 |
≫ |
|
|
 |
この章では、OpenVMS ACME LDAP エージェントで Active Directory サーバーを構成する方法についての例を示します。
この構成例では、スタンドアロン Active Directory サーバーの構成、 アカウントの作成、証明書の作成などの一連の手順を説明しています。
ACME LDAP 構成ファイルにデータを追加するために
Active Directory サーバーから対応する値を展開する手順も示します。
図 4-1 では、Active Directory サーバーと構成された ACME LDAP エージェントがどのように動作するかを示しています。
図 4-1 では、
VMS ユーザーが LDAP 認証を使用してどのように VMS システムにログインするかを示しています。この図では、TCP/IP で通信する 2 つのシステムで構成された環境を例に説明しています。 図の左側のグレーの箱は、拡張された LOGINOUT.EXE と SETP0.EXE がインストールされ、
ACME SERVER プロセス内で ACMS LDAP エージェントが動作する OpenVMS システムです。 図の右側にあるのは、Windows Server 2003 が稼動する Active Directory サーバーです。Active Directory は LDAP サーバーでもあります。
ACME LDAP エージェントは、SSL で保護された TCP セッション上で LDAP プロトコルを使用して Active Directory と通信します(Active Directory の LDAP パスワードの変更が必要)。
LDAP の search および bind 操作は、標準の C バインディングを通してアクセスされる標準の LDAP 操作です。
これらの操作は、標準的な任意の LDAP サーバーでもサポートされており、LDAP ベースの認証サービスを提供する多くのアプリケーションで使用されています。
Active Directory が OpenVMS システムでの認証に ACME LDAP エージェントを使用できるようにする手順は、以下のとおりです。
Active Directory の構成手順は以下のとおりです。
4.1.1 Active Directory をドメインコントローラとして設定 |  |
Windows 2003 server 上で Active Directory をスタンドアロン・ドメインコントローラとして設定する手順は以下のとおりです。
 |  |  |
 |
 | 注記:
実際のネットワーク環境では、Active Directory はスタンドアロンではないかもしれません。
また、Active Directory がすでに設定されている場合も少なくありません。 |
 |  |  |
 |
-
Start All Programs Manage Your Server
を選択して Manage Your Server ウィンドウをオープンします。 -
Manage Your Server ウィンドウで
Add or remove a role オプションを選択します。
Configure Your Server Wizard ダイアログボックスが表示されます。 -
Next をクリックします。ウィザードがネットワークの設定を検出するまで待ちます。
Server Role ダイアログボックスが表示されます。 -
Active Directory をドメインコントローラとして設定するためにサーバーの役割として Domain Controller (Active Directory) を選択し、Next をクリックして、Summary of Selections ダイアログボックスを表示させます。 -
Next をクリックして、ドメインコントローラとしての Active Directory サーバーのインストールを開始します。
その後、Active Directory Installation Wizard が表示されます。
4.1.1.1 Active Directory のインストール
Active Directory Installation Wizard の指示にしたがって Active Directory のインストールを行ってください。以下に手順を示します。 -
Welcome to the Active Directory Installation Wizard ダイアログボックスで Next をクリックして、
Operating System Compatibility ダイアログボックスを表示させます。Next をクリックして Domain Controller Type ダイアログボックスを表示させます。 -
Domain Controller Type ダイアログボックスで、
新しいドメインを作成するのかあるいはドメインを追加するのか、
状況に応じて必要なオプションを選択します。
Additional domain controller for an existing domain を選択した場合、
すべてのローカルアカウントと暗号キーが削除される点に注意してください。この注意事項はウィザードにも表示されます。この例では、Domain controller for a new domain オプションが選択されています。 Next をクリックして、Create New Domain ダイアログボックスを表示させてください。 -
Create New Domain ダイアログボックスで必要なオプションを選択して、Next をクリックしてください。この例では、Domain in a new forest オプションが選択されています。 -
Full DNS name for new domain: フィールドに DNS 名を入力して Next をクリックし、
NetBIOS Domain Name ダイアログボックスを表示させてください。 -
Domain NetBIOS name: に入力するか、表示されている名前を変更しない場合はフィールドの値はそのままで Next をクリックします。
Next をクリックして Database and Log Folders ダイアログボックスを表示させます。 -
Browse... をクリックして Database folder: と Log folder: の値を選択するか、
デフォルトのフォルダ名を残して Next をクリックします。 -
DNS がインストールされていない場合、DNS の登録診断が失敗し、DNS を構成するためのオプションが提示されます。
適切なオプションを選択して Next をクリックします。
-
必要なオプションを選択して Next をクリックし、
Directory Services Restore Mode Administrator Password ダイアログボックスを表示させます。 -
管理者アカウントのパスワードを入力し、
それぞれのフィールドに入力したパスワードが同じことを確認して Next をクリックし、
Summary ダイアログボックスを表示させます。 -
Summary ダイアログボックスの一連のウィザードで必要に応じて Next あるいは Finish をクリックし、
Active Directory のインストレーションを完了させます。 -
Restart をクリックしてシステムを再起動し、Active Directory の構成内容を有効にします。
ディレクトリサーバーで次の 2 つのアカウントを作成します。
1 つは、たとえば query_account などのバインディング・アカウント、
もう 1 つは、たとえば jdoe などのディレクトリサーバー上のテスト用のユーザーアカウントです。
query_account は、Active Directory サーバーに接続するために ACME LDAP によって使用されます。
以降の項では、query_account の識別名を取得して ACME LDAP 構成ファイルで使用する方法について説明しています。アカウント名は任意の名前を使用できます。
query_account は一例です。
また、アカウント jdoe はサンプルのユーザーアカウントです。
アカウントを作成するには、以下の手順を実行してください。 -
Domain Controller (Active Directory) パネルで Manage users and computers in Active Directory オプションを選択します。Active Directory Users and Computers ウィンドウが表示されます。 -
Active Directory Users and Computers ツリーの下の testdomain.hp.com を選択して、Users サブツリーを表示させます。
Active Directory Users and Computers ウィンドウのポップアップ・ウィンドウから右クリックで
New User
を選択します。
New Object-User ダイアログボックスが表示されます。 -
必要に応じてアカウントに関する詳細を入力して Next をクリックします。以降のいくつかの図は、query_account およびユーザーアカウントに対して入力された内容を示しています。 まずバインディング・アカウント query_account を作成します。 -
特定のドメインにおけるこのユーザーのパスワードを入力し、Next をクリックします。 -
New Object-User ダイアログボックスに、このユーザーの詳細と選択したパスワード設定が表示されます。Finish をクリックしてユーザープロファイルを作成します。 次のように query_account の詳細が表示されます。 -
query_account と同様に、テスト用のユーザーアカウント jdoe を作成します。
Active Directory から以下の情報を LDAP INI 構成ファイルに追加する必要があります。
-
LDAP ポート (通常は、非セキュアポート 389、セキュアポート 636)この情報の入手方法についての詳細は、4.3.1 項 「LDAP ポートの照会」 を参照してください。 -
-
-
ログイン属性 (通常は samaccountname)
ベース識別名 (base_dn ディレクティブ)、query_account の識別名 (bind_dn ディレクティブ)、および samaccountname (login_attribute ディレクティブ) は、データベースログファイル .ldf ファイルから入手できます。特定の属性値の入手方法の詳細は 4.3.2 項 「base_dn、bind_dn および login_attribute の展開」 を参照してください。
4.3.2 base_dn、bind_dn および login_attribute の展開 |  |
(ACME LDAP 構成ファイルの) base_dn、bind_dn、および login_attribute ディレクティブの値を
.ldf ファイルから展開することができます。 .ldf ファイルを展開するには、Windows システムのコマンドプロンプトで次のコマンドを入力します。
.ldf ファイルが展開されたら、base_dn および bind_dn の値をコピーします。base_dn および bind_dn ディレクティブについての詳細は、表 2-1 LDAP 構成属性 を参照してください。
図 4-2 では、.ldf ファイルの例を示しています。
アカウント query_account は、バインディング・アカウントとして認識されています。base_dn および bind_dn の値が強調表示されています。
非セキュアポートで ACME LDAP エージェントを構成する手順は以下のとおりです。 -
2.3 項 「SYS$ACM (ACMELOGIN) 対応の LOGIN PCSI キットおよび ACME LDAP PCSI キットのインストール」 で説明した手順で、ACMELOGIN および ACMELDAP キットをインストールします。 -
次のコマンドで 2 つのイメージが正しくロードされているかどうか確認します。
ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE
$ ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]LOGINOUT.EXE
This is an OpenVMS IA64 (Elf format) executable image file
Image Identification Information, in section 3.
Image name: "LOGINOUT"
Global Symbol Table name: "LOGINOUT"
Image file identification: "LOGIN98 X-1"
Image build identification: "XC7Q-BL4-000000"
Link identification: "Linker I02-37"
Link Date/Time: 8-FEB-2010 15:23:06.56
|
ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE
$ ANALYZE/IMAGE/INTER SYS$COMMON:[SYSEXE]SETP0.EXE
This is an OpenVMS IA64 (Elf format) executable image file
Image Identification Information, in section 3.
Image name: "SETP0"
Global Symbol Table name: "SETP0"
Image file identification: "LOGIN98 X-1"
Image build identification: "XC7Q-BL4-000000"
Link identification: "Linker I02-37"
Link Date/Time: 8-FEB-2010 15:25:05.14
|
-
LDAP ペルソナ拡張を設定します。ペルソナ拡張の設定方法については 2.4 項 「LDAP ペルソナ拡張の設定」 を参照してください。
-
ペルソナ拡張を設定した後、OpenVMS システムを再起動してください。 -
非セキュアポートに対し、LDAP 構成ファイル SYS$STARTUP:LDAPACME$CONFIG-STD.INI の属性に以下の値を入力してください。 - server = cssn-ddrs.testdomain.hp.com
この場合、Active directory システムに対して下記のコマンドを実行できることを確認してください。
$ TCPIP PING cssn-ddrs.testdomain.hp.com
|
- port = 389
これは非セキュアポートのデフォルト値です。
- bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
この値は .ldf ファイルから取得できます。
値の展開方法については 4.3.2 項 「base_dn、bind_dn および login_attribute の展開」 を参照してください。
- bind_password = welcome@123
これは Active Directory で query_account に対して与えられるパスワードです。
4.2 項 「Active Directory のアカウント作成」 を参照してください。
- base_dn = DC=testdomain,DC=hp,DC=com
これは、他のすべてのアカウントが存在するベースアカウントです。
4.2 項 「Active Directory のアカウント作成」 を参照してください。
- login_attribute = samaccountname
4.2 項 「Active Directory のアカウント作成」 を参照してください。
- scope = sub
デフォルト値 sub を残します。
- port_security = none
これは非セキュアポートなのでデフォルト値を none と置き換えます。
- password_type = active-directory
Active Directory で構成が行われているので、
デフォルト値を active-directory と置き換えます。
データーが反映された構成ファイルは以下のようになります。
server = cssn-ddrs.testdomain.hp.com
port = 389
bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
bind_password = welcome@123
base_dn = DC=testdomain,DC=hp,DC=com
login_attribute = samaccountname
scope = sub
port_security = none
password_type = active-directory
|
-
SYS$MANAGER:ACME$START.COM に以下の論理名を追加します。
$ DEFINE/SYSTEM/EXECUTIVE LDAPACME$INIT SYS$STARTUP:LDAPACME$CONFIG-STD.INI
|
そして、@SYS$STARTUP:LDAPACME$STARTUP-STD のコメントを外します。
-
ACME サーバーを再起動します。
$ SET SERVER ACME/EXIT/WAIT
$ SET SERVER ACME/START=AUTO
|
-
SHOW SERVER ACME/FULL を実行して、ACME LDAP エージェントがロードされているかどうかを確認します。
 |
$ SHOW SERVER ACME/FULL
ACME Information on node EARWIG 18-FEB-2010 06:03:42.00 Uptime 0 00:15:24
ACME Server id: 2 State: Processing New Requests
Agents Loaded: 2 Active: 2
Thread Maximum: 1 Count: 1
Request Maximum: 826 Count: 0
Requests awaiting service: 0
Requests awaiting dialogue: 0
Requests awaiting AST: 0
Requests awaiting resource: 0
Logging status: Active
Tracing status: Inactive
Log file: "SYS$SYSROOT:[SYSMGR]ACME$SERVER.LOG;19"
ACME Agent id: 1 State: Active
Name: "VMS"
Image: "DISK$I64SYS:[VMS$COMMON.SYSLIB]VMS$VMS_ACMESHR.EXE;1"
Identification: "VMS ACME built 20-SEP-2006"
Information: "No requests completed since the last startup"
Domain of Interpretation: Yes
Execution Order: 1
Credentials Type: 1 Name: "VMS"
Resource wait count: 0
ACME Agent id: 2 State: Active
Name: "LDAP-STD"
Image: "DISK$I64SYS:[VMS$COMMON.SYSLIB]LDAPACME$LDAP-STD_ACMESHR.EXE;1"
Identification: "ACME LDAP Standard V1.5"
Information: "ACME_LDAP_DOI Agent is initialized"
Domain of Interpretation: Yes
Execution Order: 2
Credentials Type: 3 Name: "LDAP"
Resource wait count: 0
|
 |
-
SYSUAF.DAT ファイルにユーザー jdoe を追加します。
 |
$ @SYS$COMMON:[SYSHLP.EXAMPLES]ADDUSER.COM
***************************************************************************
* Creating a NEW user account... If at ANY TIME you need help about a *
* prompt, just type "?". *
***************************************************************************
Username(s) - separate by commas: jdoe
*** Processing JDOE's account ***
Full name for JDOE: John Doe
Password (password is not echoed to terminal) [JDOE]:
UIC Group number [200]:
UIC Member number: 201
Account name: TEST
Privileges [TMPMBX,NETMBX]:
Login directory [JDOE]:
Login device [SYS$SYSDEVICE:]:
%CREATE-I-EXISTS, SYS$SYSDEVICE:[JDOE] already exists
%UAF-I-PWDLESSMIN, new password is shorter than minimum password length
%UAF-E-UAEERR, invalid user name, user name already exists
%UAF-I-NOMODS, no modifications made to system authorization file
%UAF-I-RDBNOMODS, no modifications made to rights database
Check newly created account:
Username: JDOE Owner:
Account: TEST UIC: [201,2011] ([JDOE])
CLI: DCL Tables: DCLTABLES
Default: SYS$SYSDEVICE:[JDOE]
LGICMD:
Flags: VMSAuth
Primary days: Mon Tue Wed Thu Fri
Secondary days: Sat Sun
No access restrictions
Expiration: (none) Pwdminimum: 6 Login Fails: 1
Pwdlifetime: 90 00:00 Pwdchange: (pre-expired)
Last Login: (none) (interactive), (none) (non-interactive)
Maxjobs: 0 Fillm: 128 Bytlm: 128000
Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0
Maxdetach: 0 BIOlm: 150 JTquota: 4096
Prclm: 8 DIOlm: 150 WSdef: 4096
Prio: 4 ASTlm: 300 WSquo: 8192
Queprio: 4 TQElm: 100 WSextent: 16384
CPU: (none) Enqlm: 4000 Pgflquo: 256000
Authorized Privileges:
NETMBX TMPMBX
Default Privileges:
NETMBX TMPMBX
%UAF-I-NOMODS, no modifications made to system authorization file
%UAF-I-RDBNOMODS, no modifications made to rights database
Is everything satisfactory with the account [YES]:
|
 |
-
ユーザー jdoe に対して ExtAuth および VMSAuth フラグを設定します。
SYSUAF アカウントの追加については 2.6 項 「OpenVMS での ExtAuth および VMSAuth フラグの指定」 を参照してください。
$ SET DEF SYS$SYSTEM
$ MC AUTHORIZE
UAF> modify jdoe/flags=(EXTAUTH,VMSAUTH)
%UAF-I-MDFYMSG, user record(s) updated
UAF> SHOW jdoe
Username: JDOE Owner:
Account: TEST UIC: [201,2011] ([JDOE])
CLI: DCL Tables: DCLTABLES
Default: SYS$SYSDEVICE:[JDOE]
LGICMD:
Flags: ExtAuth VMSAuth
Primary days: Mon Tue Wed Thu Fri
Secondary days: Sat Sun
No access restrictions
Expiration: (none) Pwdminimum: 6 Login Fails: 1
Pwdlifetime: 90 00:00 Pwdchange: (pre-expired)
Last Login: (none) (interactive), (none) (non-interactive)
Maxjobs: 0 Fillm: 128 Bytlm: 128000
Maxacctjobs: 0 Shrfillm: 0 Pbytlm: 0
Maxdetach: 0 BIOlm: 150 JTquota: 4096
Prclm: 8 DIOlm: 150 WSdef: 4096
Prio: 4 ASTlm: 300 WSquo: 8192
Queprio: 4 TQElm: 100 WSextent: 16384
CPU: (none) Enqlm: 4000 Pgflquo: 256000
Authorized Privileges:
NETMBX TMPMBX
Default Privileges:
NETMBX TMPMBX
UAF>
|
-
ユーザー jdoe としてシステムにログインします。
この項では以下の内容について説明します。
4.5.1 Active Directory 証明書の作成 |  |
セキュア認証を可能にするために証明書ファイルを作成するには、
以下の手順で、Microsoft の証明書サービスをインストールして root CA を作成します。
オプションとして、他社の証明書をインストールすることもできます。
Microsoft が提供しているサポート情報「How to enable LDAP over SSL with a third-party certification authority」を参照してください。
-
Start All Programs Control Panel Add or Remove Programs
を選択して Add or Remove Programs ウィンドウをオープンしてください。
-
Add or Remove Programs ウィンドウで Add or Remove Windows Components オプションをクリックします。Windows Components Wizard ダイアログボックスが表示されます。 -
Certificate Services を選択します。
以下のような警告メッセージが表示されます。このメッセージボックスで Yes をクリックして Windows Components Wizard で Next をクリックし、証明書のインストールを続行します。 -
表示されオプションから必要な CA タイプを選択します。
デフォルトは Enterprise root CA です。Next をクリックして CA Identifying Information ウィンドウを表示させます。 -
CA Identifying Information ダイアログボックスで Common name for this CA: に値を入力します。
また、Validity period で適切な有効期間も選択します。
Next をクリックして Certificate Database Settings ダイアログボックスを表示させます。
-
Browse... ボタンをクリックして、
Certificate database および Certificate database log: のフォルダを選択するか、
デフォルトの場所を残して Next をクリックし、Configuring Components ダイアログボックスを表示させます。
-
証明書コンポーネントが構成されるのを待ちます。構成が完了したら Next をクリックします。 -
IIS がインストールされていないため Certificate Services Web Enrollment Support が利用できないことを示す次のようなメッセージがダイアログボックスに表示される場合があります。
Internet Information Services (IIS) is not installed on this computer.
Certificate Services Web Enrollment Support will be unavailable until IIS is installed.
この場合、OK をクリックします。
この後、Completing the Windows Components Wizard ダイアログボックスが表示されます。 -
Finish をクリックすると証明書のインストールが完了します。 -
Windows システムを再起動します。
4.5.2 セキュアポートのための ACME LDAP の構成 |  |
-
4.4 項 「非セキュアポートのための ACME LDAP エージェントの構成」 で更新した方法と同じ要領で、LDAP 構成ファイル SYS$STARTUP:LDAPACME$CONFIG-STD.INI を更新します。
前述の方法との唯一の違いは、port および port_security ディレクティブに提供する値です。
以下に構成ファイルの例を示します。
server = cssn-ddrs.testdomain.hp.com
port = 636
bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
bind_password = welcome@123
base_dn = DC=testdomain,DC=hp,DC=com
scope = sub
port_security = ssl
password_type = active-directory
|
あるいは
server = cssn-ddrs.testdomain.hp.com
port = 389
bind_dn = CN=query_account,CN=Users,DC=testdomain,DC=hp,DC=com
bind_password = welcome@123
base_dn = DC=testdomain,DC=hp,DC=com
scope = sub
port_security = starttls
password_type = active-directory
|
-
ACME_SERVER を再起動して、4.4 項 「非セキュアポートのための ACME LDAP エージェントの構成」 で説明した方法でログインを確認します。
この処理は、Active Directory の公開ルート証明書をエクスポートして ACME LDAP エージェントへ提供する場合のオプションの処理です。ACME LDAP エージェントは、この証明書の正当性を確認することで、正しい Active Directory サーバーに接続しているかどうか確認します。
4.6.1 Active Directory での証明書の表示 |  |
生成した証明書を表示するには、以下の操作を実行します。 -
Run から mmc をオープンして、コンソールをオープンします。 -
File Add/Remove Snap-in
を選択して Add/Remove Snap-in ダイアログボックスをオープンします。
-
Add/Remove Snap-in ダイアログボックスの Standalone タブで Add をクリックします。
Add Standalone Snap-in ダイアログボックスが表示されます。 -
Certificates を選択して Add をクリックし、Certificates snap-in ダイアログボックスを表示させます。以降に表示されるいくつかのダイアログボックスで、証明書についての詳細を入力する必要があります。 -
Computer account オプションを選択して Next をクリックし、Select Computer ダイアログボックスを表示させます。 -
Local computer (the computer this console is running on) オプションを選択して Finish をクリックすると、証明書の追加が完了します。この後、Add Standalone Snap-in ダイアログボックスに戻ります。 -
Add Standalone Snap-in ダイアログボックスで Close クリックします。snap-in に追加された証明書が Add/Remove Snap-in ダイアログボックスに表示されます。 OK をクリックして Add/Remove Snap-in ダイアログボックスをクローズします。 -
Console Root Certificates Personal Certificates
を選択します。
Console Root ウィンドウの右側のサイドパネルに利用可能な証明書が表示されます。
-
表示された証明書上で右クリックし、All Tasks >Export でエクスポートする証明書を選択します。
Certificate Export Wizard ダイアログボックスが表示されます。
-
Welcome ダイアログボックスで Next をクリックし、証明書のエクスポートを開始します。Export Private Key ダイアログボックスが表示されます。 -
No, do not export the private key を選択して Next をクリックし、Export File Format ダイアログボックスを表示させます。 -
Base-64 encoded X.509 のみを選択します。
Next をクリックします。File to Export ダイアログボックスが表示されます。 -
Browse... をクリックして File name: の値を選択するか、デフォルトのファイル名をそのまま使用して Next をクリックします。
Completing the Certificate Export Wizard ダイアログボックスが表示されます。 -
Finish をクリックすると証明書のエクスポートが完了します。エクスポートが成功すると、
ダイアログボックスに The export was successful. というメッセージが表示されます。
証明書を表示するには、Notepad で証明書ファイルをオープンしてください。
システムで生成された証明書をオープンすると、
次の図のように生成されていることが確認できます。
4.6.2 OpenVMS への証明書の追加 |  |
LDAP 認証のために証明書を追加するには、以下の手順を実行します。 -
SYS$SYSROOT:[SYSMGR]<certificate name> ファイルを作成します。
たとえば、SYS$SYSROOT:[SYSMGR]BASE64_TESTDOMAIN_ROOTCA.CER のようなファイルを作成します。
この例では BASE64_TESTDOMAIN_ROOTCA.CER が証明書の名前です。
-
Active Directory サーバーから証明書をコピーし、
BASE64_TESTDOMAIN_ROOTCA.CER ファイルに貼り付けます。 -
ファイルを保管します。
 |  |  |
 |
 | 注記: このファイルを FTP で転送する場合は ASCII モードを使用してください。 |
 |  |  |
 |
-
このファイルの保護モードを次のように設定してください。
$ SET SECURITY/PROTECTION=(SYSTEM:"RWED",OWNER:"",GROUP:"",WORLD:"")
|
-
SYS$STARTUP:LDAPACME$CONFIG-STD.INI ファイルをオープンし、
証明書ファイルの正確なディレクトリ位置で ca_file 属性を編集してください。
たとえば、ca_file = SYS$SYSROOT:[SYSMGR]:BASE64_TESTDOMAIN_ROOTCA.CER のように編集し、構成ファイルを保管します。 -
次のように ACME サーバーを再起動します。
$ SET SERVER ACME/EXIT/WAIT
$ SET SERVER ACME/START=AUTO
|
|