実装ガイド › ハイ アベイラビリティ展開のインストール › Veritas Cluster Server を使用した Linux 上の CA ControlMinder ハイ アベイラビリティの実装 › プライマリ エンタープライズ管理サーバの設定

プライマリ エンタープライズ管理サーバの設定

プライマリ エンタープライズ管理サーバは集中管理サーバで、エンドポイントへのポリシーのデプロイ、特権アカウントの管理、リソース、アクセサ、およびアクセス レベルの定義を行うためのコンポーネントやツールが含まれています。

注： この手順は、ユーザがプライマリ エンタープライズ管理サーバおよびすべての Web ベース アプリケーション、配布サーバ、および DMS をインストールしたことを前提としています。

次の手順に従ってください：

1. CA ControlMinder サービスが開始されていることを確認します。

   CA ControlMinder エンタープライズ管理 を使用するには、CA ControlMinder が実行中である必要があります。

2. JBoss アプリケーション サーバ サービスが開始されていることを確認します。 JBoss アプリケーション サーバ サービスが開始されていない場合は、以下のコマンドを実行します。

   ./JBOSS_DIR/bin/run.sh -b 0.0.0.0
   

   JBoss Application Server のロードが終了すると、CA ControlMinder エンタープライズ管理 の Web ベース インターフェースにログインできます。

3. セカンダリ エンタープライズ管理サーバを許可するよう DMS を以下のとおり設定します。
   1. プライマリ エンタープライズ管理サーバで、JCS、JBoss アプリケーション サーバ、CA ControlMinder およびメッセージ キュー デーモンを開始します。
   2. selang コマンド プロンプト ウィンドウを開いて、以下のコマンドを入力します。

      host DMS__@
      

      ローカル ホストに接続されたことを通知するメッセージが表示されます。

   3. 以下のコマンドを入力し、許可された端末のリストを表示します。

      sr TERMINAL *
      

      CA ControlMinder は、許可された端末の詳細を表示します。

   4. 以下のコマンドを入力し、セカンダリ エンタープライズ管理サーバを許可された端末リストに追加します。

      newres TERMINAL <secondary_enterprise_management_server_full_DN> audit (f) owner(nobody)defacc(r)
      authorize TERMINAL <secondary_enterprise_management_server_full_DN> uid(+reportagent) access(write)
      authorize TERMINAL <secondary_enterprise_management_server_full_DN> uid(DOMAIN¥Administrator) access(write,read)
      authorize TERMINAL <secondary_enterprise_management_server_full_DN> uid(ac_entm_pers) access(write,read)
      

4. 以下のコマンドを実行して、ポリシーを配布するために CA ControlMinder が使用するホスト名を変更します。

   sepmd -u DH__WRITER DMS__@<node1 host name>
   

   sepmd -s DH__WRITER DMS__@<cluster shared DNS NAME>
   

   sepmd -u DMS__ DH__@<node1 host name>
   

   sepmd -s DMS__ DH__@<cluster shared DNS NAME>
   

5. すべての CA ControlMinder デーモンを停止します。
6. サービスが自動的にではなく手動で開始されるように変更します。
7. 以下のとおり、共用ストレージに DMS と DH をコピーします。
   1. たとえば /shared/AccessControlServer/ のような共有ストレージに DMS ディレクトリをコピーします。 このディレクトリは、以下の場所にあります。

      ACServerInstallDir/APMS/AccessControl/policies/DMS__
      

      ACServerInstallDir

      エンタープライズ管理サーバをインストールしたディレクトリの名前を定義します。

   2. 共有ストレージに DH ディレクトリをコピーします。 このディレクトリは、以下の場所にあります。

      ACServerInstallDir/APMS/AccessControl/policies/DH__
      

   3. 共用ストレージに DH__WRITER ディレクトリをコピーします。 このディレクトリは、以下の場所にあります。

      ACServerInstallDir/APMS/AccessControl/policies/DH__WRITER
      

   4. seos.ini ファイルを開いて、編集します。 このファイルは以下の場所にあります。

      ACServerInstallDir/APMS/AccessControl
      

   5. _pmd directory_ トークン設定の値を、DMS と DH がコピーされた共有ストレージ ディレクトリの完全パス名に設定します。 例： /shared/AccessControlServer/

   プライマリ サーバは、共用ストレージ上の DMS と DH を使用するように設定されます。

8. 以下の手順に従って、共用ストレージを使用するようメッセージ キューを設定します。
   1. メッセージ キューのデータストア ファイルを共有ストレージに移動します。 これらのファイルは、以下のディレクトリにあります。

      ACServerInstallDir/MessageQueue/tibco/cfgmgmt/ems/data/datastore
      

      メッセージ キュー データ ストア ファイルをコピーする例を以下に示します。

      # cp -r /opt/CA/AccessControlServer/MessageQueue/tibco/cfgmgmt/ems/data /shared/MessageQueue/data/
      

   2. tibemsd.conf ファイルを開いて、編集します。 このファイルは、デフォルトで以下のディレクトリにあります。

      ACServerInstallDir/MessageQueue/tibco/cfgmgmt/ems/data
      

      1. routes.conf、user.conf、groups.conf および queues.conf の場所を共有ストレージに設定します。 例： /shared/MessageQueue/data/users.conf
      2. store トークンの値を、データ ストア ファイルがコピーされた共有ストレージ上のディレクトリを指すように設定します。 例： /shared/MessageQueue/data/datastore。
      3. server トークンの値を、サフィックスのない大文字のクラスタ論理名に設定します。 例： server=ENTMCLUSTER.
      4. ファイルを保存して閉じます。
   3. queues.conf ファイルを開いて、編集します。
      1. 各キュー定義行の行末に、カンマと store=$sys.failsafe という単語を追加します。
      2. ファイルを保存して閉じます。
   4. routes.conf ファイルを開いて編集し、以下をコメントにします。

      # vi shared/MessageQueue/data/routes.conf
      

      #[EMS-SERVER2]
      

      # url=tcp://7022
      

   5. Tibco ユーザが読み取りおよび書き込みアクセスを持つように Tibco フォルダを変更します。
      1. gid 65534 で Tibco グループを作成します。 Tibco フォルダを作成する例を以下に示します。

         # groupadd -g 65534 tibco
         

      2. uid 65534 で Tibco ユーザを作成します。 Tibco ユーザを作成する例を以下に示します。

         # useradd -g 65534 -u 65534 tibco
         

      3. MessageQueue ディレクトリおよびすべてのサブディレクトリの所有権を変更します。 MessageQueue ディレクトリおよびすべてのサブディレクトリの所有権を変更する例を以下に示します。

         #chown -R tibco /shared/MessageQueue
         

      4. MessageQueue ディレクトリおよびすべてのサブディレクトリで権限を変更します。 MessageQueue ディレクトリおよびすべてのサブディレクトリの権限を変更する例を以下に示します。

         #chmod -R u=rwx,go= /shared/MessageQueue
         

      5. デフォルトの Tibco ディレクトリ権限を変更して Tibco ユーザにのみ rwx アクセスを許可します。 ディレクトリ権限を変更して Tibco ユーザにのみ rwx アクセスを許可する例を以下に示します。

         #chown -R tibco /opt/CA/AccessControlServer/MessageQueue/
         

         #chmod -R u=rwx,go= /opt/CA/AccessControlServer/MessageQueue/
         

9. CA Identity Minder 管理コンソールのクラスタ名にベース URL を変更します。
10. プライマリ エンタープライズ管理サーバが失敗した場合にすべての CA ControlMinder サービスを停止するバッチ ファイルを作成します。
11. プライマリ エンタープライズ管理サーバが運用を再開した場合にすべての CA ControlMinder サービスを開始するバッチ ファイルを作成します。
12. CA ControlMinder サービスのステータスを確認するバッチ ファイルを作成します。
13. 失敗時にスクリプトを実行するためのクラスタ ソフトウェアを設定します。
14. すべての CA ControlMinder サービスを開始します。

プライマリ エンタープライズ管理サーバが設定されました。 セカンダリ エンタープライズ管理サーバの設定に進んでください。