ロード・バランサーまたは複数のドメイン・コントローラーを使用するディレクトリー・サーバーの構成

ホストのリストを動的に変更するロード・バランサーまたは複数のドメイン・コントローラーを LDAP サーバーが使用していて、LDAP と BigFix Inventory サーバー間の接続がセキュアである場合、BigFix Inventory サーバーの詳細構成を実行します。LDAP サーバーは、BigFix Inventory で既に構成されている場合があります。

このタスクについて

<install_dir> は、BigFix Inventory サーバーがインストールされているディレクトリーです。デフォルトでは、以下のパスです。
  • Linux /opt/BFI
  • Windows C:\Program Files\BigFix Enterprise\BFI
手順内の <install_dir> を、BigFix Inventory サーバーがご使用の環境でインストールされているディレクトリーに置き換えてください。

手順

  • 9.2.9 アプリケーションの更新 9.2.9 以上では、以下のステップを実行して、ディレクトリー・サーバーを永続的に構成します。
    1. LDAP サーバー管理者に連絡して、LDAP のサーバー証明書を発行する認証局 (CA) からパブリック証明書を入手します。証明書ファイルは PEM 形式で、1 つ以上の証明書 (完全なトラスト・チェーン) を含んでいる必要があります。
      例: 
      -----BEGIN CERTIFICATE-----
MIIHZjCCBk6gAwIBAgISKESJLWXAAAACTANBgkqhkiG9w0BAQUFADBNMRMwEQYK
CRWmyVBwPWQBBUNdilPKJRQwpeYKCZImiZPyLGQBGRYEQ354jTEgGG7GA1UEAiU5
.
.
.
MTAzMzQxWjBZMRMwEQYKCZImiZPJVGQBGRYDbmV0MRkwFwYKCZImiZPyLGQBGRYJ
bnNyb290ZGV2MScwJQYDVQQDEx5DaXRXAEludGVybmFsIERldmljZSBDQSAwMyBM
-----END CERTIFICATE-----
    2. カスタム・トラストストアを作成し、LDAP サーバーのパブリック証明書をそのトラストストアにインポートするには、以下のコマンドを実行します。 
      <install_dir>/jre/jre/bin/keytool -import -file <path_to_certificate> -alias ldapCA 
-keystore <install_dir>/wlp/usr/servers/server1/resources/security/ldap_truststore 
-storepass <password>
      各部の意味は以下のとおりです。
      -file
      LDAP サーバーのパブリック証明書のパスです。
      -storepass
      トラストストアに設定するパスワードです。
    3. コマンドの実行後に、以下の行で yes と入力して確認します。 
      Trust this certificate? [no]: yes
    4. トラストストアのパスワードをエンコードするには、以下のステップを実行します。
      1. JAVA_HOME 変数を設定します。
        • Linux export JAVA_HOME=<install_dir>/jre/jre
        • Windows set JAVA_HOME=<install_dir>/jre/jre
      2. 以下のコマンドを実行します。
        <install_dir>/wlp/bin/securityUtility encode --encoding=aes
      3. プロンプトが出されたら、ステップ 2 で指定したパスワードを入力および再入力します。
      4. エンコードされたパスワードを保存します。これは、この手順を完了するために必要になります。
    5. 変更を行う前に、server.xml ファイルをバックアップします。その後、server.xml ファイルでトラストストアの場所およびそのパスワードに関する情報を指定します。
      1. <install_dir>/wlp/usr/servers/server1 ディレクトリーにある server.xml ファイルを開きます。
      2. ID が defaultKeyStorekeyStore エントリーを見つけます。
        <keyStore id='defaultKeyStore'>
      3. そのエントリーの後に以下の行を貼り付けます。password パラメーターに、ステップ 3 のエンコードされたパスワードを指定します。 
        <keyStore id='ldapCustom' 
location='<install_dir>/wlp/usr/servers/server1/resources/security/ldap_truststore' 
password='{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxx'/>
  • アプリケーションの更新 9.2.9 より古いバージョンの場合、以下のステップを実行して、ディレクトリー・サーバーを構成します。アプリケーションをアップグレードするごとに、このソリューションを適用する必要があります。これは、この手順に従って追加した証明書は、保持されないためです。
    注: 開始する前に、構成時に必要になるパスワードについて IBM サポートにお問い合わせください。
    1. LDAP サーバー管理者に連絡して、LDAP のサーバー証明書を発行する認証局 (CA) からパブリック証明書を入手します。証明書ファイルは PEM 形式で、1 つ以上の証明書を含んでいる必要があります。
      例:
      -----BEGIN CERTIFICATE-----
                        MIIHZjCCBk6gAwIBAgISKESJLWXAAAACTANBgkqhkiG9w0BAQUFADBNMRMwEQYK
                        CRWmyVBwPWQBBUNdilPKJRQwpeYKCZImiZPyLGQBGRYEQ354jTEgGG7GA1UEAiU5
                        .
                        .
                        .
                        MTAzMzQxWjBZMRMwEQYKCZImiZPJVGQBGRYDbmV0MRkwFwYKCZImiZPyLGQBGRYJ
                        bnNyb290ZGV2MScwJQYDVQQDEx5DaXRXAEludGVybmFsIERldmljZSBDQSAwMyBM
                        -----END CERTIFICATE-----
    2. 証明書ファイルを、次のディレクトリーにコピーします。<install_dir>/jre/jre/lib/security/.
    3. 以下のコマンドを実行します。 
      <install_dir>/jre/jre/bin/keytool -import -trustcacerts -file <certificate_file_name> 
-alias certAliasName -keystore cacerts -storepass <password>

      ここで <password> は、BigFix サポートによって提供されたパスワードです。