HP OpenVMS ACME LDAP インストレーションおよび構成ガイド

OpenVMS ACME LDAP

インストレーションおよび構成ガイド

2013 年 3 月 第 1.0 版

© Copyright 2013 Hewlett-Packard Development Company, L.P. 著作権情報

本書の著作権は Hewlett-Packard Development Company, L.P. が保有しており， 本書中の解説および図，表は Hewlett-Packard Development Company, L.P. の文書によ る許可なしに，その全体または一部を，いかなる場合にも再版あるいは複製することを禁 じます。 日本ヒューレット・パッカードは，弊社または弊社の指定する会社から納入された機器以外の機器で対象ソフトウェアを使用した場合，その 性能あるいは信頼性について一切責任を負いかねます。 本書に記載されている事項は，予告なく変更されることがありますので，あらかじめご承知おきください。 万一，本書の記述に誤りがあった 場合でも，弊社は一切その責任を負いかねます。 本書で解説するソフトウェア (対象ソフトウェア) は，所定のライセンス契約が締結された場合に限り，その使用あるいは複製が許可されま す。

Intel および Itanium は米国 Intel 社の米国ならびに他の国における登録商標です。 Microsoft および Windows は，Microsoft Corporation の米国 ならびに他の国における登録商標です。

原典

目次

まえがき...5

本書の構成...5 本書の対象読者...5 本書の表記表...5

1 概要...7

2 ACME LDAP エージェントのインストールと構成...9

2.1 前提条件...9 2.2 セットアップの概要...9

2.3 SYS$ACM (ACMELOGIN) 対応の LOGIN PCSI キットおよび ACME LDAP PCSI キットのイン ストール...9

2.4 LDAP ペルソナ拡張の設定...11

2.5 ACME LDAP エージェントの構成...11

2.5.1 LDAP 構成ファイルの編集...12

2.5.2 ACME LDAP エージェントの起動...17

2.6 OpenVMS での ExtAuth および VMSAuth フラグの指定...17

2.7 構成ファイルの例...19 2.8 LDAP 冗長ディレクトリサーバーのサポート...19

3 グローバルマッピングとローカルマッピング...21

3.1 グローバルマッピングとローカルマッピングの構成例...22 3.1.1 グローバルマッピングの構成...23 3.1.2 ローカルマッピングの構成...23

4 スタンドアロン Active Directory サーバーと OpenVMS ACME LDAP エージェ

ントの構成例...25

4.1 Active Directory の構成...26 4.1.1 Active Directory をドメインコントローラとして設定...26 4.1.1.1 Active Directory のインストール...29 4.2 Active Directory のアカウント作成...34 4.3 ACME LDAP 構成パラメータ値の展開...37 4.3.1 LDAP ポートの照会...37 4.3.2 base_dn、bind_dn および login_attribute の展開...37 4.4 非セキュアポートのための ACME LDAP エージェントの構成...38 4.5 セキュアポートに対して ACME LDAP を有効にする...42 4.5.1 Active Directory 証明書の作成...42 4.5.2 セキュアポートのための ACME LDAP の構成...48

4.6 ACME LDAP への Active Directory 証明書の提供...48

4.6.1 Active Directory での証明書の表示...48 4.6.2 OpenVMS への証明書の追加...57

5 問題発生時の対応...59

5.1 LDAPACME$INIT 論理名定義に関するエラー...59 5.2 ACME$START.COM 実行時に発生するパラメータ指定に関するエラー...59 5.3 LDAP エージェントが正しく起動されない問題...59 5.4 ログインに関する問題...61 目次 3

5.5 FAQ...62

6 制限事項...65

6.1 ユーザー名およびパスワードに関する制限事項...65 6.2 マッピングに関する制限事項...65

7 参考資料...67

索引...69

4 目次

まえがき

本書は、ユーザーの外部認証のために ACME (Authentication and Credentials Management Extensions) LDAP エージェントと ディレクトリサーバーを構成する方法について説明していま す。また、外部ユーザーログインのためにグローバルおよびローカル・マッピングを可能にす る方法についても説明しています。

本書の構成

本書の構成は以下のとおりです。 • 第1章 「概要」 • 第2章 「ACME LDAP エージェントのインストールと構成」 • 第3章 「グローバルマッピングとローカルマッピング」

• 第4章 「スタンドアロン Active Directory サーバーと OpenVMS ACME LDAP エージェント の構成例」 • 第5章 「問題発生時の対応」 • 第6章 「制限事項」 • 第7章 「参考資料」

本書の対象読者

本書は OpenVMS のシステム管理者を対象にしています。セキュリティについての詳細は、下 記の URL の OpenVMS の Web サイトにある『 OpenVMS システム・セキュリティ・ガイ ド』を参照してください。 http://www.hpe.com/jp/openvms/

本書の表記表

本書では，以下の表記法を使用しています。 意味 表記法 例の中でこの水平方向の反復記号が使用されている場合は，次のいず れかを示します。 • 文中のその他のオプション引数が省略されている。 • 先行する 1 つまたは複数の項目を繰り返すことができる。 • パラメータや値などの情報をさらに入力できる。 … 垂直方向の反復記号は，コードの例やコマンド形式の中で項目が省略 されていることを示します。この反復記号で項目が省略されている場 合は，その部分が説明の内容にとって重要ではないことを意味してい ます。 . . . コマンド形式の記述でこの記号が使用されている場合は，選択オプショ ンを複数個指定するときにそれらの選択オプションを括弧で囲む必要 があることを示します。インストールやアップグレードの表示例では， 次に示すように，プロンプトに対する回答の候補を示します。Is this correct? (Y/N) [Y]

( )

意味 表記法 コマンド形式の記述で項目が大括弧で囲まれている場合は，その項目 が選択オプションであることを示します。項目を 1 つ以上選択するこ とも，すべて省略することもできます。コマンド行には，項目を囲ん でいるこの大括弧を入力しないでください。ただし，OpenVMS のディ レクトリ指定構文や，代入文の部分文字列指定構文に含まれる大括弧 は，省略できません。インストールやアップグレードの表示例で項目 が大括弧によって囲まれている場合は，プロンプトに対するデフォル トの回答を示します。値を入力しないで Enter を押すと，デフォルトの 回答が入力されたものとして処理されます。 次に，その例を示します。

Is this correct? (Y/N) [Y]

[ ] コマンド形式の記述で項目が中括弧で囲まれている場合は，その項目 が必須の選択オプションであることを示します。少なくとも 1 つの項 目を指定する必要があります。コマンド行には，この中括弧を入力し ないでください。 { } 太字のテキストは，引数，属性，理由を示します。 コマンドとスクリ プトの例で太字が使われている場合は，その部分をユーザが入力する ことを示します。太字は，新しい用語も表します。 bold type イタリック体のテキストは，重要な情報，ドキュメントの正式なタイ トル，または変数を示します。変数は，システムからの出力 (たとえば 「Internal error number」)，コマンド行 (たとえば

「/PRODUCER=name」)，または本文中のコマンド・パラメータ (たと えば「dd はデバイスの種類を表すコードです」) というように，一定 でない情報を表します。 italic type 英大文字のテキストは，コマンド，ルーチン名，ファイル名，または システム特権の短縮形を示します。 UPPERCASE TYPE この (等幅) フォントは，コード例，コマンド例，または会話操作中の 画面出力を示します。本文中では，Web サイトのアドレス，UNIX の コマンドやパス名，PC のコマンドやフォルダ名，または C プログラミ ング言語の特定要素を示すこともあります。 Example コマンド形式の記述，コマンド行，またはコード行の末尾にあるハイ フンは，コマンドや文が次の行まで続いていることを示します。 – 6

1 概要

LDAP (Lightweight Directory Access Protocol) と ACME (Authentication and Credentials Management Extension) 認証メカニズムを組み合わせて利用することにより、すべてのアカウントを 1 つの ディレクトリで集中管理するためのソリューションを提供できます。

OpenVMS で提供される ACME LDAP エージェントは、 LDAP に準拠したディレクトリサーバー の Simple Bind 認証を使用して、 ログイン機能を提供します。 この認証方式では、ユーザー は LDAP エントリー名とパスワードを入力して認証を受けます。 LDAP エントリーに設定され た LDAP 属性が、入力されたユーザー名とのマッチングに使用され、これにより認証が行われ ます。 以降の各章では、ACME LDAP エージェントの標準的なインストールおよび構成の方法 について説明します。 ネットワーク越しにクリアテキスト・パスワードが流出しないように、SSL (Secure Socket Layer)/TLS (Transport Layer Security) LDAP 通信がサポートされます。 また、専用の SSL ポート と、標準ポート経由の startTLS 操作がサポートされます。

2 ACME LDAP エージェントのインストールと構成

2.1 前提条件

• ご使用のシステムで OpenVMS Alpha V8.3 以上あるいは OpenVMS Integrity V8.3 以上を

実行していることが必要です。

• SYS$ACM (ACMELOGIN) 対応の LOGINOUT.EXE および SETP0.EXE イメージをインストー

ルしておく必要があります。 詳細は SYS$HELP:ACME_DEV_README.TXT ファイルを参照してください。

2.2 セットアップの概要

最初に、LDAP ディレクトリサーバーを構成し、ユーザーエントリーを追加しておく必要があ ります。 ACME LDAP エージェントは、以下の手順で構成できます。

1. SYS$ACM (ACMELOGIN) 対応の LOGIN PCSI キットおよび ACME LDAP PCSI キットのイ ンストール(2.3 項)

2. LDAP ペルソナ拡張の設定(2.4 項)

3. ACME LDAP エージェントの構成(2.5 項) 4. ACME LDAP エージェントの起動(2.5.2 項)

2.3 SYS$ACM (ACMELOGIN) 対応の LOGIN PCSI キットおよび ACME

LDAP PCSI キットのインストール

以下の手順で、SYS$ACM 対応の LOGIN キット (以前の ACMELOGIN) および ACMELDAP キッ トをダウンロードし、OpenVMS システムにインストールします。

1. HPE のパッチ Web サイト (HPE サポートセンター) から、 以下のような名前の適切な

LOGINPLUS キットをダウンロードします。 OpenVMS Integrity の場合： HP-I64VMS-<os_version>_LOGINPLUS-Vxxxx--4.PCSI あるいは OpenVMS Alpha の場合： DEC-AXPVMS-<os_version>_LOGINPLUS-Vxxxx--4.PCSI 上記のキット名の <os_version> の部分は OpenVMS オペレーティングシステムのバー ジョンに、また、-Vxxxx- の部分は LOGINPLUS キットのバージョンに置き換えてくださ い。 キット名は、たとえば VMS84I_LOGINPLUS_V0100 のように表記されています。 LOGINPLUS キットには、SYS$ACM 対応 (ACMELOGIN) のログイン・イメージ、および SYS$ACM 非対応 (LOGIN) のログイン・イメージが含まれています。

以前は、SYS$ACM 対応 (ACMELOGIN) および SYS$ACM 非対応 (LOGIN) のログインイ メージは、別々のキットで提供されていました。 現在はこれらのイメージは LOGINPLUS キットに統合されており、さらにイメージのタイプを検知するための機能が追加されてい ます。 なお、一般に LOGINPLUS キットは、当該キットのリリース後に提供される OpenVMS の アップデートキットに統合されるため、LOGINPLUS キットの代わりにそれらのアップデー トキットをインストールしてもかまいません。 2.1 前提条件 9

2. ご利用中の OS バージョンに応じて、 HPE のパッチ web サイトから適切な ACMELDAP キットをダウンロードします。 ダウンロードするパッチキット ご使用のバージョン VMS83A_ACMELDAP-V0500 以上 OpenVMS Alpha V8.3 VMS83I_ACMELDAP-V0500 以上 OpenVMS Integrity V8.3 VMS831H1I_ACMELDAP-V0300 以上 OpenVMS Integrity V8.3-1H1 オペレーティングシステムの一部として提供されます。 ただし、さら なる問題の修正および機能拡張が ACMELDAP パッチキットとして提供 される場合もあります。 OpenVMS V8.4 以降 上記の ACMELDAP キットは、当該キットのリリース後に提供される OpenVMS のアップ デートキットにも含まれます。 インストレーション方法の変更について:

OpenVMS Alpha V8.3、OpenVMS Integrity V8.3、あるいは OpenVMS Integrity V8.3-1H1 に対して上記のバージョンの ACMELDAP パッチキットをインストールすると、 以前の ACMELDAP、ACMELDAP_STD (OpenVMS V8.3)、および ACMELDAP_ST (OpenVMS V8.3-1H1) の各パッチキットがインストールされている場合は、それらが置き換えられま す。

ACMELDAP_STD および ACMELDAP_ST パッチキットは、 以前のバージョンの ACMELDAP パッチキットのインストール後にインストールする [SYSUPD]ACME_DEV_KITS.BCK の一 部として提供されていましたが、 今後は SYS$UPDATE:ACME_DEV_KITS.BCK は提供され ません。

このため、新しい ACMELDAP キットをインストールした後に、

[SYSUPD]ACME_DEV_KITS.BCK を展開して ACMELDAP_STD あるいは ACMELDAP_ST パッ チキットをインストールするという追加作業は必要なくなります。

3. 下記のコマンドを実行し、手順 1 でダウンロードした LOGINPLUS キットから SYS$ACM

(ACMELOGIN) 対応の LOGINOUT.EXE および SETP0.EXE をインストールします。

PRODUCT INSTALL/SAVE <os_version>LOGINPLUS

インストレーション・プロシージャは、SYS$ACM 対応あるいは SYS$ACM 非対応のどち らのログイン・イメージがシステムにインストールされているかを検出します。

システムに SYS$ACM 非対応のログイン・イメージがインストールされている場合、次の 質問に対して "NO" と入力してください。

***************************************************** Currently LOGIN KIT installed on your system

Answer YES to install LOGIN Answer NO to install ACMELOGIN

***************************************************** Do you wish to install updated LOGIN [YES] ?: NO Do you wish to install updated ACMELOGIN [YES] ?: YES

システムに SYS$ACM 対応のログインがインストールされている場合、次の質問に対して "YES" と入力してください。

***************************************************** Currently ACMELOGIN KIT installed on your system Answer YES to install ACMELOGIN

Answer NO to install LOGIN

***************************************************** Do you wish to install updated ACMELOGIN [YES] ?: YES

4. 次のコマンドでイメージ ID を確認します。

ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE

SYS$ACM 対応のイメージの場合 Image file identification: フィールドに LOGIN98 の文字 が含まれます。 インストレーションが完了したら任意のユーザーアカウントでシステムにログインし、 LOGINPLUS キットをテストすることをお勧めします。 5. OpenVMS V8.3 あるいは V8.3-1H1 システムをご使用の場合、 LDAP ディレクトリサー バーの検索によりユーザー認証を行うためには、 手順 2 でダウンロードした ACMELDAP キットをインストールする必要があります。 この場合、次のコマンドを使用します。

PRODUCT INSTALL/SAVE <os_version>ACMELDAP

インストレーション後に行う LDAP ペルソナ拡張の設定および LDAP ACME エージェント の構成方法については、 以下のいずれかの場所にある LDAP ACME エージェントのドキュ メントを参照してください。

• SYS$HELP:ACMELDAP_STD_CONFIG_INSTALL.PDF

• SYS$HELP:ACMELDAP_STD_CONFIG_INSTALL.TXT

ACME LDAP エージェントをインストールしたら、2.4 項 「LDAP ペルソナ拡張の設定」へ進

んでください。 インストレーションのより詳細な手順は、SYS$HELP:ACME_DEV_README.TXT を参照してく ださい。

2.4 LDAP ペルソナ拡張の設定

ペルソナ拡張の設定は以下の手順で行います。 1. 次のコマンドでペルソナ拡張イメージをインストールします。 $ MCR SYSMAN

SYSMAN> SYS_LOADABLE ADD LDAPACME LDAPACME$EXT SYSMAN> exit $ @SYS$UPDATE:VMS$SYSTEM_IMAGES.COM 2. システムをリブートします。 $ @SYS$SYSTEM:SHUTDOWN ペルソナ拡張イメージがロードされていない場合は、リブート時にエラーメッセージが表示さ れます。エラーメッセージが表示されなければ、必要なイメージがロードされていることを示 しています。

LDAP ペルソナ拡張を設定した後、2.5 項 「ACME LDAP エージェントの構成」 に進みます。

2.5 ACME LDAP エージェントの構成

ACME LDAP エージェントの構成では次の作業を行います。 1. LDAP 構成ファイルの編集(2.5.1 項)

2. ACME LDAP エージェントの起動(2.5.2 項)

ユーザー名に対する属性は、ACME LDAP INI 構成ファイルの login_attribute ディレクティブで

指定されます。login_attribute についての詳細は、表 1 「LDAP 構成属性」を参照してくださ

い。

ACME LDAP エージェントは、ユーザー名 (ログイン時に "Username" プロンプトで入力した名 前) のマッチングのためにディレクトリサーバーでこの属性を探します。 この検索は、base_dn ディレクティブで指定されたディレクトリ・ツリーの下の一連の LDAP エントリーで行われま す。 ユーザー名 (ログイン時に "Username" プロンプトで入力した名前) は、SYSUAF.DAT ファイル のユーザー名にマッピングされます。 このマッピングは、OpenVMS V8.3 および V8.3-1H1 では 1 対 1 です。1 対 1 のマッピングでは、入力したユーザー名は SYSUAF.DAT のユーザー 名と同じでなくてはなりません。 OpenVMS V8.4 以降は、グローバルマッピングおよびロー カルマッピングもサポートされます。 グローバルマッピングおよびローカルマッピングについ ての詳細は、第3章 「グローバルマッピングとローカルマッピング」を参照してください。 特権や識別子などの OpenVMS 固有の情報は SYSUAF.DAT ファイルから取得されます。

ACME LDAP の構成例とログイン例については、第4章 「スタンドアロン Active Directory サー

バーと OpenVMS ACME LDAP エージェントの構成例」を参照してください。

2.5.1 LDAP 構成ファイルの編集

ACME LDAP の INI ファイルの編集手順は以下のとおりです。

1. SYS$STARTUP:LDAPACME$CONFIG-STD.INI_TEMPLATE をコピーして、任意のファイ ル名に変更します。 たとえば、SYS$STARTUP:LDAPACME$CONFIG-STD.INI というファ イル名にする場合は、以下のようなコマンドを実行します。 $ COPY SYS$STARTUP:LDAPACME$CONFIGSTD.INI_TEMPLATE -_$ SYS$STARTUP:LDAPACME$CONFIG-STD.INI 2. SYS$STARTUP:LDAPACME$CONFIG-STD.INI を編集して、ご利用の環境の要件に合うよ うにディレクティブを指定します。 LDAPACME$CONFIG-STD.INI に含まれるディレクティブについての説明は表 1 「LDAP 構成属性」を参照してください。 12 ACME LDAP エージェントのインストールと構成

表 1 LDAP 構成属性 説明 ディレクティブ 必須ディレクティブです。 server ディレクティブを使用して、ディレクトリサーバーの IP アドレス (あるいは DNS ホスト名) を指定します。 OpenVMS V8.4 以降では、サーバー名あるいは IP アドレスをスペースで区切って、 複数の冗長サーバーを指定することができます。以下に例を示します。

server = test1.tdomain.com test2.tdomain.com

server = test1.tdomain.com test2.tdomain.com test3.tdomain.com

ACME LDAP エージェントは、リストされている最初のサーバーから接続しようとし ます。 最初のサーバーへの接続が失敗すると、2 番目のサーバーへの接続を試みま す。 2 番目のサーバーへの接続が失敗すると、次にリストされているサーバーへの接 続を試み、リストの最後までこれを繰り返します。 冗長サーバーを使用する場合は、以下の点に注意してください。 • すべての冗長サーバーで base_dn、bind_dn、および bind_password ディレクティ ブの値が同じであることが必要です。 また、ACME LDAP で認証されるユーザー レコードは、すべてのディレクトリサーバーに存在しなければなりません。 • 複数の冗長サーバを使用する場合は bind_timeout ディレクティブを設定してくだ さい。これにより、ユーザーセッションがタイムアウトになる前に、ACME LDAP はすべての冗長サーバーに接続を試みます。

• CA (Certificate Authority) の公開キー (ca_file ディレクティブ) の提供を受けてお り、 それらの公開キーが異なる場合、すべての公開キーを同じ ca_file で提供 してください。詳細については ca_file ディレクティブの説明を参照してくださ い。 server 必須ディレクティブです。 ディレクトリサーバーが接続するポートです。デフォルトは標準ポート 389 です (SSL/TLS の場合は 636)。 port 必須ディレクティブです。 ログインのためのユーザー名を含む LDAP スキーマ属性です。 しばしば 'uid' として 指定されますが、これはご使用の構成によって異なります。 Active Directory の場合、 このディレクティブの値は通常 samaccountname です。 login_attribute 下記のいずれかを選択します。 • standard (デフォルト) • active-directory このディレクティブが指定されていない場合、 SET PASSWORD コマンドの実行が失 敗します。

Active Directory サーバーを使用している場合は、password_type ディレクティブが active-directory に設定されていないと、SET PASSWORD コマンドが失敗します。 password_type password_type = standard が設定されている場合のみ適用されます。ディレク トリサーバーによっては、userPassword 属性を変更する際に古いパスワードの指定が 必要となる場合があります。 その他の場合は必要ありません。 下記のいずれかを選択します。 • replace (デフォルト) • remove-and-add password_update LDAP ユーザーは、ディレクトリサーバーのツリー構造に保管されます。 base_dn ディレクティブは、ディレクトリサーバーのツリー要素の識別名です。すべ てのユーザーエントリーが、このツリー要素の下にサブツリー要素として存在しなけ ればなりません。 ACME LDAP は、login_attribute で指定された属性をもとに、この サブツリー内で一致するエントリーを探します。(scope ディレクティブを参照) base_dn

表 1 LDAP 構成属性 (続き) 説明 ディレクティブ base_dn で指定されたツリー構造下の検索の深さを制御します。 以下のキーワード が使用できます。 sub ベースエントリーとその下のすべてのレベルのすべてのエントリーを検索 します。 one ベースエントリーよりも 1 レベル下のすべてのエントリーを検索します。 base ベースエントリーのみを検索します。 使用すべきキーワードが不明な場合は sub を使用します。 scope このディレクティブはオプションです。 LDAP ツリーでユーザーを検索するオブジェクトを制限するための検索フィルター。 デフォルトは objectclass=* です。 filter base_dn で指定されたデイレクトリ・サブツリーの検索特権が付与されているユー ザーアカウント (ディレクトリエントリー) の識別名 (DN) ディレクトリサーバーでユーザーを検索する前に、 bind_dn と共に bind_password を使用して、ディレクトリサーバーへのバインドが行われます。

いくつかのディレクトリサーバー (Active Directory など) では、 bind_dn および bind_password の指定がなければ、 ACME LDAP エージェントのバインドはデフォル トでは認めていません。このような場合は bind_dn および bind_password の指定が 必要になります。 ディレクトリサーバーによっては匿名バインドをサポートするものもあります。 こ の場合、デイレクトリ・サーバーの使用にあたり bind_dn および bind_password ディ レクティブの提供は必要ありません。 bind_dn bind_dn で指定されたディレクトリ DN のパスワード。 bind_password server ディレクティブで複数の冗長サーバーを指定している場合、 bind_timeout ディ レクティブを使用します。 ディレクトリサーバーへのバインド要求は、そのディレクトリサーバーに到達できな い場合、 タイムアウトまでにデフォルトでは約 75 秒かかります (TCP/IP のデフォル トの接続確立タイムアウト)。 複数の冗長サーバーが存在する場合、ユーザーログインセッション (たとえば TELNET セッション) は、 ACME LDAP エージェントが server ディレクティブで指定されてい るすべてのサーバーのリストをチェックする前に、期限切れになります (約 30 秒以 内)。 bind_timeout ディレクティブは、 server ディレクティブで指定されているサーバーリ ストの中の 1 台のサーバーに対する接続タイムアウト値を秒数で指定します。たとえ ば、server ディレクティブで 2 つのサーバーを指定している場合、 bind_timeout ディ レクティブの設定値が 3 秒だと、全体のタイムアウト時間は約 6 秒になります。 bind_timeout (OpenVMS V8.4 以降 でサポート) 必須ディレクティブです。 LDAP ポート経由の暗号化通信で使用される手法を指定します。 使用できる値は、 starttls (デフォルト)、ssl (専用 SSL ポート) あるいは none です (none の指定はお勧め しません)。

port_security

表 1 LDAP 構成属性 (続き) 説明 ディレクティブ このディレクティブはオプションです。 ディレクトリサーバーの公開キーを署名した認証局の公開キーを含む PEM 形式のファ イルのファイルパスを指定します。

port_security が ssl あるいは starttls に設定されている場合、 ACME LDAP エージェン トはこの認証ファイルをチェックして、正しいディレクトリサーバーに接続している かどうかを確認します。 この属性が使用されていない場合、LDAP サーバーの認証は確認されません。 異なる公開キーの認証を待つ冗長なサーバーが存在する場合、 すべてのサーバーの 認証情報を同じファイルに追加します。 以下に例を示します。 $ TYPE CACERT.PEM ---BEGIN CERTIFICATE---... サーバー 1 の base64 暗号化形式の公開キー証明書 ... ---END ---BEGIN CERTIFICATE---... サーバー 2 の base64 暗号化形式の公開キー証明書 ... ---END CERTIFICATE---$ ca_file マッピングがグローバルであるかローカルであるかを指定します。このディレクティ ブの値は下記のいずれかです。 • server • local たとえば mapping=server は、このユーザーに対してはグローバルマッピングが有 効であることを示しています。mapping=local は、このユーザーに対してはローカ ルマッピングが有効であることを示しています。 mapping ディレクティブが使用さ れていない場合、マッピングは 1 対 1 です。 mapping (OpenVMS V8.4 以降でサポート) このディレクティブはグローバルマッピングに対してのみ適用されます。ユーザー マッピングに使用するディレクトリサーバー上の属性に設定してください。 以下に例を示します。 mapping_attribute を次のように使用して、ディレクトリサーバー上のユーザーに対 し、description 属性を参照させることができます。 mapping_attribute=description そのディレクトリサーバーで新たに作成された属性もマッピングに使用できます。 この場合、属性は IA5 (International Aphabet number 5) の複数の文字列値でなければ なりません。

mapping_attribute (OpenVMS V8.4 以降 でサポート)

表 1 LDAP 構成属性 (続き) 説明 ディレクティブ このディレクティブはグローバルマッピングに対してのみ適用されます。 mapping_target は、ディレクトリサーバーの mapping_attribute フィールドの値で検 索されます。以下に例を示します。 LDAP INI ファイルで以下のように記述されていると仮定します。 mapping_attribute=description mapping_target=VMSUsers.hpe.com

Directory Server の description フィールドが次のように記述されているとします。

VMSUsers.hpe.com/jdoe

ACME LDAP エージェントは VMSUsers.hpe.com/jdoe で検索を行い、

VMSUsers.hpe.com/ の部分を探します (mapping_target の値とユーザー名の前のス ラッシュ (/))。 値の残りの部分、すなわち "jdoe" は、SYSUAF.DAT ファイルに存在 するユーザー名と認識されます。 複数の属性文字列が使用される場合、属性文字列 の配列要素の 1 つが "VMSUsers.hpe.com/jdoe" でなくてはなりません。 mapping_target (OpenVMS V8.4 以降 でサポート) このディレクティブはローカルマッピングに対してのみ適用されます。 マッピングユーザーを検索するテキスト・データベースファイルの完全パスを設定し ます。 SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT_TEMPLATE にテンプレートファ イルがあります。 このファイルには、LDAP ユーザー名と VMS ユーザー名がコンマで区切られて記述 されます。 LDAP ユーザー名はそのドメインにおけるユーザーの名前 (ログイン時に username プロンプトに対して入力する名前) です。 データベースファイルに内容を追加し、ロードする方法については、 SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT_TEMPLATE を参照してくださ い。 mapping_file (OpenVMS V8.4 以降 でサポート) 3. SYS$MANAGER:ACME$START.COM を編集して、下記の論理名を定義します。

論理名 LDAPACME$INIT に対し、ACME LDAP Agent サーバーの初期化のためのパス名を 定義します。

$ DEFINE/SYSTEM/EXECUTIVE LDAPACME$INIT SYS$STARTUP:LDAPACME$CONFIG-STD.INI

4. SYS$MANAGER:ACME$START.COM から、下記のコメント行を外します。

$! @SYS$STARTUP:LDAPACME$STARTUP-STD ! LDAP

重要: ACME LDAP エージェントを起動する前に、LDAPACME$INIT 論理名を定義してお

く必要があります。 この論理名定義は、 SYS$MANAGER:ACME$START.COM の SYS$STARTUP:LDAPACME$STARTUP-STD プロシージャが実行される行よりも前に記述 することをお勧めします。 5. LDAP 構成ファイルと LDAP ローカルデータベースファイルは、特権のあるユーザーのみ がアクセス可能です。これらのファイルのセキュリティは、ご利用の環境のセキュリティ 要件に基づいて適切に設定できます。たとえば、以下のコマンドでは、system ユーザーの みが LDAPACME$CONFIG-STD.INI および LDAP_LOCALUSER_DATABASE.TXT ファイルに アクセスできるように設定しています。

$ SET SECURITY /PROTECTION=(system:"RWED",OWNER:"",GROUP:"",WORLD:"") -_$ SYS$COMMON:[SYS$STARTUP]LDAPACME$CONFIG-STD.INI

$ SET SECURITY /PROTECTION=(system:"RWED",OWNER:"",GROUP:"",WORLD:"") -_$ SYS$COMMON:[SYS$STARTUP]LDAP_LOCALUSER_DATABASE.TXT

2.5.2 ACME LDAP エージェントの起動

次のコマンドで ACME_SERVER プロセスを再起動してください。

$ SET SERVER ACME/EXIT/WAIT $ SET SERVER ACME/START=AUTO

注記: SYS$MANAGER:SYSTARTUP_VMS.COM プロシージャにこのコマンドを記述しておく と、 システムブート時に ACME LDAP エージェントを自動起動させることができます。

2.6 OpenVMS での ExtAuth および VMSAuth フラグの指定

LDAP によって外部認証されるユーザーに対しては、 SYSUAF.DAT でそのユーザーアカウント に ExtAuth フラグが設定されている必要があります。 ユーザーアカウントに ExtAuth フラグが 指定されている場合、そのユーザーは外部認証 (LDAP) のみ有効です。 このユーザーに対して SYSUAF.DAT ファイルによるローカル認証も可能にしたい場合は、 SYSUAF.DAT ファイルの ユーザーアカウントに VMSAuth フラグを設定し、 次の項で説明するように、ログイン時に /local 修飾子を使用してください。 ユーザーに ExtAuth フラグを設定するには次のコマンドを入力します。

$ SET DEFAULT SYS$SYSTEM

$ MCR AUTHORIZE MODIFY <username> /FLAGS=(EXTAUTH,VMSAUTH)

以下にユーザープロファイルの例を示します。

$ SET DEF SYS$SYSTEM $ MC AUTHORIZE

UAF> modify jdoe/flags=(EXTAUTH,VMSAUTH) %UAF-I-MDFYMSG, user record(s) updated UAF> sh jdoe

Username: JDOE Owner:

Account: TEST UIC: [201,2011] ([JDOE])

CLI: DCL Tables: DCLTABLES

Default: SYS$SYSDEVICE:[JDOE] LGICMD:

Flags: ExtAuth VMSAuth

Primary days: Mon Tue Wed Thu Fri

Secondary days: Sat Sun No access restrictions

Expiration: (none) Pwdminimum: 6 Login Fails: 1 Pwdlifetime: 90 00:00 Pwdchange: (pre-expired)

Last Login: (none) (interactive), (none) (non-interactive) Maxjobs: 0 Fillm: 128 Bytlm: 128000

Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0 Maxdetach: 0 BIOlm: 150 JTquota: 4096 Prclm: 8 DIOlm: 150 WSdef: 4096 Prio: 4 ASTlm: 300 WSquo: 8192 Queprio: 4 TQElm: 100 WSextent: 16384 CPU: (none) Enqlm: 4000 Pgflquo: 256000 Authorized Privileges: NETMBX TMPMBX Default Privileges: NETMBX TMPMBX UAF> ディレクトリサーバーが構成されており、 SYSUAF のアカウントがそのディレクトサーバー上 のユーザー名にマッピングされている場合、 次の例のように、ACME LDAP を認証エージェン トとして使用してシステムにログインすることができます。 ユーザー jdoe のパスワードはディレクトリサーバーに登録されている情報で検証されます。 ディレクトリサーバーのパスワードが SYSUAF.DAT ファイルのパスワードとは異なる場合、 SYSUAF.DAT ファイル上のパスワードがディレクトリサーバのパスワードと同期化されます。 特定のユーザーのパスワードの同期化、あるいはそのシステムのすべてのユーザーに対するパ スワードの同期化を無効にすることもできます。パスワードの同期化を無効にする手順につい

ては、『 OpenVMS システム・セキュリティ・ガイド』 の「外部認証を有効にするための 手順」あるいは「ACME サブシステム」の項を参照してください。

$ telnet 127.0.0.1

%TELNET-I-TRYING, Trying ... 127.0.0.1

%TELNET-I-SESSION, Session 01, host 127.0.0.1, port 23 -TELNET-I-ESCAPE, Escape character is ^]

Welcome to HPE OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1 Username: jdoe

Password:

HPE OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1 **** Logon authenticated by LDAP ****

OpenVMS password has been synchronized with external password

次の例では、SYSUAF.DAT ファイルに対してユーザー jdoe の認証が行われています。 ログイ ン時に /local 修飾子が指定された場合、そのユーザーのマッピングは行われていないことに注 意してください。 この場合、SYSUAF.DAT ファイルにユーザー名 jdoe が存在しなければなり ません。 $ telnet 127.0.0.1 %TELNET-I-TRYING, Trying ... 127.0.0.1

%TELNET-I-SESSION, Session 01, host 127.0.0.1, port 23 -TELNET-I-ESCAPE, Escape character is ^]

Welcome to HPE OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1 Username: jdoe/local

Password:

HPE OpenVMS Industry Standard 64 Operating System, Version V8.3-1H1 Last interactive login on Tuesday, 1-DEC-2009 01:34:50.26

**** Logon authenticated by LDAP ****

スタンドアロンの Active Directory サーバーの構成例については 第4章 「スタンドアロン Active

Directory サーバーと OpenVMS ACME LDAP エージェントの構成例」 を参照してください。

2.7 構成ファイルの例

例 1 Red Hat あるいは Fedora Directory Server の構成ファイルの例

server = roux.zko.hpe.com port = 636 port_security = ssl bind_dn = uid=acme-admin,ou=people,dc=acme,dc=mycompany,dc=com bind_password = swordfish base_dn = ou=people,dc=acme,dc=mycompany,dc=com login_attribute = uid scope = sub ca_file = sys$manager:acme_ca.crt 例 2 Active Directory の構成ファイルの例 server = acme.mycompany.com port = 636 port_security = ssl password_type = active-directory bind_dn = cn=acme-admin,cn=users,dc=acme,dc=mycompany,dc=com bind_password = swordfish base_dn = cn=users,dc=acme,dc=mycompany,dc=com login_attribute = samaccountname scope = sub ca_file = sys$manager:acme_ca.crt server = cssn-ddrs.testdomain.hpe.com port = 389

bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hpe,DC=com bind_password = welcome@123

base_dn = DC=testdomain,DC=hpe,DC=com scope = sub

port_security = none

password_type = active-directory server = cssn-ddrs.testdomain.hpe.com port = 389

bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hpe,DC=com bind_password = welcome@123

base_dn = DC=testdomain,DC=hpe,DC=com scope = sub port_security = starttls password_type = active-directory ca_file = sys$manager:cssn-ddrs.cer

2.8 LDAP 冗長ディレクトリサーバーのサポート

OpenVMS V8.4 以降では、 ユーザー認証のために複数の冗長ディレクトリサーバーを探すよ うに ACME LDAP エージェントを構成することができます。 このように構成しておくと、最初 のディレクトリサーバーに到達できない場合やアクセスしようとするサーバーがアクティブで ない場合に対処できます。 アクセスしようとするサーバーに問題がある場合、ACME LDAP エージェントはその他の一連のディレクトリサーバーに接続してユーザーの認証を試みます。 この機能は、OpenVMS V8.4 のパッチキットで提供されています。 複数の冗長サーバーを提供するには、server や bind_timeout などの必須ディレクティブとオプ ションディレクティブ ca_file を変更しておく必要があります。 これらのディレクティブにつ いての詳細は 2.5.1 項 「LDAP 構成ファイルの編集」 を参照してください。 2.7 構成ファイルの例 19

3 グローバルマッピングとローカルマッピング

OpenVMS V8.3 および V8.3-1H1 では、 ACME LDAP エージェントの認証方式として 1 対 1 のユーザーマッピングのみをサポートします。 1 対 1 のマッピング方式では、LDAP サーバー から OpenVMS システムにログインしているユーザーは、 それと一致する名前が SYSUAF.DAT ファイルに存在しなければなりません。 このため、SYSUAF.DAT ファイルに保管されている ユーザー名エントリーと正確に一致するユーザー名を使用してログインする必要があります。 1 対 1 のマッピングのこの制約を受けないようにするために、 V8.4 以降の ACME LDAP エー ジェントでは、 グローバルマッピングとローカルマッピングの概念をサポートしています。 以下の図で、1 対 1 のマッピングの制約と、グローバル・マッピングあるいはローカル・マッ ピングにより、この制約からどのように解放されるかを説明しています。 なお、この章では、 サンプルアカウントとして SYSUAF.DAT で jdoe を、 サンプル・ドメインユーザー名として John Doe を使用しています。 図 1 1 対 1 のマッピング 図 2 は、 1 対 1 のマッピングにおいて、 システムに入力したユーザー名 John Doe が SYSUAF.DAT に保管されているユーザー名である jdoe と一致しない状況を示しています。 図 2 1 対 1 のマッピングの制約 1 対 1 のマッピングの代わりに グローバルマッピングやローカルマッピングを使用すること により、以下のことが可能になります。 • OpenVMS のユーザー名プロンプトに対し、ドメイン内で共通のユーザー名を使用するこ とができます。 • 入力したユーザー名は、ログイン時に SYSUAF.DAT ファイルに記述されている別の名前 にマッピングされます。 • ログイン後の OpenVMS セッションでは、すべての用途に SYSUAF.DAT 内の名前と特権 が使用されます。 • SET PASSWORD コマンドは、処理の対象となるユーザーがマッピングされたユーザーで あるかどうかを識別でき、 このコマンドによるパスワード変更はディレクトリサーバーに も反映されます。 グローバルマッピングでは、ユーザーのログイン名はディレクトリサーバーに保管されたいく つかの属性をもとにマッピングされます。 ローカルマッピングでは、LDAP ユーザー名 (その 21

ドメインにおけるユーザーの名前) の保管にテキスト・データベースファイルが使用され、

SYSUAF.DAT におけるユーザー名の保管には .CSV 形式が使用されます。

図 3 に、グローバルマッピングにおける処理を図示します。

図 3 グローバルマッピング

図 3 では、 ユーザー名 John Doe が、 SYSUAF.DAT で jdoe にマッピングされ、 Active Directory

では John Doe にマッピングされている様子を示しています。 グローバルマッピング構成用に 3 つの新しいディレクティブ mapping、mapping_attribute、および mapping _target が追加さ

れています。 これらのグローバルマッピング・ディレクティブについての詳細は、表 1を参照

してください。

図 4 ローカルマッピング

図 4 では、ユーザー名 John Doe がローカル・データベース・ファイルで jdoe と John Doe に

マッピングされています。 ローカルマッピング構成用に、 2 つの新しいディレクティブ mapping および mapping_file が 追加されています。 これらのローカルマッピング・ディレクティブについての詳細は、 表 1 を参照してください。

3.1 グローバルマッピングとローカルマッピングの構成例

ここでは、グローバルマッピングとローカルマッピングの構成例を示します。 22 グローバルマッピングとローカルマッピング

3.1.1 グローバルマッピングの構成

SYSUAF.DAT ファイルにユーザー名 jdoe および jhardy が保管されているとします。 これら のユーザーのグローバルマッピングを有効にするには、以下の手順を実行します。

1. SYS$STARTUP:LDAPACME$CONFIG-STD.INI ファイルの属性をその他の必須属性ととも

に下記のように変更します。

mapping = server

mapping_attribute = description mapping_target = VMSusers.hpe.com

たとえば、2 人のユーザー John Doe および Joe Hardy の属性が Active Directory のユー ザープロファイルで以下のように指定されているとします。

DN: cn=john doe, ... samaccountname: John Doe

description: VMSUsers.hpe.com/jdoe DN: cn=jhardy, ...

samaccountname: jhardy

description: VMSUsers.hpe.com/jhardy

2. ACME サーバーを再起動します。

$ SET SERVER ACME/EXIT/WAIT $ SET SERVER ACME/START=AUTO

3. ユーザー John Doe として OpenVMS システムへログインするには、 ユーザー名 "John

Doe" を使用します。 注記: このユーザー名にはスペース (特殊文字) が含まれているので、ユーザー名プロン プトでは引用符で囲ってユーザー名を入力する必要があります。 4. もう一方のユーザーとしてシステムにログインする場合は、ログイン名 jhardy を使用し ます。

3.1.2 ローカルマッピングの構成

ローカルマッピングを構成する手順は以下のとおりです。 1. SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT_TEMPLATE をコピーして適切なファ イル名に変更します。 たとえば、OpenVMS システム上に SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT のようなファイルを置きます。 2. SYS$STARTUP:LDAP_LOCALUSER_DATABASE.TXT を修正して、LDAP ユーザー名と VMS ユーザー名をコンマで区切って記述します。LDAP ユーザー名にスペース、コンマ、ある いは感嘆符が含まれる場合、次のように引用符で囲ってください。 "John Doe",jdoe jhardy,jhardy

たとえば、2 人のユーザー John Doe と Joe Hardy の属性が Active Directory のユーザープ ロフィルで以下のように指定されているとします。

DN: cn=john doe, ... samaccountname: John Doe DN: cn=jhardy, ... samaccountname: jhardy 3. SYS$STARTUP:LDAPACME$CONFIG-STD.INI ファイルのディレクティブをその他の必須 属性とともに下記のように変更します。 mapping = local mapping_file = SYS$COMMON:[SYS$STARTUP]LDAP_LOCALUSER_DATABASE.TXT 4. 以下の a、b いずれかの手順で、新しいデータベースファイルをロードします。 a. ACME サーバーを再起動します。 3.1 グローバルマッピングとローカルマッピングの構成例 23

$ SET SERVER ACME/EXIT/WAIT $ SET SERVER ACME/START=AUTO

b. LDAP_LOAD_LOCALUSER_DATABASE.EXE を実行します。

$ load_localuser_db:=="$SYS$SYSTEM:LDAP_LOAD_LOCALUSER_DATABASE.EXE" $ load_localuser_db SYS$COMMON:[SYS$STARTUP]LDAP_LOCALUSER_DATABASE.TXT

5. OpenVMS システムへのログインには、 ログイン名 "John Doe" および jhardy を使用しま

す。

4 スタンドアロン Active Directory サーバーと OpenVMS

ACME LDAP エージェントの構成例

この章では、OpenVMS ACME LDAP エージェントで Active Directory サーバーを構成する方法 についての例を示します。 この構成例では、スタンドアロン Active Directory サーバーの構成、 アカウントの作成、証明書の作成などの一連の手順を説明しています。 ACME LDAP 構成ファ イルにデータを追加するために Active Directory サーバーから対応する値を展開する手順も示 します。

重要: この章は、サンプル・ディレクトリサーバー (ここでは、ディレクトリサーバーとして Active Directory を使用しています) と OpenVMS ACME LDAP エージェントの構成についての 概要をエンドユーザーに提供することを目的としています。 ご利用の環境では、_{4.1 項}、_{4.5.1 項 「Active Directory 証明書の作成」 などの特定の項で説} 明している手順がすでに完了している場合があります。 この場合、これらの手順を再度行う必 要はありません。 この章で使用している query_account などのサンプルのアカウント名はスタンドアロン・プロ キシアカウント名として使用する必要はありません。実際の環境では、適切な名前でアカウン トを作成することができます。 同様に、この章で使用されているその他のアカウント名およびシステム名はあくまで例であ り、実際には、 ご使用の環境に合ったアカウント名およびシステム名を使用することができま す。

図 5 では、Active Directory サーバーと構成された ACME LDAP エージェントがどのように動

作するかを示しています。 図 5 ACME LDAP 処理フロー図 図 5 では、 VMS ユーザーが LDAP 認証を使用してどのように VMS システムにログインする かを示しています。この図では、TCP/IP で通信する 2 つのシステムで構成された環境を例に 説明しています。 25

図の左側のグレーの箱は、拡張された LOGINOUT.EXE と SETP0.EXE がインストールされ、 ACME SERVER プロセス内で ACMS LDAP エージェントが動作する OpenVMS システムです。 図の右側にあるのは、Windows Server 2003 が稼動する Active Directory サーバーです。Active Directory は LDAP サーバーでもあります。

ACME LDAP エージェントは、SSL で保護された TCP セッション上で LDAP プロトコルを使用 して Active Directory と通信します (Active Directory の LDAP パスワードの変更が必要)。 LDAP の search および bind 操作は、標準の C バインディングを通してアクセスされる標準の LDAP 操作です。 これらの操作は、標準的な任意の LDAP サーバーでもサポートされており、LDAP ベースの認証サービスを提供する多くのアプリケーションで使用されています。

Active Directory が OpenVMS システムでの認証に ACME LDAP エージェントを使用できるよう にする手順は、以下のとおりです。 1. Active Directory の構成(4.1 項) a. Active Directory をドメインコントローラとして設定(4.1.1 項) b. Active Directory のインストール(4.1.1.1 項) 2. Active Directory のアカウント作成(4.2 項) 3. ACME LDAP 構成パラメータ値の展開(4.3 項) 4. Active Directory 証明書の作成(4.5.1 項) 5. Active Directory での証明書の表示(4.6.1 項) 6. OpenVMS への証明書の追加(4.6.2 項)

4.1 Active Directory の構成

Active Directory の構成手順は以下のとおりです。 1. Active Directory をドメインコントローラとして設定(4.1.1 項) 2. Active Directory のインストール(4.1.1.1 項) 3. Active Directory のアカウント作成(4.2 項)

4.1.1 Active Directory をドメインコントローラとして設定

Windows 2003 server 上で Active Directory をスタンドアロン・ドメインコントローラとして 設定する手順は以下のとおりです。

注記: 実際のネットワーク環境では、Active Directory はスタンドアロンではないかもしれま せん。 また、Active Directory がすでに設定されている場合も少なくありません。

1. [Start]→[All Programs]→[Manage Your Server] を選択して [Manage Your Server] ウィンド

ウをオープンします。

2. [Manage Your Server] ウィンドウで [Add or remove a role] オプションを選択します。 [Configure Your Server Wizard] ダイアログボックスが表示されます。

3. [Next] をクリックします。ウィザードがネットワークの設定を検出するまで待ちます。

[Server Role] ダイアログボックスが表示されます。

4. Active Directory をドメインコントローラとして設定するためにサーバーの役割として [Domain Controller (Active Directory)] を選択し、[Next] をクリックして、[Summary of Selections] ダイアログボックスを表示させます。

5. [Next] をクリックして、ドメインコントローラとしての Active Directory サーバーのイン

ストールを開始します。 その後、[Active Directory Installation Wizard] が表示されます。

4.1.1.1 Active Directory のインストール

[Active Directory Installation Wizard] の指示にしたがって Active Directory のインストールを行っ てください。以下に手順を示します。

1. [Welcome to the Active Directory Installation Wizard] ダイアログボックスで [Next] をクリッ

クして、 [Operating System Compatibility] ダイアログボックスを表示させます。[Next] を クリックして [Domain Controller Type] ダイアログボックスを表示させます。

2. [Domain Controller Type] ダイアログボックスで、 新しいドメインを作成するのかあるいは

ドメインを追加するのか、 状況に応じて必要なオプションを選択します。 [Additional

domain controller for an existing domain] を選択した場合、 すべてのローカルアカウント と暗号キーが削除される点に注意してください。この注意事項はウィザードにも表示され ます。この例では、[Domain controller for a new domain] オプションが選択されています。 [Next] をクリックして、[Create New Domain] ダイアログボックスを表示させてください。

3. [Create New Domain] ダイアログボックスで必要なオプションを選択して、[Next] をクリッ

クしてください。この例では、[Domain in a new forest] オプションが選択されています。

4. [Full DNS name for new domain:] フィールドに DNS 名を入力して [Next] をクリックし、

[NetBIOS Domain Name] ダイアログボックスを表示させてください。

5. [Domain NetBIOS name: ] に入力するか、表示されている名前を変更しない場合はフィー ルドの値はそのままで [Next] をクリックします。 [Next] をクリックして [Database and Log Folders] ダイアログボックスを表示させます。

6. [Browse...] をクリックして [Database folder:] と [Log folder:] の値を選択するか、 デフォ

ルトのフォルダ名を残して [Next] をクリックします。

7. DNS がインストールされていない場合、DNS の登録診断が失敗し、DNS を構成するため のオプションが提示されます。 適切なオプションを選択して [Next] をクリックします。

8. 必要なオプションを選択して [Next] をクリックし、 [Directory Services Restore Mode

Administrator Password] ダイアログボックスを表示させます。

9. 管理者アカウントのパスワードを入力し、 それぞれのフィールドに入力したパスワードが 同じことを確認して [Next] をクリックし、 [Summary] ダイアログボックスを表示させま す。

10. [Summary] ダイアログボックスの一連のウィザードで必要に応じて [Next] あるいは [Finish] をクリックし、 Active Directory のインストレーションを完了させます。

11. [Restart] をクリックしてシステムを再起動し、Active Directory の構成内容を有効にしま す。

4.2 Active Directory のアカウント作成

ディレクトリサーバーで次の 2 つのアカウントを作成します。 1 つは、たとえば query_account などのバインディング・アカウント、 もう 1 つは、たとえば jdoe などのディレクトリサー バー上のテスト用のユーザーアカウントです。 query_account は、Active Directory サーバーに 接続するために ACME LDAP によって使用されます。 以降の項では、query_account の識別名 を取得して ACME LDAP 構成ファイルで使用する方法について説明しています。アカウント名 は任意の名前を使用できます。 query_account は一例です。 また、アカウント jdoe はサンプ ルのユーザーアカウントです。

アカウントを作成するには、以下の手順を実行してください。

1. [Domain Controller (Active Directory) ] パネルで [Manage users and computers in Active Directory] オプションを選択します。[Active Directory Users and Computers] ウィンドウが 表示されます。

2. [Active Directory Users and Computers] ツリーの下の testdomain.hpe.com を選択して、[Users] サブツリーを表示させます。

[Active Directory Users and Computers] ウィンドウのポップアップ・ウィンドウから右ク リックで [New]→[User] を選択します。 [New Object-User] ダイアログボックスが表示され ます。 3. 必要に応じてアカウントに関する詳細を入力して [Next] をクリックします。以降のいくつ かの図は、query_account およびユーザーアカウントに対して入力された内容を示してい ます。 まずバインディング・アカウント query_account を作成します。 4.2 Active Directory のアカウント作成 35

4. 特定のドメインにおけるこのユーザーのパスワードを入力し、[Next] をクリックします。

5. [New Object-User] ダイアログボックスに、このユーザーの詳細と選択したパスワード設定

が表示されます。[Finish] をクリックしてユーザープロファイルを作成します。 次のように query_account の詳細が表示されます。

6. query_account と同様に、テスト用のユーザーアカウント jdoe を作成します。

4.3 ACME LDAP 構成パラメータ値の展開

Active Directory から以下の情報を LDAP INI 構成ファイルに追加する必要があります。

• LDAP ポート (通常は、非セキュアポート 389、セキュアポート 636) この情報の入手方法

についての詳細は、4.3.1 項 「LDAP ポートの照会」 を参照してください。

• すべてのユーザーが存在するベース識別名 (DN)

• query_account の識別名とパスワード

• ログイン属性 (通常は samaccountname)

ベース識別名 (base_dn ディレクティブ)、query_account の識別名 (bind_dn ディレクティブ)、 および samaccountname (login_attribute ディレクティブ) は、データベースログファイル .ldf

ファイルから入手できます。特定の属性値の入手方法の詳細は 4.3.2 項 「base_dn、bind_dn

および login_attribute の展開」 を参照してください。

4.3.1 LDAP ポートの照会

LDAP ポートを照会するには、Microsoft が提供する PortQryUI ツールをインストールします。 このツールは次の URL からダウンロードできます: http://www.microsoft.com/downloads/en/ confirmation.aspx?familyId=8355e537-1ea6-4569-aabb-f248f4bd91d0=enac828bdc6983 これ以外の照会ツールを使用してもかまいません。

4.3.2 base_dn、bind_dn および login_attribute の展開

(ACME LDAP 構成ファイルの) base_dn、bind_dn、および login_attribute ディレクティブの値 を .ldf ファイルから展開することができます。

.ldf ファイルを展開するには、Windows システムのコマンドプロンプトで次のコマンドを入力 します。

ldifde -f <filename>.ldf

.ldf ファイルが展開されたら、base_dn および bind_dn の値をコピーします。base_dn および bind_dn ディレクティブについての詳細は、表 1 LDAP 構成属性 を参照してください。 図 6 では、.ldf ファイルの例を示しています。 アカウント query_account は、バインディン グ・アカウントとして認識されています。base_dn および bind_dn の値が強調表示されていま す。 図 6 Sample LDF file

4.4 非セキュアポートのための ACME LDAP エージェントの構成

非セキュアポートで ACME LDAP エージェントを構成する手順は以下のとおりです。 1. 2.3 項 「SYS$ACM (ACMELOGIN) 対応の LOGIN PCSI キットおよび ACME LDAP PCSI

キットのインストール」 で説明した手順で、ACMELOGIN および ACMELDAP キットをイ ンストールします。

2. 次のコマンドで 2 つのイメージが正しくロードされているかどうか確認します。

ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE $ ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE This is an OpenVMS IA64 (Elf format) executable image file

Image Identification Information, in section 3.

Image name: "LOGINOUT"

Global Symbol Table name: "LOGINOUT" Image file identification: "LOGIN98 X-1" Image build identification: "XC7Q-BL4-000000" Link identification: "Linker I02-37"

Link Date/Time: 8-FEB-2010 15:23:06.56

ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE $ ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE

This is an OpenVMS IA64 (Elf format) executable image file Image Identification Information, in section 3.

Image name: "SETP0"

Global Symbol Table name: "SETP0"

Image file identification: "LOGIN98 X-1" Image build identification: "XC7Q-BL4-000000" Link identification: "Linker I02-37"

Link Date/Time: 8-FEB-2010 15:25:05.14

3. LDAP ペルソナ拡張を設定します。ペルソナ拡張の設定方法については 2.4 項 「LDAP ペ

ルソナ拡張の設定」 を参照してください。

4. ペルソナ拡張を設定した後、OpenVMS システムを再起動してください。

5. 非セキュアポートに対し、LDAP 構成ファイル SYS$STARTUP:LDAPACME$CONFIG-STD.INI

の属性に以下の値を入力してください。

server = cssn-ddrs.testdomain.hpe.com

この場合、Active directory システムに対して下記のコマンドを実行できることを確認 してください。

$ TCPIP PING cssn-ddrs.testdomain.hpe.com

port = 389

これは非セキュアポートのデフォルト値です。

bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hpe,DC=com

この値は .ldf ファイルから取得できます。 値の展開方法については 4.3.2 項

「base_dn、bind_dn および login_attribute の展開」 を参照してください。

bind_password = welcome@123

これは Active Directory で query_account に対して与えられるパスワードです。 4.2 項

「Active Directory のアカウント作成」 を参照してください。

base_dn = DC=testdomain,DC=hpe,DC=com

これは、他のすべてのアカウントが存在するベースアカウントです。 4.2 項 「Active Directory のアカウント作成」 を参照してください。 login_attribute = samaccountname 4.2 項 「Active Directory のアカウント作成」 を参照してください。 scope = sub デフォルト値 sub を残します。 port_security = none これは非セキュアポートなのでデフォルト値を none と置き換えます。 password_type = active-directory

Active Directory で構成が行われているので、 デフォルト値を active-directory と置き換 えます。

データーが反映された構成ファイルは以下のようになります。

server = cssn-ddrs.testdomain.hpe.com port = 389

bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hpe,DC=com bind_password = welcome@123

base_dn = DC=testdomain,DC=hpe,DC=com login_attribute = samaccountname scope = sub

port_security = none

password_type = active-directory

6. SYS$MANAGER:ACME$START.COM に以下の論理名を追加します。

$ DEFINE/SYSTEM/EXECUTIVE LDAPACME$INIT SYS$STARTUP:LDAPACME$CONFIG-STD.INI

そして、@SYS$STARTUP:LDAPACME$STARTUP-STD のコメントを外します。

7. ACME サーバーを再起動します。

$ SET SERVER ACME/EXIT/WAIT $ SET SERVER ACME/START=AUTO

8. SHOW SERVER ACME/FULL を実行して、ACME LDAP エージェントがロードされている

かどうかを確認します。

$ SHOW SERVER ACME/FULL

ACME Information on node EARWIG 18-FEB-2010 06:03:42.00 Uptime 0 00:15:24 ACME Server id: 2 State: Processing New Requests

Agents Loaded: 2 Active: 2 Thread Maximum: 1 Count: 1 Request Maximum: 826 Count: 0 Requests awaiting service: 0 Requests awaiting dialogue: 0 Requests awaiting AST: 0 Requests awaiting resource: 0 Logging status: Active

Tracing status: Inactive

Log file: "SYS$SYSROOT:[SYSMGR]ACME$SERVER.LOG;19" ACME Agent id: 1 State: Active

Name: "VMS"

Image: "DISK$I64SYS:[VMS$COMMON.SYSLIB]VMS$VMS_ACMESHR.EXE;1" Identification: "VMS ACME built 20-SEP-2006"

Information: "No requests completed since the last startup" Domain of Interpretation: Yes

Execution Order: 1

Credentials Type: 1 Name: "VMS" Resource wait count: 0 ACME Agent id: 2 State: Active

Name: "LDAP-STD"

Image: "DISK$I64SYS:[VMS$COMMON.SYSLIB]LDAPACME$LDAP-STD_ACMESHR.EXE;1" Identification: "ACME LDAP Standard V1.5"

Information: "ACME_LDAP_DOI Agent is initialized" Domain of Interpretation: Yes

Execution Order: 2

Credentials Type: 3 Name: "LDAP" Resource wait count: 0

9. SYSUAF.DAT ファイルにユーザー jdoe を追加します。

$ @SYS$COMMON:[SYSHLP.EXAMPLES]ADDUSER.COM

*************************************************************************** * Creating a NEW user account... If at ANY TIME you need help about a *

* prompt, just type "?". *

*************************************************************************** Username(s) - separate by commas: jdoe

*** Processing JDOE's account *** Full name for JDOE: John Doe

Password (password is not echoed to terminal) [JDOE]: UIC Group number [200]:

UIC Member number: 201 Account name: TEST

Privileges [TMPMBX,NETMBX]: Login directory [JDOE]:

Login device [SYS$SYSDEVICE:]:

%CREATE-I-EXISTS, SYS$SYSDEVICE:[JDOE] already exists

%UAF-I-PWDLESSMIN, new password is shorter than minimum password length %UAF-E-UAEERR, invalid user name, user name already exists

%UAF-I-NOMODS, no modifications made to system authorization file %UAF-I-RDBNOMODS, no modifications made to rights database

Check newly created account:

Username: JDOE Owner:

Account: TEST UIC: [201,2011] ([JDOE])

CLI: DCL Tables: DCLTABLES

Default: SYS$SYSDEVICE:[JDOE] LGICMD:

Flags: VMSAuth

Primary days: Mon Tue Wed Thu Fri

Secondary days: Sat Sun No access restrictions

Expiration: (none) Pwdminimum: 6 Login Fails: 1 Pwdlifetime: 90 00:00 Pwdchange: (pre-expired)

Last Login: (none) (interactive), (none) (non-interactive) Maxjobs: 0 Fillm: 128 Bytlm: 128000

Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0 Maxdetach: 0 BIOlm: 150 JTquota: 4096 Prclm: 8 DIOlm: 150 WSdef: 4096 Prio: 4 ASTlm: 300 WSquo: 8192 Queprio: 4 TQElm: 100 WSextent: 16384 CPU: (none) Enqlm: 4000 Pgflquo: 256000 Authorized Privileges:

NETMBX TMPMBX Default Privileges:

NETMBX TMPMBX

%UAF-I-NOMODS, no modifications made to system authorization file %UAF-I-RDBNOMODS, no modifications made to rights database

Is everything satisfactory with the account [YES]:

10. ユーザー jdoe に対して ExtAuth および VMSAuth フラグを設定します。 SYSUAF アカウン

トの追加については 2.6 項 「OpenVMS での ExtAuth および VMSAuth フラグの指定」 を

参照してください。

$ SET DEF SYS$SYSTEM $ MC AUTHORIZE

UAF> modify jdoe/flags=(EXTAUTH,VMSAUTH) %UAF-I-MDFYMSG, user record(s) updated UAF> SHOW jdoe

Username: JDOE Owner:

Account: TEST UIC: [201,2011] ([JDOE])

CLI: DCL Tables: DCLTABLES

Default: SYS$SYSDEVICE:[JDOE] LGICMD:

Flags: ExtAuth VMSAuth

Primary days: Mon Tue Wed Thu Fri

Secondary days: Sat Sun No access restrictions

Expiration: (none) Pwdminimum: 6 Login Fails: 1 Pwdlifetime: 90 00:00 Pwdchange: (pre-expired)

Last Login: (none) (interactive), (none) (non-interactive) Maxjobs: 0 Fillm: 128 Bytlm: 128000

Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0 Maxdetach: 0 BIOlm: 150 JTquota: 4096 Prclm: 8 DIOlm: 150 WSdef: 4096 Prio: 4 ASTlm: 300 WSquo: 8192 Queprio: 4 TQElm: 100 WSextent: 16384 CPU: (none) Enqlm: 4000 Pgflquo: 256000 Authorized Privileges: NETMBX TMPMBX Default Privileges: NETMBX TMPMBX UAF> 11. ユーザー jdoe としてシステムにログインします。

4.5 セキュアポートに対して ACME LDAP を有効にする

この項では以下の内容について説明します。 1. Active Directory 証明書の作成(4.5.1 項) 2. セキュアポートのための ACME LDAP の構成(4.5.2 項)

4.5.1 Active Directory 証明書の作成

セキュア認証を可能にするために証明書ファイルを作成するには、 以下の手順で、Microsoft の証明書サービスをインストールして root CA を作成します。 オプションとして、他社の証明 書をインストールすることもできます。 Microsoft が提供しているサポート情報「How to enable LDAP over SSL with a third-party certification authority 」を参照してください。

1. [Start]→[All Programs]→[Control Panel]→[Add or Remove Programs] を選択して [Add or Remove Programs] ウィンドウをオープンしてください。

2. [Add or Remove Programs] ウィンドウで [Add or Remove Windows Components] オプショ ンをクリックします。[Windows Components Wizard] ダイアログボックスが表示されま す。

3. [Certificate Services] を選択します。 以下のような警告メッセージが表示されます。この メッセージボックスで [Yes] をクリックして [Windows Components Wizard] で [Next] をク リックし、証明書のインストールを続行します。

4. 表示されオプションから必要な CA タイプを選択します。 デフォルトは [Enterprise root

CA] です。[Next] をクリックして [CA Identifying Information] ウィンドウを表示させます。