Access Manager 7 2005Q4 パッチ 2

Access Manager 7 2005Q4 パッチ 2 (リビジョン 02) により、いくつかの問題が修正されます。その一覧はパッチに含まれている README ファイルに記載されています。パッチ 2 には、次に示す新機能と既知の問題があります。

パッチ 2 での新機能

• 「ユーザー管理、アイデンティティーリポジトリ、およびサービス管理キャッシュの新しいプロパティー」

• 「連携サービスプロバイダの新しいプロパティー」

• 「LDAP フィルタ条件のサポート 」

パッチ 2 での既知の問題点と制限事項

• 「CR# 6283582: Access Manager インスタンスの間でログイン失敗回数が共有されない」

• 「CR# 6293673: セッションタイムアウトの通知を送信するときに元のセッション情報を保持する必要がある」

• 「CR# 6244578: ブラウザの cookie のサポートが無効または使用不可の場合は、Access Manager でユーザーに警告するようにする」

• 「CR# 6236892: ログイン後に CDCServlet で AuthNResponse を処理するときの画像/テキストのプレースホルダ」

• 「CR# 6363157: どうしても必要な場合に、新しいプロパティーで持続検索を無効にする」

• 「CR# 6385696: 既存および新規の IDP と SP が表示されない」

ユーザー管理、アイデンティティーリポジトリ、およびサービス管理キャッシュの新しいプロパティー

パッチ 2 には、ユーザー管理 (Access Manager SDK)、アイデンティティーリポジトリ (IdRepo)、およびサービス管理キャッシュ用に次のような新しいプロパティーも含まれています。これらのプロパティーを使用すると、配備要件に基づいてさまざまなキャッシュを個別に有効または無効にしたり、キャッシュエントリの有効時間 (TTL) を設定したりできます。

表 3 ユーザー管理、アイデンティティーリポジトリ、およびサービス管理キャッシュの新しいプロパティー

プロパティー	説明
キャッシュを有効および無効にするための新しいプロパティー
com.iplanet.am.sdk.caching.enabled	アイデンティティーリポジトリ (IdRepo)、ユーザー管理、およびサービス管理キャッシュを有効 (true) または無効 (false) にするグローバルプロパティー。true であるか、このプロパティーが AMConfig.properties ファイル内に存在しない場合は、3 つのキャッシュすべてが有効になります。
注: 特定のキャッシュを有効または無効にする次の 3 つのプロパティーは、上記のグローバルプロパティーが false に設定されている場合のみ適用されます。
com.sun.identity.amsdk.cache.enabled	ユーザー管理 (Access Manager SDK) キャッシュのみを有効 (true) または無効 (false) にします。
com.sun.identity.idm.cache.enabled	アイデンティティーリポジトリ (IdRepo) キャッシュのみを有効 (true) または無効 (false) にします。
com.sun.identity.sm.cache.enabled	サービス管理キャッシュのみを有効 (true) または無効 (false) にします。
TTL に関する新しいユーザー管理キャッシュのプロパティー
com.iplanet.am.sdk.cache.entry.expire.enabled	ユーザー管理キャッシュの有効時間 (次の 2 つのプロパティーで定義) を有効 (true) または無効 (false) にします。
com.iplanet.am.sdk.cache.entry.user.expire.time	最終変更後にユーザー管理キャッシュのユーザーエントリを有効なままにしておく時間 (分) を指定します。つまり、(最終変更後またはディレクトリからの読み取り後) 指定した時間を過ぎたら、キャッシュされたエントリのデータは期限切れになります。その後は、これらのエントリのデータに対する新しい要求をディレクトリから読み取る必要があります。
com.iplanet.am.sdk.cache.entry.default.expire.time	最終変更後にユーザー管理キャッシュのユーザー以外のエントリを有効なままにしておく時間 (分) を指定します。つまり、(最終変更後またはディレクトリからの読み取り後) 指定した時間を過ぎたら、キャッシュされたエントリのデータは期限切れになります。その後は、これらのエントリのデータに対する新しい要求をディレクトリから読み取る必要があります。TTL に関する新しいアイデンティティーリポジトリキャッシュのプロパティー
com.sun.identity.idm.cache.entry.expire.enabled	IdRepo キャッシュの有効時間 (次のプロパティーで定義) を有効 (true) または無効 (false) にします。
com.sun.identity.idm.cache.entry.default.expire.time	最終変更後に IdRepo キャッシュのユーザー以外のエントリを有効なままにしておく時間 (分) を指定します。つまり、(最終変更後またはリポジトリからの読み取り後) 指定した時間を過ぎたら、キャッシュされたエントリのデータは期限切れになります。その後は、これらのエントリのデータに対する新しい要求をリポジトリから読み取る必要があります。

新しいキャッシュプロパティーの使用

Access Manager 7 2005Q4 のパッチでは、新しいキャッシュプロパティーは AMConfig.properties ファイルに自動的に追加されません。

新しいキャッシュプロパティーを使用するには、次の手順に従います。

1. テキストエディタを使用して、各プロパティーとその値を AMConfig.properties ファイルに追加します。このファイルはプラットフォームによって次のディレクトリにあります。

   • Solaris システム: /etc/opt/SUNWam/config

   • Linux システム: /etc/opt/sun/identity/config

2. Access Manager Web コンテナを再起動して、値を有効にします。

連携サービスプロバイダの新しいプロパティー

新しい com.sun.identity.federation.spadapter プロパティーは、com.sun.identity.federation.plugins.FederationSPAdapter の実装クラスを定義します。これは、サービスプロバイダ側で連携処理中にアプリケーション固有の処理を追加するために使用されます。

「CR# 6385696: 既存および新規の IDP と SP が表示されない」も参照してください。

LDAP フィルタ条件のサポート

パッチ 2 には LDAP フィルタ条件のサポートが追加されています。ポリシー管理者は、ポリシーを定義するときに、LDAP フィルタを条件に指定できるようになりました。ユーザーの LDAP エントリが、条件で指定されている LDAP フィルタを満たす場合のみ、ユーザーにポリシーが適用されます。ユーザーの LDAP エントリは、ポリシー設定サービスで指定されているディレクトリから検索されます。

LDAP フィルタ条件を登録して使用するには、Access Manager 7 パッチ 2 のインストール後に次のコマンドを実行します (Access Manager が Solaris システムのデフォルトディレクトリにインストールされている場合の例)。

# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-s /etc/opt/SUNWam/AddLDAPFilterCondition.xml
# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-t /etc/opt/SUNWam/amPolicyConfig_mod_ldfc.xml

パッチ 5 に関する注: Access Manager 7 2005Q4 パッチ 5 を追加して updateschema.sh スクリプトを実行した場合は、amadmin を使用してこれらのファイルを読み込む必要はありません。詳細は、「LDIF ファイルと XML ファイルを読み込む新しい updateschema.sh スクリプト」を参照してください。

CR# 6283582: Access Manager インスタンスの間でログイン失敗回数が共有されない

Access Manager 7 パッチ 2 のインストール後、次のコマンドを実行します (Access Manager が Solaris システムのデフォルトディレクトリにインストールされている場合の例)。

# cd DirectoryServer-base/shared/bin
# ./ldapmodify -h DirectoryServerHost -p DirectoryServerPort 
-D "cn=Directory Manager" -w DirectoryMangerPassword 
-a -f /etc/opt/SUNWam/accountLockout.ldif
# /opt/SUNWam/bin/amadmin -u amadmin 
-w amadmin_password 
-t /etc/opt/SUNWam/accountLockoutData.xml

DirectoryServer-base のデフォルト値は、Solaris システムでは /var/opt/mps/serverroot、Linux システムでは /var/opt/sun/directory-server です。

パッチ 5 に関する注: Access Manager 7 2005Q4 パッチ 5 を追加して updateschema.sh スクリプトを実行した場合は、amadmin を使用してこれらのファイルを読み込む必要はありません。詳細は、「LDIF ファイルと XML ファイルを読み込む新しい updateschema.sh スクリプト」を参照してください。

CR# 6293673: セッションタイムアウトの通知を送信するときに元のセッション情報を保持する必要がある

AMConfig.properties ファイル内の新しい com.sun.identity.session.property.doNotTrimList プロパティーは、セッションプロパティー名のリストをコンマ区切り形式で保持できます。セッションがタイムアウトしても、このリストに定義されているプロパティーは削除されず、セッションが破棄されるまではこれらのプロパティーにアクセスできます。次に例を示します。

com.sun.identity.session.property.doNotTrimList=UserId,HostName

CR# 6244578: ブラウザの cookie のサポートが無効または使用不可の場合は、Access Manager でユーザーに警告するようにする

AMConfig.properties ファイル内の新しい com.sun.identity.am.cookie.check プロパティーは、ブラウザで cookie がサポートされ有効になっていることをサーバーでチェックするかどうかを指定します。値が true の場合、サーバーはブラウザで cookie がサポートされ有効になっているかどうかをチェックし、ブラウザで cookie がサポートされていないか有効になっていないときはエラーページをスローします。サーバーが認証機能で cookie なしモードをサポートするように想定されている場合は、この値を (デフォルトの) false に設定するようにしてください。

CR# 6236892: ログイン後に CDCServlet で AuthNResponse を処理するときの画像/テキストのプレースホルダ

次に示す新しいプロパティーが AMConfig.properties ファイルに追加されています。これらは CDCServlet で読み取られます。

• com.iplanet.services.cdc.WaitImage.display が true に設定されている場合は、CDSSO シナリオでユーザーが保護されたページを待機しているとき、ブラウザに画像が表示されます。デフォルトは false です。

• com.iplanet.services.cdc.WaitImage.name は、画像の名前を指定します。デフォルトは waitImage.gif です。この画像は login_images ディレクトリからコピーされます。

• com.iplanet.services.cdc.WaitImage.width は、画像の幅を指定します。デフォルトは 420 です。

• com.iplanet.services.cdc.WaitImage.height は、画像の高さを指定します。デフォルトは 120 です。

CR# 6363157: どうしても必要な場合に、新しいプロパティーで持続検索を無効にする

AMConfig.properties ファイル内の新しい com.sun.am.event.connection.disable.list プロパティーは、無効にできるイベント接続を指定します。指定できる値は次のとおりです。大文字と小文字は区別されません。

aci - LDAP フィルタ (aci=*) を使用した検索における aci 属性の変更。

sm - Access Manager 情報ツリー (またはサービス管理ノード) の変更。これには、sunService または sunServiceComponent マーカーオブジェクトクラスを持つオブジェクトが含まれます。たとえば、保護されたリソースのアクセス権限を定義するためのポリシーを作成する場合や、既存のポリシーのルール、対象、条件、または応答プロバイダを変更する場合があります。

um - ユーザーディレクトリ (またはユーザー管理ノード) の変更。たとえば、ユーザーの名前やアドレスを変更する場合があります。

たとえば、Access Manager 情報ツリー (またはサービス管理ノード) の変更に対する持続検索を無効にする場合は、次のようになります。

com.sun.am.event.connection.disable.list=sm

複数の値を指定する場合は、各値をコンマで区切って記述します。

---

注意 –

持続検索により、Directory Server にパフォーマンスオーバーヘッドが発生します。本稼働環境でこのパフォーマンスオーバーヘッドの一部を削減することが決定的に重要だと判断される場合は、com.sun.am.event.connection.disable.list プロパティーを使用して、1 つ以上の持続検索を無効にできます。

ただし、持続検索を無効にする前に、先に述べた制限事項を理解するようにしてください。どうしても必要な場合以外は、このプロパティーを変更しないことを強くお勧めします。複数の 2.1 J2EE エージェントを使用すると、それぞれのエージェントがこれらの持続検索を確立するため、このプロパティーはそのような場合に Directory Server に対するオーバーヘッドを回避することを主な目的として導入されました。2.2 J2EE エージェントは、これらの持続検索を確立しないため、このプロパティーを使用する必要はない可能性があります。

詳細は、「持続検索の無効化の詳細について (6486927)」を参照してください。

---

CR# 6385696: 既存および新規の IDP と SP が表示されない

AMConfig.properties ファイル内の新しい com.sun.identity.federation.spadapter プロパティーは、アプリケーションが表明や応答情報を取得できる連携サービスプロバイダアダプタのデフォルトの実装を指定します。次に例を示します。

com.sun.identity.federation.spadapter=com.sun.identity.federation.plugins.FSDefaultSPAdapter