ホストのリストを動的に変更するロード・バランサーまたは複数のドメイン・コントローラーを LDAP サーバーが使用していて、LDAP と BigFix Inventory サーバー間の接続がセキュアである場合、BigFix Inventory サーバーの詳細構成を実行します。LDAP サーバーは、BigFix Inventory で既に構成されている場合があります。
このタスクについて
<install_dir> は、
BigFix Inventory サーバーがインストールされているディレクトリーです。デフォルトでは、以下のパスです。
- /opt/BFI
- C:\Program Files\BigFix Enterprise\BFI
手順内の
<install_dir> を、
BigFix Inventory サーバーがご使用の環境でインストールされているディレクトリーに置き換えてください。
手順
-
アプリケーションの更新 9.2.9 以上では、以下のステップを実行して、ディレクトリー・サーバーを永続的に構成します。
-
LDAP サーバー管理者に連絡して、LDAP のサーバー証明書を発行する認証局 (CA) からパブリック証明書を入手します。証明書ファイルは PEM 形式で、1 つ以上の証明書 (完全なトラスト・チェーン) を含んでいる必要があります。
例:
-----BEGIN CERTIFICATE-----
MIIHZjCCBk6gAwIBAgISKESJLWXAAAACTANBgkqhkiG9w0BAQUFADBNMRMwEQYK
CRWmyVBwPWQBBUNdilPKJRQwpeYKCZImiZPyLGQBGRYEQ354jTEgGG7GA1UEAiU5
.
.
.
MTAzMzQxWjBZMRMwEQYKCZImiZPJVGQBGRYDbmV0MRkwFwYKCZImiZPyLGQBGRYJ
bnNyb290ZGV2MScwJQYDVQQDEx5DaXRXAEludGVybmFsIERldmljZSBDQSAwMyBM
-----END CERTIFICATE-----
-
カスタム・トラストストアを作成し、LDAP サーバーのパブリック証明書をそのトラストストアにインポートするには、以下のコマンドを実行します。
<install_dir>/jre/jre/bin/keytool -import -file <path_to_certificate> -alias ldapCA
-keystore <install_dir>/wlp/usr/servers/server1/resources/security/ldap_truststore
-storepass <password>
各部の意味は以下のとおりです。
- -file
- LDAP サーバーのパブリック証明書のパスです。
- -storepass
- トラストストアに設定するパスワードです。
-
コマンドの実行後に、以下の行で
yes
と入力して確認します。
Trust this certificate? [no]: yes
-
トラストストアのパスワードをエンコードするには、以下のステップを実行します。
- JAVA_HOME 変数を設定します。
-
export JAVA_HOME=<install_dir>/jre/jre
-
set JAVA_HOME=<install_dir>/jre/jre
- 以下のコマンドを実行します。
<install_dir>/wlp/bin/securityUtility encode --encoding=aes
- プロンプトが出されたら、ステップ 2 で指定したパスワードを入力および再入力します。
- エンコードされたパスワードを保存します。これは、この手順を完了するために必要になります。
-
変更を行う前に、server.xml ファイルをバックアップします。その後、server.xml ファイルでトラストストアの場所およびそのパスワードに関する情報を指定します。
- <install_dir>/wlp/usr/servers/server1 ディレクトリーにある server.xml ファイルを開きます。
- ID が defaultKeyStore の keyStore エントリーを見つけます。
<keyStore id='defaultKeyStore'>
- そのエントリーの後に以下の行を貼り付けます。password パラメーターに、ステップ 3 のエンコードされたパスワードを指定します。
<keyStore id='ldapCustom'
location='<install_dir>/wlp/usr/servers/server1/resources/security/ldap_truststore'
password='{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxx'/>
-
アプリケーションの更新 9.2.9 より古いバージョンの場合、以下のステップを実行して、ディレクトリー・サーバーを構成します。アプリケーションをアップグレードするごとに、このソリューションを適用する必要があります。これは、この手順に従って追加した証明書は、保持されないためです。
注: 開始する前に、構成時に必要になるパスワードについて IBM サポートにお問い合わせください。
-
LDAP サーバー管理者に連絡して、LDAP のサーバー証明書を発行する認証局 (CA) からパブリック証明書を入手します。証明書ファイルは PEM 形式で、1 つ以上の証明書を含んでいる必要があります。
例:
-----BEGIN CERTIFICATE-----
MIIHZjCCBk6gAwIBAgISKESJLWXAAAACTANBgkqhkiG9w0BAQUFADBNMRMwEQYK
CRWmyVBwPWQBBUNdilPKJRQwpeYKCZImiZPyLGQBGRYEQ354jTEgGG7GA1UEAiU5
.
.
.
MTAzMzQxWjBZMRMwEQYKCZImiZPJVGQBGRYDbmV0MRkwFwYKCZImiZPyLGQBGRYJ
bnNyb290ZGV2MScwJQYDVQQDEx5DaXRXAEludGVybmFsIERldmljZSBDQSAwMyBM
-----END CERTIFICATE-----
-
証明書ファイルを、次のディレクトリーにコピーします。<install_dir>/jre/jre/lib/security/.
-
以下のコマンドを実行します。
<install_dir>/jre/jre/bin/keytool -import -trustcacerts -file <certificate_file_name>
-alias certAliasName -keystore cacerts -storepass <password>
ここで <password> は、BigFix サポートによって提供されたパスワードです。