: top
objectclass: ibm-slapdRdbmBackend cn: Directory
ibm-slapdPlugin: database /bin/libback-rdbm.dll rdbm_backend_init ibm-slapdDbInstance: ldapdb2
ibm-slapdDbAlias: ldapdb2b ibm-slapdDbUserId: ldapdb2 ibm-slapdDbUserPw: <user pw>
ibm-slapdDbLocation: <user defined location>
ibm-slapdDbConnections: 15 ibm-slapdSuffix: cn=localhost ibm-slapdReadOnly: FALSE
12. UTF-8 データ・ストアをステップ 8 (162ページ) で説明したように使用した場
合は、dn: cn=Front End, cn=Configuration というスタンザの次の行のコメント を外す必要があります。
#ibm-slapdSetEnv: DB2CP=1208
これで、このデータベースを Directory Server が使用する準備ができました。 サー バーは最初に専用の表スペースとバッファー・プールを作成する必要があるため、
最初の始動には時間がかかります。
付録 K. IBM Tivoli Directory Server 構成スキーマ
この付録では、ディレクトリー情報ツリー (DIT)、および ibmslapd.conf ファイルを 構成するために使用される属性について説明します。前のリリースの一部では、デ ィレクトリー構成の設定値は独自の形式で構成ファイルに保管されていました。バ ージョン 3.2 リリース以降では、ディレクトリーの設定値は LDIF 形式で構成ファ イルに保管されます。
5.1 リリースでは、構成ファイルの名前が slapd32.conf から ibmslapd.conf に変更さ れました。構成ファイルでのスキーマの使用も使用可能になりました。属性タイプ は v3.config.at ファイルに保管され、オブジェクト・クラスは v3.config.oc ファイル に保管されています。属性は、ldapmodify コマンドを使用して変更できます。
ldapmodify コマンドについては、「IBM Tivoli Directory Server 管理ガイド バー
ジョン 5.2」を参照してください。
ディレクトリー情報ツリー
cn=Configuration v cn=Admin v cn=AdminGroup v cn=Event Notification v cn=Front End v cn=Kerberos v cn=Master Server v cn=Referral v cn=Schema
– cn=IBM Directory - cn=Config Backends
v cn=ConfigDB - cn=RDBM Backends
v cn=Directory v cn=ChangeLog - cn=LDCF Backends
v cn=SchemaDB v cn=SSL
– cn=CRL v cn=Transaction v cn=Digest v cn=admin audit v cn=Audit
cn=Configuration
DN cn=Configuration
説明 これは、構成 DIT 内でトップレベルの項目です。サーバーに対するグロー バル・インタレストのデータを保持していますが、実際は、各種の項目も含 まれています。この項目内のすべての属性は、ibmslapd.conf の先頭セクショ
ン (グローバル・スタンザ) からのものです。
数 1 (必須)
オブジェクト・クラス ibm-slapdTop 必須属性
v cn
v ibm-slapdAdminDN v ibm-slapdAdminPW v ibm-slapdErrorLog v ibm-slapdPort
v ibm-slapdPwEncryption v ibm-slapdSizeLimit v ibm-slapdSysLogLevel v ibm-slapdTimeLimit v ibm-slapdDerefAliases v objectClass
オプションの属性
v ibm-slapdConcurrentRW (使用しないでください) v ibm-slapdMaxPendingChangesDisplayed
v ibm-slapdServerId
v ibm-slapdSupportedWebAdmVersion v ibm-slapdVersion
v ibm-slapdAdminGroupEnabled v ibm-slapdStartupTraceEnabled v ibm-slapdTraceMessageLog v ibm-slapdTraceMessageLevel
cn=Admin
DN cn=Admin, cn=Configuration
説明 IBM 管理デーモンのグローバル構成設定値。
数 1 (必須)
オブジェクト・クラス ibm-slapdAdmin 必須属性