ICE を使用した、アクティブディレクトリスキーマの Novell eDirectory への移行

Š 一部の

objectClass

定義には、 必須属性 リ ス ト と し てuserPasswordが含ま れ る 場合が あ り ます。 こ れ ら の

objectClasses

を

eDirectory

に追加す る と 、 次のエ ラ ーが発生 し ます。

LDAPエ ラ ー: 16 (該当す る 属性はあ り ません)

こ のエ ラ ーを解決す る には、

objectClass

定義を変更 し て、

ndsLoginProperties

か ら 新 し い

objectClass

を継承 し 、 必須属性 リ ス ト か ら

userPassword

属性を削除 し ます。

例 ：

必須属性 リ ス ト に

userPassword

が含まれ る

objectClass

の場合 ： version : 1

dn: cn=schemaz changetype: modify add: objectClasses

objectClasses: ( 0.9.2342.19200300.100.4.19 NAME 'simpleSecurityObject' DESC '

Standard LDAP objectClass' SUP top STRUCTURAL MUST userPassword ) 次の よ う に変更す る 必要があ り ます

(

最終行の変更に注意 し て く だ さ い

)

： version : 1

dn: cn=schema changetype: modify add: objectClasses

objectClasses: ( 0.9.2342.19200300.100.4.19 NAME 'simpleSecurityObject' DESC '

Standard LDAP objectClass' SUP (ndsLoginProperties $ top) STRUCTURAL )

手順 1 ：スキーマキャッシュの更新操作を実行する

ICE

を使用 し て、 ス キーマ を ア ク テ ィ ブデ ィ レ ク ト リ か ら

Novell eDirectory

へ移行 し 、 次の よ う に

ICE

のエ ラ ー ロ グオプシ ョ ン

(-e)

が提供 さ れてい る こ と を確認 し ます。

ice -e error_file -S ldap -s Active_Directory_server -p Active_Directory_port -d Active_Directory_full_admin_context -w Active_Directory_password -D ldap -s eDirectory_server -p eDirectory_port -d eDirectory_full_admin_context -w eDirectory_password

例 ：

ice -e err.ldf -S ldap -s activesrv1 -p activeport1 -d cn=admin,o=company -w activepwd -D ldap -s edirsrv2 -p edirport2 -d cn=admin,o=company -w edirpwd

手順 2 ：エラーを解決するためにエラー LDIF ファイルを訂正する

失敗 し たエン ト リ は次の よ う に

err.ldf

フ ァ イ ルに記述 さ れてい ます。

dn: cn=schema changetype: modify delete: objectclasses

objectclasses: ( 2.16.840.1.113719.1.1.6.1.4 NAME 'computer' )

-add: objectclasses

objectclasses: ( 2.16.840.1.113719.1.1.6.1.4 NAME 'computer' SUP (device $ user ) STRUCTURAL MAY (operator $ server $ status $ cn $ networkAddress $ local PolicyFlags $ defaultLocalPolicyObject $ machineRole $ location $ netbootInitialization $ netbootGUID $ netbootMachineFilePath $ siteGUID $ operatingSystem $ operatingSystemVersion $ operatingSystemServicePack $ operatingSystemHotfix $ volumeCount $ physicalLocationObject $ dNSHostName $ policyReplicationFlags $ managedBy $ rIDSetReferences $ catalogs $ netbootSIFFile $ netboot MirrorDataFile ) X-NDS_NOT_CONTAINER '1' X -NDS_NONREMOVABLE '1' X-NDS_NAME 'Computer' )

-次の例で強調表示 さ れてい る 部分の よ う に、 エ ラ ーフ ァ イ ル

(

例では

err.ldf)

で こ のエ ン ト リ を編集 し て、 「Computer」 オブジ ェ ク ト ク ラ ス の定義にあ る スーペ リ アオブジ ェ ク ト ク ラ ス の リ ス ト か ら 「user」 オブジ ェ ク ト ク ラ ス を削除 し ます。

dn: cn=schema changetype: modify delete: objectclasses

objectclasses: ( 2.16.840.1.113719.1.1.6.1.4 NAME 'computer' )

-add: objectclasses

objectclasses: ( 2.16.840.1.113719.1.1.6.1.4 NAME 'computer' SUP device STRUCTURAL MAY (operator $ server $ status $ cn $ networkAddress $ local PolicyFlags $ defaultLocalPolicyObject $ machineRole $ location $

netbootInitialization $ netbootGUID $ netbootMachineFilePath $ siteGUID $ operatingSystem $ operatingSystemVersion $ operatingSystemServicePack $ operatingSystemHotfix $ volumeCount $ physicalLocationObject $ dNSHostName $ policyReplicationFlags $ managedBy $ rIDSetReferences $ catalogs $ netbootSIFFile $ netbootMirrorDataFile ) X-NDS_NOT_CONTAINER '1' X -NDS_NONREMOVABLE '1' X-NDS_NAME 'Computer' )

-手順 3 ： LDIF ファイルのインポート

次の

ICE

コ マ ン ド を使用 し て、 変更 さ れたエン ト リ を イ ン ポー ト し ます。

ice -S ldif -f LDIF_file -D ldap -s Novell_eDirectory_server -p port_number -d full_admin_context -w password

例 ：

ice -S ldif -f err.ldf -D ldap -s edirsrv1 -p edirport1 -d cn=admin,o=company -w pwd1

OpenLDAP から Novell eDirectory への移行

Š

56 ページの 「前提条件」

Š

56 ページの 「OpenLDAP

ス キーマの

eDirectory

への移行」

Š

57 ページの 「Open LDAP

デー タ の

Novell eDirectory

への移行」

Š

58 ページの 「移行後に PAM

を

Novell eDirectory

で動作可能にす る 」

前提条件

OpenLDAP

サーバか ら 移行 し たデー タ は、

MD5

パス ワー ド を含んでい る こ と があ り ま す。 こ の場合、 適切な

NMAS

メ ソ ッ ド が イ ン ス ト ール さ れていない と 、 アプ リ ケー シ ョ ンが中断す る こ と があ り ます。

NMAS

メ ソ ッ ド の

SimplePassword

を、 次に示す コ マ ン ド を使用 し て

Novell eDirectory

用に イ ン ス ト ールす る 必要があ り ます。

nmasinst -addmethod admin_context treename configfile -h Hostname:port-w password

例 ：

nmasinst -addmethod admin.novell eDir-Tree /Linux/eDirectory/nmas/NmasMethods/

Novell/SimplePassword/config.txt -h eDir_srv:524 -w secret

OpenLDAP スキーマの eDirectory への移行

OpenLDAP

ス キーマ を

eDirectory

に移行す る には、 次の手順に従っ て く だ さ い。

Š

57 ページの 「手順 1

： ス キーマキ ャ ッ シ ュ の更新操作を実行す る 」

Š

57 ページの 「手順 2

： エ ラ ーを解決す る ためにエ ラ ー

LDIF

フ ァ イ ルを訂正す る 」

手順1：スキーマキャッシュの更新操作を実行する

次の コ マ ン ド を使用 し て、 ス キーマの比較中に検出 さ れたエ ラ ーをエ ラ ーフ ァ イ ルに 書 き 込む こ と がで き ます。

ice -e error_file -C -a -S ldap -s OpenLDAP_server -p Open_LDAP_port - D ldap -s eDirectory_server -p eDirectory_port -d eDirectory_full_admin_context -w eDirectory_password

例 ：

ice e err.ldf C a SLDAP s open_srv1 p open_port1 DLDAP s edir_srv2 -p edir_-port2 -d cn=admin,o=novell -w secret

ス キーマの比較中に検出 さ れたエ ラ ーはすべてエ ラ ーフ ァ イ ル

(

例では

err.ldf)

に書 き 込まれます。

手順2：エラーを解決するためにエラーLDIFファイルを訂正する

Open LDAP

では、 い く つかの ス キーマ定義が公式に定義 さ れてい ます。 こ れ ら の定義 には、

objectClasses、 attributeTypes、 ldapSyntaxes、 お よ び subschemSubentry

な ど の属性 が含まれます。 こ れ ら の定義は内部に存在 し 、 ス キーマに と っ て非常に重要です。 し たが っ て、 こ れ ら の定義を変更す る こ と はで き ません。 こ れ ら の定義を変更 し よ う と す る と 、 次のエ ラ ーが発生 し ます。

LDAPエ ラ ー: 53 (DSAが動作 し ません)

こ れら の定義の参照が含ま れる すべてのレ コ ード に対し て、 次のエラ ーが表示さ れま す。

LDAPエ ラ ー: 16 (該当す る 属性はあ り ません)

し たが っ て、 こ れ ら のオブジ ェ ク ト への参照が含まれ る レ コ ー ド ま たは こ れ ら の定義 の変更を試行す る レ コ ー ド は、

LDIF

エ ラ ーフ ァ イ ル

(

例では

err.ldf)

に コ メ ン ト と し て 記入 さ れてい る 必要があ り ます。

Open LDAP データの Novell eDirectory への移行

次の コ マ ン ド を実行 し てデー タ を移行 し ます。

ice -e error_data.ldif -SLDAP -s OpenLDAP_server -p OpenLDAP_port -d admin_context w password t b dc=blr,dc=novell,dc=com F objectclass=* -DLDAP -d admin_context -w password -l -F

例 ：

ice -e err_data.ldif -SLDAP -s open_srv1 -p open_port1 -d cn=administrator,dc=blr,dc=novell,dc=com -w secret1 -t -b

dc=blr,dc=novell,dc=com -F objectclass=* -DLDAP -d cn=admin,o=novell -w secret2 -l -F

オブジ ェ ク ト に よ っ ては、 前方参照やオブジ ェ ク ト への内部依存のために失敗す る も の も あ り ますが、 アプ リ ケーシ ョ ンが中断す る こ と はほ と ん ど あ り ません。

移行後に PAM を Novell eDirectory で動作可能にする

OpenLDAP

か ら

eDirectory

に移行 し た ら 、

PAM

が

eDirectory

で動作す る よ う にす る た め、 い く つか変更す る 必要があ り ます。

/etc/ldap.confファイルの変更

# The distinguished name to bind to the server with.

# Optional: default is to bind anonymously.

binddn cn=admin,o=acme ...

# The credentials to bind with.

# Optional: default is no credential.

bindpw secret ...

# The search scope.

scope sub ...

# Filter to AND with uid=%s

pam_filter objectclass=inetorgperson ...

# Remove old password first, then update in

# cleartext.Necessary for use with Novell

# Directory Services (NDS) pam_password nds

...

ssl off ...

ディレクトリ内のデータの変更

こ の変更は、

OpenLDAP

のユーザオブジ ェ ク ト でパス ワー ド のハ ッ シ ュ アルゴ リ ズ ム と し て

CRYPT

を使用す る シナ リ オにのみ行い ます。

iManager

を使用 し て、 規定値のあ る 次の属性を、 すべてのユーザオブジ ェ ク ト を持つ

コ ン テナに追加 し ます。

属性 ：

sasDefaultLoginSequence

値 ： 単純パ ス ワー ド

9 ^複製

Š

59 ページの 「eDirectory

レ プ リ カ問題か ら 回復す る 」

eDirectory レプリカ問題から回復する

eDirectory

では、

Novell

の強力なデ ィ レ ク ト リ サービ ス、 お よ び複製に よ る 障害対策が 提供 さ れてい ます。 複製に よ り 、

eDirectory

デー タ ベース ま たはその一部の コ ピーを、

複数のサーバで同時に保持で き ます。

eDirectory

パーテ ィ シ ョ ンの レ プ リ カは、 常に複数作成 し ておいて く だ さ い。 レ プ リ カ を複数作成 し てお く こ と で、 あ る レ プ リ カがハー ド デ ィ ス ク の故障で破損 し た り 失わ れた り し た場合で も 、ConsoleOne^®ま たは

Novell iManager

を使用 し てその レ プ リ カ を削 除 し 、 破損 し ていない レ プ リ カか ら 作成 し た新 し い レ プ リ カに置 き 換え る こ と がで き

ます。

レ プ リ カの削除の詳細については、 『Novell eDirectory 8.8 管理ガ イ ド』 の 「レ プ リ カ を 削除す る」 を参照 し て く だ さ い。

10 ^Novell パブリックキーインフラストラクチャサー ビス

Š

61 ページの 「PKI

操作が機能 し ない」

Š

61 ページの 「Netscape

ア ド レ ス ブ ッ ク の

LDAP

検索の失敗」

Š

62 ページの 「重要な レ プ リ カ と い う エ ラ ー コ ー ド が表示 さ れ、 既存の eDirectory

オ ブジ ェ ク ト の別のサーバへの移動が失敗 し た後に、 マルチサーバツ リ ー内で ツ リ ー キーサーバ と し て機能 し てい る

eDirectory

サーバの削除」

Š

62 ページの 「CA

を保持 し てい る

eDirectory

サーバのア ン イ ン ス ト ール中に、サーバ に作成 さ れた

KMO

が ツ リ ー内の別のサーバに移動 さ れて無効にな る」

PKI 操作が機能しない

ConsoleOne

ま たは

iManager

で

PKI

操作が機能 し ない場合、

Novell PKI

サービ ス が

Linux、 Solaris、 AIX、 ま たは HP-UX

ホ ス ト で実行 さ れていない こ と が考え ら れます。

「npki - 1」 と 入力 し て

PKI

サービ ス を開始 し て く だ さ い。

証明書を作成で き ない場合は、

NICI

モジ ュ ールが正 し く イ ン ス ト ール さ れてい る か確 認す る 必要があ り ます。 『Novell eDirectory 8.8 管理ガ イ ド』 の 「サーバ上の

NICI

モ ジ ュ ールを初期化す る」 を参照 し て く だ さ い。

NICI

が イ ン ス ト ール さ れてい る か ど う か を確認す る には、 『Novell eDirectory 8.8管理ガ イ ド』 の 「サーバ上に

NICI

が イ ン ス

ト ールお よ び初期化 さ れてい る か ど う か を確認す る」 を参照 し て く だ さ い。

Netscape アドレスブックの LDAP 検索の失敗

エ ク ス ポー ト バージ ョ ンの

Netscape

ブ ラ ウ ザお よ び

LDAP

サーバオブジ ェ ク ト に関連 付け ら れた

512

ビ ッ ト よ り も 大 き な

KMO

キーサ イ ズ を使用 し てい る 場合、

Netscape

ア

ド レ ス ブ ッ ク の

LDAP

検索が失敗す る こ と があ り ます。

こ の場合は、 米国版の

Netscape

ブ ラ ウ ザを使用 し て く だ さ い。

重要なレプリカというエラーコードが表示され、既存の eDirectory オ ブジェクトの別のサーバへの移動が失敗した後に、マルチサーバツリー 内でツリーキーサーバとして機能している eDirectory サーバの削除

こ の操作を完了す る には、 ［セキ ュ リ テ ィ コ ン テナ］

>

［KAP］ 以下にあ る

W0

オブ ジ ェ ク ト で、 キーサーバ

DN

属性を こ のサーバか ら ツ リ ーキーを ダ ウ ン ロ ー ド し た ツ

リ ー内にあ る 別のサーバに変更 し ます。

1

Novell iManager

で、 ［役割お よ び タ ス ク ］ ボ タ ン を ク リ ッ ク し ます。

2 ［eDirectory管理］

>

［オブジ ェ ク ト の変更］ の順に ク リ ッ ク し ます。

3

W0

オブジ ェ ク ト 名お よ び コ ン テ キ ス ト

(

通常は、

W0.KAP.Security)

を指定 し て、

［OK］ を ク リ ッ ク し ます。

4 ［値があ る 属性］ カ ラ ム で、 ［NDSPKI:SDキーサーバ

DN］ を選択 し てか ら 、 ［編集］

を ク リ ッ ク し ます。

5 ［セキ ュ リ テ ィ ド メ イ ン キーサーバの

DN］ フ ィ ール ド で別のサーバの名前 と コ ン テ

キ ス ト を指定 し てか ら 、 ［OK］ を ク リ ッ ク し ます。

6 ［適用］ を ク リ ッ ク し 、 ［OK］ を ク リ ッ ク し ます。

CA を保持している eDirectory サーバのアンインストール中に、サーバ に作成された KMO がツリー内の別のサーバに移動されて無効になる

こ の場合、 ツ リ ーの

CA

およ び

KMO

を も う 一度作成する必要があ り ます。 詳細につい ては、 『Novell eDirectory 8.8管理ガ イ ド』 の 「組織の認証局オブジ ェ ク ト を作成す る」 およ び 「サーバ認証オブジ ェ ク ト を作成す る」 を参照し て く だ さ い。

ツ リ ーの

CA

を保持す る

eDirectory

は、 ア ン イ ン ス ト ール し ない こ と をお勧め し ます。

11 ^{Linux および UNIX} でのトラブルシューティングの ユーティリティ

Š

63 ページの 「Novell

イ ン ポー ト

/

エ ク ス ポー ト 変換ユーテ ィ リ テ ィ 」

Š

63 ページの 「ndsmerge

ユーテ ィ リ テ ィ 」

Š

63 ページの 「ndstrace

ユーテ ィ リ テ ィ 」

Š

64 ページの 「ndsbackup

ユーテ ィ リ テ ィ 」

Š

64 ページの 「Ndsrepair

を使用す る 」

Š

71 ページの 「ndstrace

の使用」

Novell インポート / エクスポート変換ユーティリティ

LDAP

サーバが リ フ レ ッ シ ュ ま たはア ン ロ ー ド さ れ る と 、

Novell

イ ン ポー ト

/

エ ク ス ポー ト 変換操作の実行中に 「LBURP operation is timed out」 と い う メ ッ セージが

Novell

イ ン ポー ト

/

エ ク ス ポー ト 変換画面上に表示 さ れます。

LBURP

操作が タ イ ム ア ウ ト し た場合、 サーバは後で復元 さ れます。

ndsmerge ユーティリティ

マージ操作後は、

PKI

サーバはア ク テ ィ ブにな っ てい ません。 し たがっ て、

upki -l

コ マ ン ド を使用 し て再起動す る 必要があ り ます。

異な る バージ ョ ンの製品では、 マージ操作が成功 し ない こ と があ り ます。 サーバで古 いバージ ョ ンの

NDS

ま たは

eDirectory

が実行 さ れてい る 場合は、 最新バージ ョ ンの

eDirectory

にア ッ プデー ト し てか ら マージ操作を続行 し て く だ さ い。

ツ リ ーに付随す る よ く 似た名前の コ ン テナが ソ ース ツ リ ーお よ び タ ーゲ ッ ト ツ リ ーの 両方にあ る 場合、

2

つのツ リ ーのマージは成功 し ません。 ど ち ら かの コ ン テナ名を変更

し てか ら 、 マージ操作を続行 し て く だ さ い。

結合操作の実行中に、 「_-611不正な包含ルールです」 と い う エ ラ ー メ ッ セージが表示 さ れ る場合があ り ます。

ndsrepair(1)

を実行し て ス キーマを変更し ます。 次に、

ndsrepair -s

を実行し 、 ［オプシ ョ ン ス キーマ拡張機能］ を選択し ます。

ndstrace ユーティリティ

ndstrace (1)

画面を オンにす る と 、 参照 リ ン ク に対す る プ ラ イ マ リ オブジ ェ ク ト が不正 であ る こ と を示すエ ラ ー メ ッ セージが表示 さ れ る 場合があ り ます。

eDirectory

が正常に

ドキュメント内 Novell eDirectory 8.8 トラブルシューティングガイド (ページ 58-93)