|
 |
PD3.8, PDOS3.8, TAM3.9, TAM4,1, AMOS4.1でLDAPサーバーとのSSL通信で使用されるキー・ファイルの期限失効について
|
|
|
【現象】
LDAPS通信用のキーファイルのサンプルとして製品に付属しているpd_ldapkey.kdbファイルは、証明書とパスワードの有効期限が2004年9月6日になっております。但し、PDOS3.8に付属するpd_ldapkey.kdbの証明書とパスワードは、2004年8月31日になっております。LDAP通信用のキーファイルとしてこのpd_ldapkey.kdbを使用される場合は、製品導入時や製品を再起動したタイミング等で発生するSSLの初期化が失敗します。つまり、pd_ldapkey.kdbを使用されている場合、製品の導入失敗、起動失敗といった現象が発生致します。
なお、このkdbファイルは、ezinstallを使用した環境下では明示的に別ファイルを指定しない限り、問題となるファイルを使用して構成がされてしまいます。その場合にはLDAP通信だけ行ってLDAPS通信を行わなくても上記の問題が発生しますので、注意が必要です。
|
【対象製品】
Tivoil Policy Director V3.8, IBM Tivoli Access Manager for e-business V3.9,
4.1, Tivoli Policy Director for Operating Systems V3.8, IBM Tivoli Acceess
Manager for Operating Systems V4.1
|
【確認方法】
LDAPS通信で使用しているkdbファイルの名前がpd_ldapkey.kdbという名前のファイルかどうかをご確認ください。
LDAPS通信で使用しているkdbファイルは、以下のファイル内で確認できます。
/usr/ldap/etc/slapd32.conf内のibm-slapdSslKeyDatabaseという属性の値がLDAPS通信で使用しているkdbファイルになります。
例) ibm-slapdSslKeyDatabase: /usr/ldap/certs/ldapkey.kdb
また、内部にある証明書の有効期限が切れていないかも合わせてご確認ください。
gskitに付随するikeymanというツールを起動し、対象となるファイルを開くと有効期限を確認することができます。pd_ldapkey.kdbファイルのパスワードは
"gsk4ikm" となります。
|
【対応方法】
製品に付属するpd_ldapkey.kdbファイルは、マニュアルに記載されておりますように、あくまでサンプルの扱いですので、本番システムでLDAPS通信を行う場合には、独自のkdbファイルを作成し、御使用いただくようお願い致します。
あわせて、新規に作成されたkdbファイルの有効期限の管理、失効前の更新といった作業についても、お客様システム毎に対応していただくよう、お願い致します。
LDAPサーバー導入時の対応には、2種類の方法があります。
- LDAPS通信を行わない場合
ezinstallを使用せず、手動でLDAPの導入/構成を行えば、LDAPSの構成をする必要はなくなるので、問題は起こりません。
- 別のkdbファイルを用意してLDAPS通信の構成を行う場合
ezinstallで構成パラメータを設定する際、LDAPS用のkdbファイルを事前に作成しておき、ファイルの指定を行う際に新規に作成したファイルを指定すれば問題は起こりません。LDAP構成後に問題が発生した場合には、kdbファイルを有効期限の切れていない新しいものに置き換えれば問題は解消されます。また、ezinstallでデフォルトではLDAPのSSL通信がONに設定されますが、もしLDAPのSSL通信を使用されていない場合は、LDAPのSSL通信を無効するという方法もあります。
|
【お問合せ先】
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
| 電話 |
:0120-557-971 |
| 受付時間 |
:月〜金 9:00〜17:00(祝日、12/30〜1/3を除く) |
なお、Tivoil Policy Director V3.8はサポートが終了しておりますので、サポート内容についてはサポート窓口にご相談ください。
|
|
|
|
|
|
