Jump to content 日本-日本語
≫ お問い合わせ

HP OpenVMS ACME LDAP : インストレーションおよび構成ガイド

第4章 スタンドアロン Active Directory サーバーと OpenVMS ACME LDAP エージェントの構成例

≫ 

OpenVMS ドキュメント ライブラリ

タイトルページ/目次
まえがき
第1章:概要
第2章:ACME LDAPエージェントのインストールと構成
第3章:グローバルマッピングとローカルマッピング
第4章:Active ServerとACMS LDAPエージェントの構成例
第5章:問題発生時の対応
第6章:制限事項
第7章:参考資料
索引
PDF
OpenVMS ホーム
ここから本文が始まります

この章では、OpenVMS ACME LDAP エージェントで Active Directory サーバーを構成する方法についての例を示します。 この構成例では、スタンドアロン Active Directory サーバーの構成、 アカウントの作成、証明書の作成などの一連の手順を説明しています。 ACME LDAP 構成ファイルにデータを追加するために Active Directory サーバーから対応する値を展開する手順も示します。

重要: この章は、サンプル・ディレクトリサーバー (ここでは、ディレクトリサーバーとして Active Directory を使用しています) と OpenVMS ACME LDAP エージェントの構成についての概要をエンドユーザーに提供することを目的としています。

ご利用の環境では、4.1 項4.5.1 項 「Active Directory 証明書の作成」 などの特定の項で説明している手順がすでに完了している場合があります。 この場合、これらの手順を再度行う必要はありません。

この章で使用している query_account などのサンプルのアカウント名はスタンドアロン・プロキシアカウント名として使用する必要はありません。実際の環境では、適切な名前でアカウントを作成することができます。

同様に、この章で使用されているその他のアカウント名およびシステム名はあくまで例であり、実際には、 ご使用の環境に合ったアカウント名およびシステム名を使用することができます。

図 4-1 では、Active Directory サーバーと構成された ACME LDAP エージェントがどのように動作するかを示しています。

図 4-1 ACME LDAP 処理フロー図

Work Flow Diagram

図 4-1 では、 VMS ユーザーが LDAP 認証を使用してどのように VMS システムにログインするかを示しています。この図では、TCP/IP で通信する 2 つのシステムで構成された環境を例に説明しています。

図の左側のグレーの箱は、拡張された LOGINOUT.EXE と SETP0.EXE がインストールされ、 ACME SERVER プロセス内で ACMS LDAP エージェントが動作する OpenVMS システムです。

図の右側にあるのは、Windows Server 2003 が稼動する Active Directory サーバーです。Active Directory は LDAP サーバーでもあります。

ACME LDAP エージェントは、SSL で保護された TCP セッション上で LDAP プロトコルを使用して Active Directory と通信します(Active Directory の LDAP パスワードの変更が必要)。 LDAP の search および bind 操作は、標準の C バインディングを通してアクセスされる標準の LDAP 操作です。 これらの操作は、標準的な任意の LDAP サーバーでもサポートされており、LDAP ベースの認証サービスを提供する多くのアプリケーションで使用されています。

Active Directory が OpenVMS システムでの認証に ACME LDAP エージェントを使用できるようにする手順は、以下のとおりです。

4.1 Active Directory の構成

Active Directory の構成手順は以下のとおりです。

4.1.1 Active Directory をドメインコントローラとして設定

Windows 2003 server 上で Active Directory をスタンドアロン・ドメインコントローラとして設定する手順は以下のとおりです。

注記: 実際のネットワーク環境では、Active Directory はスタンドアロンではないかもしれません。 また、Active Directory がすでに設定されている場合も少なくありません。

  1. Start->All Programs->Manage Your Server を選択して Manage Your Server ウィンドウをオープンします。

    Invoking Manage Your Server window
  2. Manage Your Server ウィンドウで Add or remove a role オプションを選択します。 Configure Your Server Wizard ダイアログボックスが表示されます。

  3. Next をクリックします。ウィザードがネットワークの設定を検出するまで待ちます。 Server Role ダイアログボックスが表示されます。

  4. Active Directory をドメインコントローラとして設定するためにサーバーの役割として Domain Controller (Active Directory) を選択し、Next をクリックして、Summary of Selections ダイアログボックスを表示させます。

  5. Next をクリックして、ドメインコントローラとしての Active Directory サーバーのインストールを開始します。 その後、Active Directory Installation Wizard が表示されます。

4.1.1.1 Active Directory のインストール

Active Directory Installation Wizard の指示にしたがって Active Directory のインストールを行ってください。以下に手順を示します。

  1. Welcome to the Active Directory Installation Wizard ダイアログボックスで Next をクリックして、 Operating System Compatibility ダイアログボックスを表示させます。Next をクリックして Domain Controller Type ダイアログボックスを表示させます。

  2. Domain Controller Type ダイアログボックスで、 新しいドメインを作成するのかあるいはドメインを追加するのか、 状況に応じて必要なオプションを選択します。 Additional domain controller for an existing domain を選択した場合、 すべてのローカルアカウントと暗号キーが削除される点に注意してください。この注意事項はウィザードにも表示されます。この例では、Domain controller for a new domain オプションが選択されています。

    Next をクリックして、Create New Domain ダイアログボックスを表示させてください。

  3. Create New Domain ダイアログボックスで必要なオプションを選択して、Next をクリックしてください。この例では、Domain in a new forest オプションが選択されています。

  4. Full DNS name for new domain: フィールドに DNS 名を入力して Next をクリックし、 NetBIOS Domain Name ダイアログボックスを表示させてください。

  5. Domain NetBIOS name: に入力するか、表示されている名前を変更しない場合はフィールドの値はそのままで Next をクリックします。 Next をクリックして Database and Log Folders ダイアログボックスを表示させます。

  6. Browse... をクリックして Database folder:Log folder: の値を選択するか、 デフォルトのフォルダ名を残して Next をクリックします。

  7. DNS がインストールされていない場合、DNS の登録診断が失敗し、DNS を構成するためのオプションが提示されます。 適切なオプションを選択して Next をクリックします。

  8. 必要なオプションを選択して Next をクリックし、 Directory Services Restore Mode Administrator Password ダイアログボックスを表示させます。

  9. 管理者アカウントのパスワードを入力し、 それぞれのフィールドに入力したパスワードが同じことを確認して Next をクリックし、 Summary ダイアログボックスを表示させます。

  10. Summary ダイアログボックスの一連のウィザードで必要に応じて Next あるいは Finish をクリックし、 Active Directory のインストレーションを完了させます。

  11. Restart をクリックしてシステムを再起動し、Active Directory の構成内容を有効にします。

4.2 Active Directory のアカウント作成

ディレクトリサーバーで次の 2 つのアカウントを作成します。 1 つは、たとえば query_account などのバインディング・アカウント、 もう 1 つは、たとえば jdoe などのディレクトリサーバー上のテスト用のユーザーアカウントです。 query_account は、Active Directory サーバーに接続するために ACME LDAP によって使用されます。 以降の項では、query_account の識別名を取得して ACME LDAP 構成ファイルで使用する方法について説明しています。アカウント名は任意の名前を使用できます。 query_account は一例です。 また、アカウント jdoe はサンプルのユーザーアカウントです。

アカウントを作成するには、以下の手順を実行してください。

  1. Domain Controller (Active Directory) パネルで Manage users and computers in Active Directory オプションを選択します。Active Directory Users and Computers ウィンドウが表示されます。

  2. Active Directory Users and Computers ツリーの下の testdomain.hp.com を選択して、Users サブツリーを表示させます。

    Active Directory Users and Computers ウィンドウのポップアップ・ウィンドウから右クリックで New->User を選択します。 New Object-User ダイアログボックスが表示されます。

  3. 必要に応じてアカウントに関する詳細を入力して Next をクリックします。以降のいくつかの図は、query_account およびユーザーアカウントに対して入力された内容を示しています。

    まずバインディング・アカウント query_account を作成します。

  4. 特定のドメインにおけるこのユーザーのパスワードを入力し、Next をクリックします。

  5. New Object-User ダイアログボックスに、このユーザーの詳細と選択したパスワード設定が表示されます。Finish をクリックしてユーザープロファイルを作成します。

    次のように query_account の詳細が表示されます。

  6. query_account と同様に、テスト用のユーザーアカウント jdoe を作成します。

4.3 ACME LDAP 構成パラメータ値の展開

Active Directory から以下の情報を LDAP INI 構成ファイルに追加する必要があります。

  • LDAP ポート (通常は、非セキュアポート 389、セキュアポート 636)この情報の入手方法についての詳細は、4.3.1 項 「LDAP ポートの照会」 を参照してください。

  • すべてのユーザーが存在するベース識別名 (DN)

  • query_account の識別名とパスワード

  • ログイン属性 (通常は samaccountname)

ベース識別名 (base_dn ディレクティブ)、query_account の識別名 (bind_dn ディレクティブ)、および samaccountname (login_attribute ディレクティブ) は、データベースログファイル .ldf ファイルから入手できます。特定の属性値の入手方法の詳細は 4.3.2 項 「base_dn、bind_dn および login_attribute の展開」 を参照してください。

4.3.1 LDAP ポートの照会

LDAP ポートを照会するには、Microsoft が提供する PortQryUI ツールをインストールします。このツールは次の URL からダウンロードできます: http://www.microsoft.com/downloads/en/confirmation.aspx?familyId=8355e537-1ea6-4569-aabb-f248f4bd91d0=enac828bdc6983

これ以外の照会ツールを使用してもかまいません。

4.3.2 base_dn、bind_dn および login_attribute の展開

(ACME LDAP 構成ファイルの) base_dn、bind_dn、および login_attribute ディレクティブの値を .ldf ファイルから展開することができます。

.ldf ファイルを展開するには、Windows システムのコマンドプロンプトで次のコマンドを入力します。

ldifde -f <filename>.ldf

.ldf ファイルが展開されたら、base_dn および bind_dn の値をコピーします。base_dn および bind_dn ディレクティブについての詳細は、表 2-1 LDAP 構成属性 を参照してください。

図 4-2 では、.ldf ファイルの例を示しています。 アカウント query_account は、バインディング・アカウントとして認識されています。base_dn および bind_dn の値が強調表示されています。

図 4-2 Sample LDF file

Sample LDF file

4.4 非セキュアポートのための ACME LDAP エージェントの構成

非セキュアポートで ACME LDAP エージェントを構成する手順は以下のとおりです。

  1. 2.3 項 「SYS$ACM (ACMELOGIN) 対応の LOGIN PCSI キットおよび ACME LDAP PCSI キットのインストール」 で説明した手順で、ACMELOGIN および ACMELDAP キットをインストールします。

  2. 次のコマンドで 2 つのイメージが正しくロードされているかどうか確認します。

    ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE

    $ ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE
    This is an OpenVMS IA64 (Elf format) executable image file
    
    Image Identification Information, in section 3.
    
        Image name:                                 "LOGINOUT"
        Global Symbol Table name:                   "LOGINOUT"
        Image file identification:                  "LOGIN98 X-1"
        Image build identification:                 "XC7Q-BL4-000000"
        Link identification:                        "Linker I02-37"
        Link Date/Time:                              8-FEB-2010 15:23:06.56
    

    ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE

    $ ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE
    This is an OpenVMS IA64 (Elf format) executable image file
    
    Image Identification Information, in section 3.
    
        Image name:                                 "SETP0"
        Global Symbol Table name:                   "SETP0"
        Image file identification:                  "LOGIN98 X-1"
        Image build identification:                 "XC7Q-BL4-000000"
        Link identification:                        "Linker I02-37"
        Link Date/Time:                              8-FEB-2010 15:25:05.14
    
  3. LDAP ペルソナ拡張を設定します。ペルソナ拡張の設定方法については 2.4 項 「LDAP ペルソナ拡張の設定」 を参照してください。

  4. ペルソナ拡張を設定した後、OpenVMS システムを再起動してください。

  5. 非セキュアポートに対し、LDAP 構成ファイル SYS$STARTUP:LDAPACME$CONFIG-STD.INI の属性に以下の値を入力してください。

    server = cssn-ddrs.testdomain.hp.com

    この場合、Active directory システムに対して下記のコマンドを実行できることを確認してください。

    $ TCPIP PING cssn-ddrs.testdomain.hp.com
    

    port = 389

    これは非セキュアポートのデフォルト値です。

    bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com

    この値は .ldf ファイルから取得できます。 値の展開方法については 4.3.2 項 「base_dn、bind_dn および login_attribute の展開」 を参照してください。

    bind_password = welcome@123

    これは Active Directory で query_account に対して与えられるパスワードです。 4.2 項 「Active Directory のアカウント作成」 を参照してください。

    base_dn = DC=testdomain,DC=hp,DC=com

    これは、他のすべてのアカウントが存在するベースアカウントです。 4.2 項 「Active Directory のアカウント作成」 を参照してください。

    login_attribute = samaccountname

    4.2 項 「Active Directory のアカウント作成」 を参照してください。

    scope = sub

    デフォルト値 sub を残します。

    port_security = none

    これは非セキュアポートなのでデフォルト値を none と置き換えます。

    password_type = active-directory

    Active Directory で構成が行われているので、 デフォルト値を active-directory と置き換えます。

    データーが反映された構成ファイルは以下のようになります。

    server = cssn-ddrs.testdomain.hp.com
    port = 389
    bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
    bind_password = welcome@123
    base_dn = DC=testdomain,DC=hp,DC=com
    login_attribute = samaccountname
    scope = sub
    port_security = none
    password_type = active-directory
    

  6. SYS$MANAGER:ACME$START.COM に以下の論理名を追加します。

    $ DEFINE/SYSTEM/EXECUTIVE LDAPACME$INIT SYS$STARTUP:LDAPACME$CONFIG-STD.INI
    

    そして、@SYS$STARTUP:LDAPACME$STARTUP-STD のコメントを外します。

  7. ACME サーバーを再起動します。

    $ SET SERVER ACME/EXIT/WAIT
    $ SET SERVER ACME/START=AUTO
    

  8. SHOW SERVER ACME/FULL を実行して、ACME LDAP エージェントがロードされているかどうかを確認します。

    $ SHOW SERVER ACME/FULL
    ACME Information on node EARWIG  18-FEB-2010 06:03:42.00  Uptime 0 00:15:24
    
    ACME Server id: 2  State: Processing New Requests
       Agents Loaded:        2   Active:      2
       Thread Maximum:       1   Count:       1
       Request Maximum:    826   Count:       0
       Requests awaiting service:             0
       Requests awaiting dialogue:            0
       Requests awaiting AST:                 0
       Requests awaiting resource:            0
       Logging status: Active
       Tracing status: Inactive
       Log file: "SYS$SYSROOT:[SYSMGR]ACME$SERVER.LOG;19"
    
    ACME Agent id: 1  State: Active
       Name: "VMS"
       Image: "DISK$I64SYS:[VMS$COMMON.SYSLIB]VMS$VMS_ACMESHR.EXE;1"
       Identification: "VMS ACME built  20-SEP-2006"
       Information: "No requests completed since the last startup"
       Domain of Interpretation: Yes
       Execution Order:      1
       Credentials Type:     1   Name: "VMS"
       Resource wait count:                   0
    
    ACME Agent id: 2  State: Active
       Name: "LDAP-STD"
       Image: "DISK$I64SYS:[VMS$COMMON.SYSLIB]LDAPACME$LDAP-STD_ACMESHR.EXE;1"
       Identification: "ACME LDAP Standard V1.5"
       Information: "ACME_LDAP_DOI Agent is initialized"
       Domain of Interpretation: Yes
       Execution Order:      2
       Credentials Type:     3   Name: "LDAP"
       Resource wait count:                   0
    
  9. SYSUAF.DAT ファイルにユーザー jdoe を追加します。

    $ @SYS$COMMON:[SYSHLP.EXAMPLES]ADDUSER.COM
    ***************************************************************************
    *  Creating a NEW user account... If at ANY TIME you need help about a    *
    *  prompt, just type "?".                                                 *
    ***************************************************************************
    
    
    Username(s) - separate by commas: jdoe
    
     *** Processing JDOE's account ***
    
    Full name for JDOE: John Doe
    Password (password is not echoed to terminal) [JDOE]:
    
    UIC Group number [200]:
    UIC Member number: 201
    Account name: TEST
    Privileges [TMPMBX,NETMBX]:
    
    Login directory [JDOE]:
    Login device [SYS$SYSDEVICE:]:
    
    %CREATE-I-EXISTS, SYS$SYSDEVICE:[JDOE] already exists
    %UAF-I-PWDLESSMIN, new password is shorter than minimum password length
    %UAF-E-UAEERR, invalid user name, user name already exists
    %UAF-I-NOMODS, no modifications made to system authorization file
    %UAF-I-RDBNOMODS, no modifications made to rights database
    
    Check newly created account:
    
    
    Username: JDOE                             Owner:
    Account:  TEST                             UIC:    [201,2011] ([JDOE])
    CLI:      DCL                              Tables: DCLTABLES
    Default:  SYS$SYSDEVICE:[JDOE]
    LGICMD:
    Flags:  VMSAuth
    Primary days:   Mon Tue Wed Thu Fri
    Secondary days:                     Sat Sun
    No access restrictions
    Expiration:            (none)    Pwdminimum:  6   Login Fails:     1
    Pwdlifetime:         90 00:00    Pwdchange:      (pre-expired)
    Last Login:            (none) (interactive),            (none) (non-interactive)
    Maxjobs:         0  Fillm:       128  Bytlm:       128000
    Maxacctjobs:     0  Shrfillm:      0  Pbytlm:           0
    Maxdetach:       0  BIOlm:       150  JTquota:       4096
    Prclm:           8  DIOlm:       150  WSdef:         4096
    Prio:            4  ASTlm:       300  WSquo:         8192
    Queprio:         4  TQElm:       100  WSextent:     16384
    CPU:        (none)  Enqlm:      4000  Pgflquo:     256000
    Authorized Privileges:
      NETMBX       TMPMBX
    Default Privileges:
      NETMBX       TMPMBX
    %UAF-I-NOMODS, no modifications made to system authorization file
    %UAF-I-RDBNOMODS, no modifications made to rights database
    
    Is everything satisfactory with the account [YES]:
    
  10. ユーザー jdoe に対して ExtAuth および VMSAuth フラグを設定します。 SYSUAF アカウントの追加については 2.6 項 「OpenVMS での ExtAuth および VMSAuth フラグの指定」 を参照してください。

    $ SET DEF SYS$SYSTEM
    $ MC AUTHORIZE
    UAF> modify jdoe/flags=(EXTAUTH,VMSAUTH)
    %UAF-I-MDFYMSG, user record(s) updated
    UAF> SHOW jdoe
    
    Username: JDOE                             Owner:
    Account:  TEST                             UIC:    [201,2011] ([JDOE])
    CLI:      DCL                              Tables: DCLTABLES
    Default:  SYS$SYSDEVICE:[JDOE]
    LGICMD:
    Flags:  ExtAuth VMSAuth
    Primary days:   Mon Tue Wed Thu Fri
    Secondary days:                     Sat Sun
    No access restrictions
    Expiration:            (none)    Pwdminimum:  6   Login Fails:     1
    Pwdlifetime:         90 00:00    Pwdchange:      (pre-expired)
    Last Login:            (none) (interactive),            (none) (non-interactive)
    Maxjobs:         0  Fillm:       128  Bytlm:       128000
    Maxacctjobs:     0  Shrfillm:      0  Pbytlm:           0
    Maxdetach:       0  BIOlm:       150  JTquota:       4096
    Prclm:           8  DIOlm:       150  WSdef:         4096
    Prio:            4  ASTlm:       300  WSquo:         8192
    Queprio:         4  TQElm:       100  WSextent:     16384
    CPU:        (none)  Enqlm:      4000  Pgflquo:     256000
    Authorized Privileges:
      NETMBX       TMPMBX
    Default Privileges:
      NETMBX       TMPMBX
    UAF>
    
  11. ユーザー jdoe としてシステムにログインします。

4.5 セキュアポートに対して ACME LDAP を有効にする

この項では以下の内容について説明します。

4.5.1 Active Directory 証明書の作成

セキュア認証を可能にするために証明書ファイルを作成するには、 以下の手順で、Microsoft の証明書サービスをインストールして root CA を作成します。 オプションとして、他社の証明書をインストールすることもできます。 Microsoft が提供しているサポート情報「How to enable LDAP over SSL with a third-party certification authority」を参照してください。

  1. Start->All Programs->Control Panel->Add or Remove Programs を選択して Add or Remove Programs ウィンドウをオープンしてください。

  2. Add or Remove Programs ウィンドウで Add or Remove Windows Components オプションをクリックします。Windows Components Wizard ダイアログボックスが表示されます。

  3. Certificate Services を選択します。 以下のような警告メッセージが表示されます。このメッセージボックスで Yes をクリックして Windows Components WizardNext をクリックし、証明書のインストールを続行します。

  4. 表示されオプションから必要な CA タイプを選択します。 デフォルトは Enterprise root CA です。Next をクリックして CA Identifying Information ウィンドウを表示させます。

  5. CA Identifying Information ダイアログボックスで Common name for this CA: に値を入力します。 また、Validity period で適切な有効期間も選択します。 Next をクリックして Certificate Database Settings ダイアログボックスを表示させます。

  6. Browse... ボタンをクリックして、 Certificate database および Certificate database log: のフォルダを選択するか、 デフォルトの場所を残して Next をクリックし、Configuring Components ダイアログボックスを表示させます。

  7. 証明書コンポーネントが構成されるのを待ちます。構成が完了したら Next をクリックします。

  8. IIS がインストールされていないため Certificate Services Web Enrollment Support が利用できないことを示す次のようなメッセージがダイアログボックスに表示される場合があります。

    Internet Information Services (IIS) is not installed on this computer. Certificate Services Web Enrollment Support will be unavailable until IIS is installed.

    この場合、OK をクリックします。 この後、Completing the Windows Components Wizard ダイアログボックスが表示されます。

  9. Finish をクリックすると証明書のインストールが完了します。

  10. Windows システムを再起動します。

4.5.2 セキュアポートのための ACME LDAP の構成

  1. 4.4 項 「非セキュアポートのための ACME LDAP エージェントの構成」 で更新した方法と同じ要領で、LDAP 構成ファイル SYS$STARTUP:LDAPACME$CONFIG-STD.INI を更新します。 前述の方法との唯一の違いは、port および port_security ディレクティブに提供する値です。

    以下に構成ファイルの例を示します。

    server = cssn-ddrs.testdomain.hp.com
    port = 636
    bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
    bind_password = welcome@123
    base_dn = DC=testdomain,DC=hp,DC=com
    scope = sub
    port_security = ssl
    password_type = active-directory
    

    あるいは

    server = cssn-ddrs.testdomain.hp.com
    port = 389
    bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
    bind_password = welcome@123
    base_dn = DC=testdomain,DC=hp,DC=com
    scope = sub
    port_security = starttls
    password_type = active-directory
    
  2. ACME_SERVER を再起動して、4.4 項 「非セキュアポートのための ACME LDAP エージェントの構成」 で説明した方法でログインを確認します。

4.6 ACME LDAP への Active Directory 証明書の提供

この処理は、Active Directory の公開ルート証明書をエクスポートして ACME LDAP エージェントへ提供する場合のオプションの処理です。ACME LDAP エージェントは、この証明書の正当性を確認することで、正しい Active Directory サーバーに接続しているかどうか確認します。

4.6.1 Active Directory での証明書の表示

生成した証明書を表示するには、以下の操作を実行します。

  1. Run から mmc をオープンして、コンソールをオープンします。

  2. File->Add/Remove Snap-in を選択して Add/Remove Snap-in ダイアログボックスをオープンします。

  3. Add/Remove Snap-in ダイアログボックスの Standalone タブで Add をクリックします。 Add Standalone Snap-in ダイアログボックスが表示されます。

  4. Certificates を選択して Add をクリックし、Certificates snap-in ダイアログボックスを表示させます。以降に表示されるいくつかのダイアログボックスで、証明書についての詳細を入力する必要があります。

  5. Computer account オプションを選択して Next をクリックし、Select Computer ダイアログボックスを表示させます。

  6. Local computer (the computer this console is running on) オプションを選択して Finish をクリックすると、証明書の追加が完了します。この後、Add Standalone Snap-in ダイアログボックスに戻ります。

  7. Add Standalone Snap-in ダイアログボックスで Close クリックします。snap-in に追加された証明書が Add/Remove Snap-in ダイアログボックスに表示されます。

    OK をクリックして Add/Remove Snap-in ダイアログボックスをクローズします。

  8. Console Root->Certificates->Personal->Certificates を選択します。 Console Root ウィンドウの右側のサイドパネルに利用可能な証明書が表示されます。

  9. 表示された証明書上で右クリックし、All Tasks >Export でエクスポートする証明書を選択します。 Certificate Export Wizard ダイアログボックスが表示されます。

  10. Welcome ダイアログボックスで Next をクリックし、証明書のエクスポートを開始します。Export Private Key ダイアログボックスが表示されます。

  11. No, do not export the private key を選択して Next をクリックし、Export File Format ダイアログボックスを表示させます。

  12. Base-64 encoded X.509 のみを選択します。 Next をクリックします。File to Export ダイアログボックスが表示されます。

  13. Browse... をクリックして File name: の値を選択するか、デフォルトのファイル名をそのまま使用して Next をクリックします。 Completing the Certificate Export Wizard ダイアログボックスが表示されます。

  14. Finish をクリックすると証明書のエクスポートが完了します。エクスポートが成功すると、 ダイアログボックスに The export was successful. というメッセージが表示されます。

証明書を表示するには、Notepad で証明書ファイルをオープンしてください。

システムで生成された証明書をオープンすると、 次の図のように生成されていることが確認できます。

4.6.2 OpenVMS への証明書の追加

LDAP 認証のために証明書を追加するには、以下の手順を実行します。

  1. SYS$SYSROOT:[SYSMGR]<certificate name> ファイルを作成します。 たとえば、SYS$SYSROOT:[SYSMGR]BASE64_TESTDOMAIN_ROOTCA.CER のようなファイルを作成します。 この例では BASE64_TESTDOMAIN_ROOTCA.CER が証明書の名前です。

  2. Active Directory サーバーから証明書をコピーし、 BASE64_TESTDOMAIN_ROOTCA.CER ファイルに貼り付けます。

  3. ファイルを保管します。

    注記: このファイルを FTP で転送する場合は ASCII モードを使用してください。
  4. このファイルの保護モードを次のように設定してください。

    $ SET SECURITY/PROTECTION=(SYSTEM:"RWED",OWNER:"",GROUP:"",WORLD:"")
    

  5. SYS$STARTUP:LDAPACME$CONFIG-STD.INI ファイルをオープンし、 証明書ファイルの正確なディレクトリ位置で ca_file 属性を編集してください。

    たとえば、ca_file = SYS$SYSROOT:[SYSMGR]:BASE64_TESTDOMAIN_ROOTCA.CER のように編集し、構成ファイルを保管します。

  6. 次のように ACME サーバーを再起動します。

    $ SET SERVER ACME/EXIT/WAIT
    $ SET SERVER ACME/START=AUTO
    

印刷用画面へ
プライバシー 本サイト利用時の合意事項
© 2013 Hewlett-Packard Development Company, L.P.