パート I Access Manager の設定

これは『Sun Java System Access Manager^TM 7 2005Q4 管理ガイド』の第 1 部です。Access Manager のインストール後に実行できる設定オプションについて説明します。次の章で構成されています。

• 第 1 章「Access Manager 7 2005Q4 の設定スクリプト」

• 第 2 章「サードパーティー Web コンテナのインストールと設定」

• 第 3 章「Access Manager の SSL モードへの設定」

第 1 章 Access Manager 7 2005Q4 の設定スクリプト

この章では、amconfig スクリプトとサイレントモード入力ファイルのサンプル (amsamplesilent) を使って Sun Java^TM System Access Manager を設定および配備する方法について説明します。内容は次のとおりです。

• 「Access Manager 7 2005Q4 インストール概要」

• 「Access Manager の設定スクリプト入力ファイルのサンプル」

• 「Access Manager の amconfig スクリプト」

• 「Access Manager の配備シナリオ」

• 「設定スクリプト入力ファイルの例」

Access Manager 7 2005Q4 インストール概要

新たにインストールする場合は、Sun Java Enterprise System (Java ES) インストーラを実行して、常に Access Manager 7 2005Q4 の最初のインスタンスをインストールします。インストーラを実行すると、Access Manager の設定オプションから次のうちどちらかを選択できます。

• 「今すぐ設定」オプションでは、Access Manager インストールパネル上で選択した内容 (またはデフォルトの内容) で、インストール中に最初のインスタンスを設定します。

• 「あとで設定」オプションでは、Access Manager 7 2005Q4 のコンポーネントをインストールしたあと、インストール後にそれらを手動で設定するか、「Access Manager のインスタンスの設定と再設定」の説明に従って Access Manager スクリプトを実行する必要があります。このオプションを選択すると、現在インストールしている製品はどれも設定されません。たとえば、Access Manager と Application Server のインストールを選択し、「あとで設定」オプションを選択すると、どちらのアプリケーションも設定されません。

Access Manager Web コンテナとして BEA WebLogic または IBM WebSphere Application Server をインストールしている場合、Access Manager のインストール時に「あとで設定」オプションを選択する必要があります。詳細については、第 2 章「サードパーティー Web コンテナのインストールと設定」を参照してください。

インストーラの詳細については、『Sun Java Enterprise System 2005Q4 Installation Guide for UNIX』 を参照してください。

Java Enterprise System インストーラは、Access Manager 7 2005Q4 の amconfig スクリプトとサンプルのサイレントモード入力ファイル (amsamplesilent) を、Solaris システムの場合は AccessManager-base /SUNWam/bin ディレクトリに、Linux システムの場合は AccessManager-base/identity/bin ディレクトリに、それぞれインストールします。

AccessManager-base は、Access Manager のベースインストールディレクトリを表します。デフォルトのベースインストールディレクトリは、Solaris システムでは /opt であり、Linux システムでは /opt/sun となります。しかし、インストーラを実行する際、必要に応じて別のディレクトリを指定することもできます。

amconfig スクリプトは最上位レベルのスクリプトで、要求された処理を実行する際、必要に応じてほかのスクリプトを呼び出します。詳細については、「Access Manager の amconfig スクリプト」を参照してください。

サンプルの設定スクリプト入力ファイル (amsamplesilent) は、amconfig スクリプトをサイレントモードで実行するときに指定する必要がある入力ファイルの作成に使用できるテンプレートです。

このサンプルの設定スクリプト入力ファイルは、Access Manager の設定変数を格納した ASCII テキストファイルです。amconfig スクリプトを実行する前に、amsamplesilent ファイルをコピー (および、必要に応じて名前を変更) し、各自のシステム環境に基づいてファイル内の変数を編集します。設定変数は次のような構成になっています。

変数名=値

次に例を示します。

DEPLOY_LEVEL=1
 NEW_INSTANCE=true
 SERVER_HOST=ishost.example.com

設定スクリプト入力ファイルで設定できる変数のリストについては、「Access Manager の設定スクリプト入力ファイルのサンプル」を参照してください。

amconfig スクリプトをサイレントモードで実行するときに使用するサンプルの設定スクリプト入力ファイルの形式は、Java Enterprise System のサイレントインストールの状態ファイルの形式には従わず、また必ずしも同じ変数名を使用するとは限りません。このファイルには、管理者パスワードなどの機密データが含まれています。このファイルは、必要に応じてセキュリティー保護するか、削除してください。

Access Manager の amconfig スクリプト処理

Sun Java Enterprise System インストーラを使用して Access Manager の最初のインスタンスをインストールしたあと、amconfig スクリプトを実行して、サイレントモード入力ファイル内の変数の値に応じた次の操作を行うことができます。

• Access Manager の最初のインスタンスを配備し設定します。または、同じホストシステム上に Access Manager の追加インスタンスを配備し設定します。たとえば、Web コンテナの追加のインスタンスを設定したあと、その Web コンテナのインスタンス用の新しい Access Manager インスタンスの配備と設定ができます。

• Access Manager の最初のインスタンスと、すべての追加インスタンスの両方を再設定します。

• Access Manager のすべてのサーバーサービスまたは SDK サービスのみを配備し設定します。これにより、次の製品に対するサポートを有効にします。

  • BEA WebLogic

  • IBM WebSphere Application Server

  コンソールや連携管理モジュールなどの、特定の Access Manager コンポーネントを配備し設定します。

• amconfig スクリプトを使って配備した Access Manager のインスタンスやコンポーネントをアンインストールします。

Access Manager の設定スクリプト入力ファイルのサンプル

Java Enterprise System インストーラの実行後は、Access Manager の設定スクリプト入力ファイルのサンプル (amsamplesilent) が、Solaris システムでは AccessManager-base/SUNWam/bin ディレクトリに、Linux システムでは AccessManager-base/identity/bin ディレクトリにあります。

設定変数を設定するには、まず、amsamplesilent ファイルをコピーしてファイル名を変更します。次に、コピーしたファイル内の変数を、実行したい処理に合わせて変更します。このファイルの例については、「設定スクリプト入力ファイルの例」を参照してください。

このサイレントモード入力ファイルのサンプルには、次のような設定変数があります。

• 「配備モード変数」

• 「Access Manager の設定変数」

• 「Web コンテナの設定変数」

• 「Directory Server の設定変数」

配備モード変数

この節では、必要な DEPLOY_LEVEL 変数の値を説明しています。この変数は、amconfig スクリプトが実行する処理を規定します。

Access Manager の設定変数

この節では、Access Manager の設定変数について説明します。

変数	説明
AM_REALM	Access Manager のモードを指示します。  enabled: Access Manager は、Access Manager 7 2005Q4 の機能およびコンソールを使用してレルムモードで動作します。 disabled: Access Manager は、Access Manager 6 2005Q1 の機能およびコンソールを使用する旧バージョンモードで動作します。 デフォルト: enabled  注意 – デフォルトでは、Access Manager レルムモードは有効になっています。Access Manager を Portal Server、Messaging Server、Calendar Server、Delegated Administrator、または Instant Messaging とともに配備している場合、amconfig スクリプトを実行する前に旧バージョンモード (AM_REALM=disabled) を選択する必要があります。
BASEDIR	Access Manager パッケージをインストールするベースディレクトリ。  デフォルト: PLATFORM_DEFAULT  Solaris システムでは PLATFORM_DEFAULT は /opt Linux システムでは PLATFORM_DEFAULT は /opt/sun
SERVER_HOST	Access Manager が実行中 (またはインストール予定) であるシステムの完全修飾ホスト名。  リモート SDK インストールの場合、この変数はリモートクライアントのホストではなく Access Manager がインストールされている (またはする予定の) ホスト。  この変数の設定は、Web コンテナ設定での対応する変数と一致させることをお勧めします。たとえば Application Server 8 の場合、この変数を AS81_HOST と一致させます。
SERVER_PORT	Access Manager ポート番号。デフォルト: 58080  リモート SDK インストールの場合、この変数はリモートクライアントのホストではなく Access Manager がインストールされている (またはする予定の) ホストのポート番号。  この変数の設定は、Web コンテナ設定での対応する変数と一致させることをお勧めします。たとえば Application Server 8 の場合、この変数を AS81_PORT と一致させます。
SERVER_PROTOCOL	サーバープロトコル: http または https。デフォルト: http  リモート SDK インストールの場合、この変数はリモートクライアントのホストではなく Access Manager がインストールされている (またはする予定の) ホストのプロトコル。  この変数の設定は、Web コンテナ設定での対応する変数と一致させることをお勧めします。たとえば Application Server 8 の場合、この変数を AS81_PROTOCOL と一致させます。
CONSOLE_HOST	コンソールがインストールされたサーバーの完全修飾ホスト名。  デフォルト: Access Manager のホストに指定された値
CONSOLE_PORT	コンソールがインストールされ、接続待機している Web コンテナのポート。  デフォルト: Access Manager のポートに指定された値
CONSOLE_PROTOCOL	コンソールがインストールされた Web コンテナのプロトコル。  デフォルト: サーバープロトコル
CONSOLE_REMOTE	Access Manager サービスのコンソールがリモートにある場合は、true に設定。そうでない場合は false に設定。デフォルト: false
DS_HOST	Directory Server の完全修飾ホスト名。
DS_PORT	Directory Server のポート。デフォルト: 389。
DS_DIRMGRDN	ディレクトリマネージャーの DN: Directory Server への無制限のアクセス権を持つユーザー。  デフォルト: "cn=Directory Manager"
DS_DIRMGRPASSWD	ディレクトリマネージャーのパスワード  25 ページから始まる「Access Manager の設定変数」の ADMINPASSWD の説明の中の、特殊文字に関する注記を参照してください。
ROOT_SUFFIX	ディレクトリの初期またはルートサフィックス。使用中の Directory Server にこの値が必ず存在する必要があります。  25 ページから始まる「Access Manager の設定変数」の ADMINPASSWD の説明の中の、特殊文字に関する注記を参照してください。
ADMINPASSWD	管理者 (amadmin) のパスワード。amldapuser のパスワードとは異なるパスワードにする必要があります。 注: パスワード中に、スラッシュ (/) または円マーク (\\) などの特殊文字が含まれる場合には、これらの文字を引用符 (”) で囲む必要があります。次に例を示します。 ADMINPASSWD=’\\\\\\\\\\####///’ ただし、実際のパスワードの文字に引用符を使うことはできません。
AMLDAPUSERPASSWD	amldapuser のパスワード。amadmin のパスワードとは異なるパスワードにする必要があります。 25 ページから始まる「Access Manager の設定変数」の ADMINPASSWD の説明の中の、特殊文字に関する注記を参照してください。
CONSOLE_DEPLOY_URI	Access Manager の管理コンソールサブコンポーネントに関連した HTML ページ、クラス、および JAR ファイルにアクセスするための URI プレフィックス。  デフォルト: /amconsole
SERVER_DEPLOY_URI	アイデンティティー管理とポリシーサービスのコアサブコンポーネントに関連した HTML ページ、クラス、および JAR ファイルにアクセスするための URI プレフィックス。  デフォルト: /amserver
PASSWORD_DEPLOY_URI	Access Manager を実行中の Web コンテナが、入力された文字列と対応する配備アプリケーションとの間で行うマッピングを決める URI。  デフォルト: /ampassword
COMMON_DEPLOY_URI	COMMON_DEPLOY_URI Web コンテナ上の共通ドメインサービスにアクセスする URI プレフィックス。  デフォルト: /amcommon
COOKIE_DOMAIN	Access Manager がユーザーにセッション ID を付与する場合にブラウザに返す、信頼できる DNS ドメインの名前。少なくとも 1 つの値が存在する必要があります。形式は、通常、ピリオドのあとにサーバーのドメイン名を付けたものになります。  例: .example.com
JAVA_HOME	JDK インストールディレクトリのパス。デフォルト: /usr/jdk/entsys-j2se。この変数は、(amadmin などの) コマンド行インタフェースの実行可能ファイルによって使用される JDK を指定します。バージョンは 1.4.2 またはそれ以降である必要があります。
AM_ENC_PWD	パスワードの暗号化鍵: Access Manager がユーザーパスワードを暗号化するために使用する文字列。デフォルト: なし。値を何も設定しなかった場合、ユーザーのパスワード暗号化鍵は amconfig によって生成されます。このため、ユーザーが直接指定した場合でも、amconfig によって生成された場合でも、インストール環境には、パスワードの暗号化鍵が存在することになります。 重要: Access Manager またはリモート SDK の複数のインスタンスを配備する場合、すべてのインスタンスに対して同一のパスワード暗号化鍵を使用する必要があります。追加のインスタンスを配備するとき、最初のインスタンスの AMConfig.properties ファイル内の am.encryption.pwd プロパティの値をコピーして使用します。
PLATFORM_LOCALE	プラットフォームのロケール。デフォルト: en_US (米語)
NEW_OWNER	インストール後の Access Manager ファイルの新しい所有者。デフォルト: root
NEW_GROUP	インストール後の Access Manager ファイルの新しいグループ。デフォルト: other Linux へのインストールの場合は、NEW_GROUP の値に root を設定します。
PAM_SERVICE_NAME	オペレーティングシステムに付属し、Unix 認証モジュールに対して使用される PAM 設定またはスタックからの PAM サービスの名前 (通常、Solaris の場合は other、Linux の場合は password)。デフォルト: other。
XML_ENCODING	XML のエンコーディング。デフォルト: ISO-8859-1
NEW_INSTANCE	ユーザーが新たに作成した Web コンテナインスタンスに、設定スクリプトが Access Manager を配備するかどうかを指定します。  true = すでに存在するインスタンスではなくユーザーが作成した新しい Web コンテナインスタンスに対して Access Manager を配備する場合 false = 最初のインスタンスを設定する、またはインスタンスを再設定する場合。 デフォルト: false
SSL_PASSWORD	このリリースでは使用されません。

Web コンテナの設定変数

Access Manager 用の Web コンテナを指定するには、サイレントモード入力ファイル内の WEB_CONTAINER 変数を設定します。Access Manager 7 2005Q4 によってサポートされる Web コンテナのバージョンについては、『Sun Java System Access Manager 7 2005Q4 リリースノート』を参照してください。

Sun Java System Web Server 6.1 SP5

この節では、サイレントモード入力ファイル内の Web Server 6.1 2005Q4 SP5 用設定変数について説明しています。

Sun Java System Application Server 8.1

この節では、サイレントモード入力ファイル内の Application Server 8.1 用設定変数について説明しています。

BEA WebLogic Server 8.1

この節では、サイレントモード入力ファイル内の BEA WebLogic Server 8.1 用設定変数について説明しています。

IBM WebSphere 5.1

この節では、サイレントモード入力ファイル内の IBM WebSphere Server 5.1 用設定変数について説明しています。

Directory Server の設定変数

Access Manager 7 2005Q4 によってサポートされる Directory Server のバージョンについては、『Sun Java System Access Manager 7 2005Q4 リリースノート』 を参照してください。この節では、サイレントモード入力ファイル内の Directory Server 設定変数について説明しています。

Access Manager の amconfig スクリプト

Java Enterprise System インストーラを実行後、amconfig スクリプトが、Solaris システムでは AccessManager-base /SUNWam/bin ディレクトリに、Linux システムでは AccessManager-base/identity/bin ディレクトリにあります。

amconfig スクリプトは、サイレント設定入力ファイルを読み取ってから、必要に応じてサイレントモードでほかのスクリプトを呼び出し、要求された処理を実行します。

amconfig スクリプトを実行するには、次の構文を使います。

amconfig -s input-file

各表記の意味は次のとおりです。

-s は amconfig をサイレントモードで実行します。

input-file はサイレント設定入力ファイルで、実行したい操作用の設定変数を含んでいます。詳細については、「Access Manager の設定スクリプト入力ファイルのサンプル」を参照してください。

amconfig スクリプトを実行するときには、以下の点を考慮してください。

• スーパーユーザー (root) として実行する必要があります。

• amsamplesilent ファイル (またはこのファイルのコピー) へのフルパスを指定してください。次に例を示します。

  # cd /opt/SUNWam/bin 
  # ./amconfig -s ./amsamplesilent

  または

  # ./amconfig -s /opt/SUNWam/bin/amsamplesilent

Access Manager 7 2005Q4 リリースでは、次のスクリプトはサポートされていません。

• create 引数を伴う amserver

• amserver.instance

またデフォルトでは、amserver start は認証ヘルパー amsecuridd および amunixd のみを開始します。amsecuridd 認証ヘルパーは、Solaris OS SPARC プラットフォームでのみ利用可能です。

Access Manager の配備シナリオ

Java Enterprise System インストーラを使って Access Manager の最初のインスタンスをインストールした後、サイレント設定入力ファイル内の設定変数を編集し、amconfig スクリプトを実行することにより、追加の Access Manager インスタンスを配備および設定することができます。

次のシナリオについて説明します。

• 「Access Manager の追加のインスタンスの配備」

• 「Access Manager のインスタンスの設定と再設定」

• 「Access Manager のアンインストール」

• 「すべての Access Manager インスタンスのアンインストール」

Access Manager の追加のインスタンスの配備

Access Manager の新しいインスタンスを配備する前に、Web コンテナ用管理ツールを使って新しい Web コンテナインスタンスを作成および開始する必要があります。詳細は、Web コンテナについての個別のマニュアルを参照してください。

• Web Server については、http://docs.sun.com/coll/1308.1を参照

• Application Server については、http://docs.sun.com/coll/1310.1を参照

ここで述べる手順は、「今すぐ設定」オプションを使ってインストールされた Access Manager インスタンスのみに該当します。Web コンテナとして WebLogic または WebSphere を使用する予定の場合、Access Manager のインストール時に「あとで設定」オプションを使用する必要があります。詳細については、第 2 章「サードパーティー Web コンテナのインストールと設定」を参照してください。

追加の Access Manager インスタンスの配備

ここでは、異なるホストサーバー上に追加の Access Manager インスタンスを配備し、プラットフォームサーバーリストを更新する方法について説明します。

追加の Access Manager インスタンスを配備する

手順

1. そのインスタンスの Web コンテナに応じた、管理者としてログインします。たとえば、Web Server 6.1 が新しいインスタンスの Web コンテナになる場合、スーパーユーザー (root) としてログインするか、Web Server 管理サーバーのユーザーアカウントとしてログインします。

2. amsamplesilent ファイルを、書き込み可能なディレクトリにコピーし、そのディレクトリをカレントディレクトリにします。たとえば、/newinstances というディレクトリを作成します。

   ヒント: amsamplesilent ファイルのコピーを、配備する新しいインスタンスにふさわしい名前に変更します。たとえば、以下の各手順では、Web Server 6.1 に新しいインスタンスをインストールするために、amnewws6instance という名前の入力ファイルを使用しています。

3. 新しい amnewws6instance ファイルで次の変数を設定します。

   DEPLOY_LEVEL=1 NEW_INSTANCE=true

   amnewws6instance ファイル内のほかの変数に対して、新しく作成するインスタンスで必要な設定をします。これらの変数の説明については、次節以降の表を参照してください。

   • 「Access Manager の設定変数」

     • 「Web コンテナの設定変数」

     • 「Directory Server の設定変数」

       重要: すべての Access Manager インスタンスは、パスワード暗号化鍵に対して同じ値を使用する必要があります。このインスタンスに対して AM_ENC_PWD 変数を設定するには、最初のインスタンスの AMConfig.properties ファイル内の am.encryption.pwd プロパティーから値をコピーします。

       将来、このインスタンスをアンインストールする場合のために、amnewws6instance ファイルを保存しておきます。

4. 新しい amnewws6instance ファイルを指定して、amconfig スクリプトを実行します。たとえば、Solaris システムでは、次のようになります。

   # cd /opt/SUNWam/bin/ # ./amconfig -s ./newinstances/amnewws6instance

   -s オプションは amconfig スクリプトをサイレントモードで実行します。

   amconfig スクリプトは、amnewws6instance ファイルの変数を使い、必要があればほかの設定スクリプトを呼び出して、新しいインスタンスを配備します。

プラットフォームサーバーリストを更新する

追加のコンテナインスタンスを作成するには、Access Manager プラットフォームサーバーリストを更新して、コンテナの追加を反映させる必要があります。

手順

1. 最上位の管理者として Access Manager コンソールにログインします。

2. 「サービス設定」タブをクリックします。

3. 「プラットフォーム」サービスをクリックします。

4. サーバーリストに追加する新しいインスタンスについて、次の情報を入力します。

   protocol://fqdn:port|instance-number

   インスタンス番号には、使われていない番号の中から、次に使用可能な番号を指定することをお勧めします。

5. 「追加」をクリックします。

6. 「保存」をクリックします。

Access Manager のインスタンスの設定と再設定

amconfig スクリプトを実行することにより、Java Enterprise System インストーラの「あとで設定」オプションを使ってインストールされた Access Manager のインスタンスを設定できます。または、「今すぐ設定」オプションを使ってインストールされた最初のインスタンスを再設定できます。

たとえば、Access Manager の所有者とグループを変更するためにインスタンスを再設定してみます。

Access Manager のインスタンスを設定または再設定する

手順

1. そのインスタンスの Web コンテナに応じた、管理者としてログインします。たとえば、Web Server 6.1 が Web コンテナであれば、スーパーユーザー (root) 、または Web Server 管理サーバーのユーザーアカウントでログインします。

2. インスタンスの配備に使用したサイレント設定入力ファイルを、書き込み可能なディレクトリにコピーし、そのディレクトリをカレントディレクトリにします。たとえば、Web Server 6.1 用のインスタンスを再設定するために、以降の手順では /reconfig ディレクトリ内の入力ファイル amnewinstanceforWS61 を使います。

3. amnewinstanceforWS61 ファイルで、DEPLOY_LEVEL 変数の値を、「配備モード変数」操作で説明した値のどれかに設定します。たとえば、完全インストールを再設定するには、DEPLOY_LEVEL=21 と設定します。

4. amnewinstanceforWS61 ファイルでは、NEW_INSTANCE 変数を false と設定します。

   NEW_INSTANCE=false

5. インスタンスを再設定するには、amnewinstanceforWS61 ファイル内のほかの変数も設定します。たとえば、インスタンスの所有者とグループを変更するには、NEW_OWNER と NEW_GROUP を新しい値に変更します。

   以下のその他の変数の説明については、次節以降の表を参照してください。

   • 「Access Manager の設定変数」

     • 「Web コンテナの設定変数」

     • 「Directory Server の設定変数」

6. 編集した入力ファイルを指定して、amconfig スクリプトを実行します。たとえば、Solaris システムでは、次のようになります。

   # cd /opt/SUNWam/bin/ # ./amconfig -s ./reconfig/amnewinstanceforWS61

   -s オプションはスクリプトをサイレントモードで実行します。amconfig スクリプトは、amnewinstanceforWS61 ファイルの変数を使い、必要があればほかの設定スクリプトを呼び出して、インスタンスを再設定します。

Access Manager のアンインストール

amconfig スクリプトを実行してインストールした Access Manager のインスタンスをアンインストールできます。また、Access Manager インスタンスを一時的に設定解除できますが、Web コンテナインスタンスは削除しない限りそのまま残り、後日別の Access Manager インスタンスを再配備する際に使用できます。

Access Manager のインスタンスをアンインストールする

手順

1. そのインスタンスの Web コンテナに応じた、管理者としてログインします。たとえば、Web Server 6.1 が Web コンテナであれば、スーパーユーザー (root) 、または Web Server 管理サーバーのユーザーアカウントでログインします。

2. インスタンスの配備に使用したサイレント設定入力ファイルを、書き込み可能なディレクトリにコピーし、そのディレクトリをカレントディレクトリにします。たとえば、Web Server 6.1 用のインスタンスを設定解除するために、以降の手順では /unconfigure ディレクトリ内の入力ファイル amnewinstanceforWS61 を使います。

3. amnewinstanceforWS61 ファイルで、DEPLOY_LEVEL 変数の値を、「配備モード変数」操作で説明した値のどれかに設定します。たとえば、完全インストールのアンインストール (または設定解除) を行うには、DEPLOY_LEVEL=11 と設定します。

4. 編集した入力ファイルを指定して、amconfig スクリプトを実行します。たとえば、Solaris システムでは、次のようになります。

   # cd /opt/SUNWam/bin/ # ./amconfig -s ./unconfigure/aminstanceforWS61

   -s オプションはスクリプトをサイレントモードで実行します。amconfig スクリプトは amnewinstanceforWS61 ファイルを読み込み、インスタンスをアンインストールします。

   Web コンテナインスタンスはそのまま残っているため、後日別の Access Manager インスタンスを再配備する際に使用できます。

すべての Access Manager インスタンスのアンインストール

このシナリオでは、Access Manager 7 2005Q4 のすべてのインスタンスとパッケージをシステムから完全に削除します。

Access Manager 7 2005Q4 をシステムから完全に削除する

手順

1. スーパーユーザー (root) としてログインするか、スーパーユーザー (root) になります。

2. インスタンスを配備するのに使用した入力ファイル中で、DEPLOY_LEVEL 変数の値を、「配備モード変数」操作で説明した値のどれかに設定します。たとえば、完全インストールのアンインストール (または設定解除) を行うには、DEPLOY_LEVEL=11 と設定します。

3. 「すべての Access Manager インスタンスのアンインストール」で編集したファイルを使用して、amconfig スクリプトを実行します。たとえば、Solaris システムでは、次のようになります。

   # cd /opt/SUNWam/bin/ # ./amconfig -s ./newinstances/amnewws6instance

   amconfig スクリプトはサイレントモードで動作し、インスタンスをアンインストールします。

   アンインストールしたいインスタンスすべてに対してこれらの手順を繰り返します。ただし、Java Enterprise System インストーラを使ってインストールした最初のインスタンスは除きます。

4. 最初のインスタンスをアンインストールし、すべての Access Manager パッケージをシステムから削除するには、Java Enterprise System アンインストーラを実行します。アンインストーラの詳細については、『Sun Java Enterprise System 2005Q4 Installation Guide for UNIX』 を参照してください。

設定スクリプト入力ファイルの例

ここからは、WebLogic 8.1 を使った配備のための Access Manager 設定スクリプト入力ファイルの例を示します。

DEPLOY_LEVEL=1
BASEDIR=/opt
SERVER_HOST=ide-56.example.company.com
SERVER_PORT=7001
SERVER_PROTOCOL=http
CONSOLE_HOST=$SERVER_HOST
CONSOLE_PORT=$SERVER_PORT
CONSOLE_PROTOCOL=$SERVER_PROTOCOL
CONSOLE_REMOTE=false
DS_HOST=ide-56.example.company.com
DS_PORT=389
DS_DIRMGRDN=”cn=Directory Manager”
DS_DIRMGRPASSWD=11111111
ROOT_SUFFIX=”dc=company,dc=com”
ADMINPASSWD=11111111
AMLDAPUSERPASSWD=00000000
CONSOLE_DEPLOY_URI=/amconsole
SERVER_DEPLOY_URI=/amserver
PASSWORD_DEPLOY_URI=/ampassword
COMMON_DEPLOY_URI=/amcommon
COOKIE_DOMAIN=.iplanet.com
JAVA_HOME=/usr/jdk/entsys-j2se
AM_ENC_PWD=””
PLATFORM_LOCALE=en_US
NEW_OWNER=root
NEW_GROUP=other
XML_ENCODING=ISO-8859-1
NEW_INSTANCE=false
WEB_CONTAINER=WL8
WL8_HOME=/export/bea8
WL8_PROJECT_DIR=user_projects
WL8_DOMAIN=mydomain
WL8_CONFIG_LOCATION=$WL8_HOME/$WL8_PROJECT_DIR/domains
WL8_SERVER=myserver
WL8_INSTANCE=/export/bea8/weblogic81
WL8_PROTOCOL=http
WL8_HOST=ide-56.example.company.com
WL8_PORT=7001
WL8_SSLPORT=7002
WL8_ADMIN=”weblogic”
WL8_PASSWORD=”11111111”
WL8_JDK_HOME=$WL8_HOME/jdk142_04
DIRECTORY_MODE=1
USER_NAMING_ATTR=uid
ORG_NAMING_ATTR=o
ORG_OBJECT_CLASS=examplemanagedorganization
USER_OBJECT_CLASS=inetorgperson
DEFAULT_ORGANIZATION=
Sample Configuration Script Input File for WebLogic 8.1.x
      

第 2 章 サードパーティー Web コンテナのインストールと設定

この章では、Sun Java™ System Access Manager とともに配備されるサードパーティー Web コンテナをインストールおよび設定する手順について説明します。このリリースでは、Access Manager は BEA WebLogic 8.1 (およびその現行パッチ) と IBM WebSphere 5.1 (およびその現行パッチ) をサポートします。

WebLogic と WebSphere は Java Enterprise System の一部ではないため、それらは Java ES インストールプログラムとは別にインストールおよび設定する必要があります。一般的なインストール手順は次のとおりです。

• Web コンテナインスタンスをインストール、設定、および起動します。

• Java ES インストーラから Directory Server をインストールします。

• Java ES インストーラから「あとで設定」モードで Access Manager をインストールします。このモードは、Access Manager を未設定の状態のままにします。

• Access Manager 設定スクリプトを実行し、Access Manager を Web コンテナに配備します。

• Web コンテナを再起動します。

BEA WebLogic 8.1 のインストールと設定

WebLogic をインストールする前に、ホストドメインが DNS に登録されていることを確認します。また、WebLogic ソフトウェアの正しいバージョンをインストールしていることも確認します。詳細は、BEA 製品サイト (http://commerce.bea.com/index.jsp) を参照してください。

WebLogic 8.1 をインストールおよび設定する

手順

1. .zip または .gz 形式の、ダウンロードしたソフトウェアイメージを展開します。必ず、プラットフォームに合った適切な zip/gzip ユーティリティーを使用してください。ユーティリティーが適切でないと、展開中にチェックサムエラーが発生する場合があります。

2. ターゲットシステムのシェルウィンドウからインストールプログラムを実行します。

   WebLogic インストールユーティリティーが指示する手順に従います (詳細なインストール手順については、http://e-docs.bea.com/wls/docs81/ を参照)。

   インストールプロセスの実行時に、あとで Access Manager の設定で使用する次の情報を必ずメモしておいてください。

   • FQDN (WL8_HOST パラメータで使用)

     • インストールディレクトリ

     • ポート番号

3. インストールが完了したら、次の場所にある WebLogic 設定ツールを実行し、ドメインおよびサーバーインスタンスを設定します。

   WebLogic-base/WebLogic-instance/common/bin/quickstart.sh

   デフォルトでは、WebLogic はサーバーインスタンスを myserver として、ドメインを mydomain として定義します。これらのデフォルトをそのまま使用することはほとんどありません。新しいドメインおよびインスタンスを作成する場合、Access Manager の設定および配備の情報を必ずメモしておいてください。手順については、WebLogic 8.1 のドキュメントを参照してください。

4. 管理インスタンス上にインストールしている場合、次の場所にある startWebLogic.sh ユーティリティーを使って WebLogic を起動します。

   WebLogic-base/WebLogic-Userhome /domains/ WebLogic-domain/startWebLogic.sh

   管理対象インスタンス上にインストールしている場合、次のコマンドを使って WebLogic を起動します。

   WebLogic-base /WebLogic-Userhome/domains/ WebLogic-domain /startManagedWebLogic.sh WebLogic-managed-instancename admin-url

IBM WebSphere 5.1 のインストールと設定

WebSphere をインストールする前に、ホストドメインが DNS に登録されていること、および、プラットフォームに合った正しいバージョンの WebSphere をインストールしていることを確認してください。詳細は、IBM 製品サポート Web サイト (http://www-306.ibm.com/software/websphere/support) を参照してください。

WebSphere 5.1 をインストールおよび設定する

手順

1. .zip または .gz 形式の、ダウンロードしたソフトウェアイメージを展開します。必ず、プラットフォームに合った適切な zip/gzip ユーティリティーを使用してください。ユーティリティーが適切でないと、展開中にチェックサムエラーが発生する場合があります。

2. ターゲットシステムのシェルウィンドウからインストールプログラムを実行します。パッチをインストールする予定の場合、まず 5.1 バージョンをインストールしてからパッチを適用します。詳細なインストール手順については、http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp を参照してください。

   インストールプロセスの実行時に、あとで Access Manager の設定で使用する次の情報を必ずメモしておいてください。

   • ホスト名

     • ドメイン名

     • セル名

     • ノード名

     • ポート番号

     • インストールディレクトリ

     • WebSphere インスタンス名

     • 管理ポート

       デフォルトでは、WebSphere はサーバーインスタンスを server1 として定義しますが、このデフォルトを使用することはほとんどありません。新しいインスタンスを作成する場合、Access Manager の設定および配備の情報を必ずメモしておいてください。手順については、WebSphere 5.1 のドキュメントを参照してください。

3. インストールが成功したことを確認します。

   1. 次のディレクトリに server.xml ファイルが存在することを確認します。

      /opt/WebSphere/AppServer/config/cells/cell-name/noes/

      node-name/servers/server1

   2. サーバーの起動には、次の例のように startServer.sh コマンドを使用します。

      /opt/WebSphere/AppServer/bin/startServer.sh server1

   3. サンプル Web アプリケーションを見るには、Web ブラウザで、対応する URL を次の形式で入力します。

      http:// fqdn:portnumber/snoop

4. インストールが成功したことを確認したら、stopServer.sh ユーティリティーを使用してサーバーを停止します。次に例を示します。

   opt/WebSphere/AppServer/bin/stopServer.sh server1

5. WebSphere 5.1 のパッチをインストールする場合は、updateWizard.sh コマンド行ユーティリティーを使って元の 5.1 インスタンス上にパッチをインストールします。

6. WebSphere を再起動し、インストールが成功したことを確認します。

Java ES を使った Directory Server と Access Manager のインストール

Access Manager をインストールするには、Java Enterprise System (Java ES) インストーラを 2 回別々に起動する必要があります。

Directory Serverをインストールする

手順

1. (ローカルまたはリモートで) Directory Server をインストールするために、「今すぐ設定」オプションを使って最初の Java ES 呼び出しを実行します。「今すぐ設定」オプションを使うと、インストール中に選択するオプション (またはデフォルト値) によって最初のインスタンスを設定できます。

2. 「あとで設定」オプションを使って Access Manager をインストールするために、2 回目の Java ES 呼び出しを実行します。このオプションは、Access Manager 2005Q4 コンポーネントをインストールします。インストール後、Access Manager を設定する必要があります。

   WebLogic および WebSphere は Java ES とは別々にインストールされるので、インストーラには、コンテナを自動的に配備するために必要な設定データが含まれていません。この理由から、Access Manager のインストール時には「あとで設定」オプションを選択する必要があります。このオプションは、Access Manager の配備を次の状態のままにします。

   • アクティブな Directory Server (ローカルまたはリモートのどちらか) には Access Manager DIT データがロードされていません。

     • Access Manager の設定ファイルは自動的にロードされません。

     • Access Manager Web アプリケーションの .war ファイルは生成されません。

     • Access Manager の配備およびインストール後設定プロセスは自動的に開始および実行されません。

       詳細なインストール手順については、『Sun Java Enterprise System インストールガイド』(http://download.oracle.com/819-0808?l=ja) を参照してください。

Access Manager の設定

ターゲットシステムのローカルドライブ上に Access Manager をインストールし終わったら、WebLogic 8.1 または WebSphere 5.1 に対して Access Manager を手動で設定する必要があります。この手順は次の 3 つのステップから成ります。

Access Manager を設定する

手順

1. 設定スクリプト入力ファイルを編集する

2. 設定スクリプトを実行する

3. Web コンテナを再起動する

設定スクリプト入力ファイルの作成

Access Manager の設定スクリプト入力ファイルには、配備レベル、Access Manager、Web コンテナ、および Directory Server のすべての変数定義が含まれます。Access Manager には、設定スクリプト入力ファイルのテンプレートのサンプル (amsamplesilent) が付属します。これは、Solaris システムでは AccessManager-base /SUNWam/bin ディレクトリ、Linux システムでは AccessManager-base /identity/bin ディレクトリにあります。

amsamplesilent テンプレートを使って、独自の設定スクリプト入力ファイルを構築することができます。ファイルの編集手順と変数定義の一覧については、「Access Manager の設定スクリプト入力ファイルのサンプル」を参照してください。

ファイルを編集する前に必ず、インストールされている Web コンテナの次の情報を入手してください。

BEA WebLogic と IBM WebSphere

• インストールディレクトリ

• インスタンスの名前と場所

• ホスト名

• FQDN

• 待機しているポート番号

• 管理 ID

• 使用されるプロトコル

BEA WebLogic のみ

• 管理パスワード

• 共有ライブラリの場所

• ドメインの名前と場所

• プロジェクトディレクトリ名

• JDK の場所

IBM WebSphere のみ

• セル名

• ノード名

• JDK の場所

設定スクリプトの実行

設定スクリプト入力ファイルを保存したら、amconfig スクリプトを実行して設定プロセスを完了します。次に例を示します。

AccessManager-base/SUMWam/bin/amconfig -s silentfile

silentfile は設定入力ファイルの絶対パスです。

このスクリプトを実行すると、次の処理が実行されます。

1. Access Manager スキーマをアクティブな Directory Server インスタンスにロードします。

2. Access Manager サービスデータを Directory Server インスタンスにロードします。

3. アクティブな Access Manager インスタンスが使用する Access Manager 設定ファイルを生成します。

4. Access Manager の Web アプリケーションデータを Web コンテナに配備します。

5. Access Manager の要件に合わせて、Web コンテナ設定をカスタマイズします。

Web コンテナの再起動

設定プロセスを完了したあとで、Web コンテナを再起動する必要があります。手順については、各製品のドキュメントを参照してください。

BEA WebLogic 8.1 については、http://e-docs.bea.com/wls/docs81 を参照してください。

IBM WebSphere 5.1 については、http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp を参照してください。

第 3 章 Access Manager の SSL モードへの設定

SSL (Secure Socket Layer) を単純な認証で使用することで、機密性とデータの整合性とが保証されます。Access Manager を SSL モードにするには、通常は次のようにします。

• Access Manager をセキュリティー保護された Web コンテナで設定する

• Access Manager をセキュリティー保護された Directory Server に設定する

セキュリティー保護された Sun Java Enterprise System Web Server による Access Manager の設定

Web Server で実行する Access Manager を SSL モードに設定するには、次の手順を参照してください。

セキュリティー保護された Web Server を設定する

手順

1. Access Manager コンソールで、サービス設定モジュールに移動し、「プラットフォーム」サービスを選択します。「サーバーリスト」属性で http:// プロトコルを削除し、https:// プロトコルを追加します。「保存」をクリックします。

   ---

   注 –

   必ず「保存」をクリックしてください。そうしないと、次の手順に進むことはできますが、設定の変更内容はすべて失われ、それを修正するために管理者としてログインすることもできなくなります。

   ---

   手順 2 〜手順 24 では、Web Server を設定します。

2. Web Server コンソールにログオンします。デフォルトのポート番号は、8888 です。

3. Access Manager を実行している Web Server インスタンスを選択し、「Manage」をクリックします。

   設定が変更されたことを知らせるポップアップウィンドウが表示されます。「了解」をクリックします。

4. 画面の右上部にある「Apply」ボタンをクリックします。

5. 「変更の適用」をクリックします。

   Web Server が自動的に再起動されます。「OK」をクリックして先に進みます。

6. 選択した Web Server インスタンスを停止します。

7. 「Security」タブをクリックします。

8. 「Create Database」をクリックします。

9. 新しいデータベースのパスワードを入力し、「OK」をクリックします。

   あとで使用するために、このデータベースパスワードを書き留めておくようにしてください。

10. 証明書データベースが作成されたら、「Request a Certificate」をクリックします。

11. 画面に表示されるフィールドにデータを入力します。

    「Key Pair Field Password」フィールドは、手順 9 で入力した値と同じ値にします。場所のフィールドには、場所を完全名で入力する必要があります。「CA」などの省略形では動作しません。すべてのフィールドを定義する必要があります。「Common Name」フィールドには、使用している Web Server のホスト名を入力します。

12. フォームを送信すると、次のようなメッセージが表示されます。

    --BEGIN CERTIFICATE REQUEST--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END CERTIFICATE REQUEST--

13. このテキストをコピーし、証明書要求として送信します。

    ルート CA 証明書を取得するようにしてください。

14. 証明書の含まれた証明書応答が返されます。たとえば次のようになります。

    --BEGIN CERTIFICATE--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END CERTIFICATE---

15. このテキストをクリップボードにコピーするか、ファイルに保存します。

16. Web Server コンソールで、「Install Certificate」をクリックします。

17. 「Certificate for this Server」をクリックします。

18. 「鍵ペアファイルパスワード」フィールドに、証明書データベースのパスワードを入力します。

19. 証明書を表示されたテキストフィールドに貼り付けます。またはラジオボタンをクリックし、テキストボックスにファイル名を入力します。「送信」をクリックします。

    ブラウザに証明書と、証明書を追加するボタンが表示されます。

20. 「Install Certificate」をクリックします。

21. 「Certificate for Trusted Certificate Authority」をクリックします。

22. 手順 16 〜手順 21 と同じ方法で、ルート CA 証明書をインストールします。

23. 両方の証明書をインストールしたら、Web Server コンソールで「Preferences」タブをクリックします。

24. 別のポートで SSL を有効にする場合は、「Add Listen Socket」を選択します。次に、「Edit Listen Socket」を選択します。

25. セキュリティー状態を「Disabled」から「Enabled」に変更し、「OK」をクリックして変更を送信してから、「Apply」および「 Apply Changes」をクリックします。

    手順 26 〜手順 29 では、Access Manager を設定します。

26. AMConfig.properties ファイルを開きます。このファイルの場所は、デフォルトで /etc/opt/SUNWam/config です。

27. プロトコルで http:// が出現する箇所をすべて https:// に変更します。ただし Web Server インスタンスディレクトリの箇所は除きます。これは AMConfig.properties でも指定していますが、そのままにしておきます。

28. AMConfig.properties ファイルを保存します。

29. Web Server コンソールで、Web Server インスタンスをホスティングする Access Manager の「ON/OFF」ボタンをクリックします。

    Web Server で「Start/Stop」ページにテキストボックスが表示されます。

30. このテキストフィールドに、証明書データベースのパスワードを入力し、「Start」を選択します。

セキュリティー保護された Sun Java System Application Server による Access Manager の設定

SSL が有効になっている Application Server 上で Access Manager を実行するには、次の 2 つの手順で設定します。まず、インストールされた Access Manager に対して Application Server のインスタンスをセキュリティー保護します。次に、Access Manager 自体を設定します。

Application Server 6.2 を SSL で設定する

ここでは、Application Server 6.2 を SSL モードに設定する手順について説明します。

Application Server インスタンスをセキュリティーで保護する

手順

1. ブラウザに次のアドレスを入力して、Sun Java System Application Server コンソールに管理者としてログインします。

   http://fullservername:port

   デフォルトのポート番号は、4848 です。

2. インストール時に入力したユーザー名とパスワードを入力します。

3. Access Manager をインストールした (または、これからインストールする) Application Server インスタンスを選択します。設定が変更されたことが、右側のフレームに表示されます。

4. 「変更の適用」をクリックします。

5. 「再起動」をクリックします。Application Server が自動的に再起動されます。

6. 左側のフレームで、「セキュリティー」をクリックします。

7. 「データベースの管理」タブをクリックします。

8. 「データベースを作成」が選択されていない場合は、それをクリックします。

9. 新しいデータベースのパスワードを入力し、確認のパスワードを入力してから、「OK」をクリックします。あとで使用するために、このデータベースパスワードを書き留めておくようにしてください。

10. 証明書データベースが作成されたら、「証明書管理」タブをクリックします。

11. 「要求」リンクが選択されていない場合は、それをクリックします。

12. 証明書要求のデータを次のように入力します。

    1. 新規の証明書か、証明書の書き換えかを選択します。証明書の多くは、一定の期間が過ぎると期限切れになります。書き換え通知を自動的に送信する認証局 (CA) もあります。

    2. 証明書要求を送信する方法を指定します。

       要求を電子メールメッセージで受け取る CA の場合は、「CA 電子メールアドレス」を選択し、CA の電子メールアドレスを入力します。CA のリストを表示するには、「List of Available Certificate Authorities」をクリックします。

       Certificate Server を使用している内部 CA に証明書を要求する場合は、「CA URL」をクリックし、Certificate Server の URL を入力します。この URL は、Certificate Server で証明書要求を処理するプログラムを指している必要があります。

    3. 鍵ペアファイルのパスワードを入力します。これは、手順 9 で指定したパスワードです。

    4. 次の識別情報を入力します。

       「共通名」: ポート番号も含む完全なサーバー名。

       「要求者名」: 要求者の名前。

       「電話番号」: 要求者の電話番号。

       「共通名」: デジタル証明書のインストール先となる Sun Java System Application Server の完全修飾名。

       「メールアドレス」: 管理者の電子メールアドレス。

       「組織」: 組織の名前。認証局によっては、この属性に入力されたホスト名が、この組織に登録済みのドメインに属していることが必要になります。

       「組織単位」: 部課名など、組織の運営単位の名前。

       「地域」: 市区町村の名前。

       「州または都道府県名」: 組織がアメリカ合衆国またはカナダで運営されている場合は、その州の名前。省略形は使用しないでください。

       「国名」: 国を表す 2 文字の ISO コード。たとえば、アメリカ合衆国のコードは US です。

13. 「OK」ボタンをクリックします。次のようなメッセージが表示されます。

    --BEGIN NEW CERTIFICATE REQUEST--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END NEW CERTIFICATE REQUEST--

14. このテキスト全体をファイルにコピーし、「OK」をクリックします。ルート CA 証明書を取得するようにしてください。

15. CA を選択し、その CA の Web サイトにある指示に従ってデジタル証明書を取得します。証明書は CMS、Verisign、または Entrust.net から取得できます。

16. 認証局からデジタル証明書を受け取ったら、そのテキストをクリップボードにコピーするか、ファイルに保存します。

17. Application Server コンソールに移動し、「インストール」リンクをクリックします。

18. 「Certificate for this Server」を選択します。

19. 「鍵ペアファイルパスワード」フィールドに、証明書データベースのパスワードを入力します。

20. 「メッセージ」テキストフィールドに、証明書をヘッダーも含めて貼り付けるか、ファイル名を入力します。適切なラジオボタンをクリックします。

21. 「OK」ボタンをクリックします。ブラウザに証明書と、証明書を追加するボタンが表示されます。

22. 「サーバー証明書を追加」をクリックします。

23. すでに説明した方法に従って、ルート CA 証明書をインストールします。ただし、ここでは「証明書」の「信頼できる証明書発行局 (CA)」をクリックします。

24. 両方の証明書をインストールしたら、左側のフレームで「HTTP サーバー」ノードを展開します。

25. 「HTTP サーバー」の下にある「HTTP リスナー」を選択します。

26. http-listener-1 を選択します。ソケットの情報がブラウザに表示されます。

27. http-listener-1 で使用するポートの値を、Application Server のインストール時に入力した値から、より適切な値 (443 など) に変更します。

28. 「SSL/TLS を有効」を選択します。

29. 「証明書のニックネーム」を選択します。

30. 「戻すサーバー名」を指定します。手順 12 で指定した「共通名」と同じにする必要があります。

31. 「保存」をクリックします。

32. Access Manager ソフトウェアをインストールする Application Server インスタンスを選択します。設定が変更されたことが、右側のフレームに表示されます。

33. 「変更の適用」をクリックします。

34. 「再起動」をクリックします。Application Server が自動的に再起動されます。

Application Server 8.1 を SSL で設定する

Application Server 8.1 を SSL で設定する基本手順は、次のとおりです。詳細な手順については、Application Server 8.1 のマニュアルを参照してください。

1. Application Server 上で Application Server 管理コンソールを使ってセキュリティー保護されたポートを作成します。詳細については、次の場所にある『Sun Java System Application Server Enterprise Edition 8.1 管理ガイド』の「セキュリティーの設定」を参照してください。

   http://docs.sun.com/app/docs/coll/1369.1?l=ja

2. Web コンテナの信頼データベース内にそのサーバーの証明書を信頼する認証局 (CA) が存在していることを確認します。次に、Web コンテナに対するサーバー証明書を取得してインストールします。詳細については、次の場所にある『Sun Java System Application Server Enterprise Edition 8.1 管理ガイド』の「証明書と SSL の操作」を参照してください。

   http://docs.sun.com/app/docs/coll/1369.1?l=ja

3. Web コンテナを再起動します。

Access Manager の SSL モードへの設定

ここでは、Access Manager を SSL モードに設定する手順について説明します。Access Manager の SSL を設定する前に、配備先の Web コンテナが設定されていることを確認してください。

Access Manager を SSL モードに設定する

手順

1. Access Manager コンソールで、サービス設定モジュールに移動し、「プラットフォーム」サービスを選択します。「サーバーリスト」属性で、同じ URL を HTTPS プロトコルで追加し、SSL が有効になっているポート番号を追加します。「保存」をクリックします。

   ---

   注 –

   Access Manager の 1 つのインスタンスが、2 つのポート (HTTP と HTTPS) で待機しているとき、未処理のまま蓄積されたクッキーを使って Access Manager にアクセスしようとすると、Access Manager は応答しなくなります。この設定はサポートされていません。

   ---

2. AMConfig.properties ファイルを開きます。デフォルトでは次の場所にあります。

   /etc/opt/SUNWam/config.

3. プロトコルで http:// が出現する箇所をすべて https:// に変更します。また、ポート番号を、SSL が有効になっているポート番号に変更します。

4. AMConfig.properties ファイルを保存します。

5. Application Server を再起動します。

セキュリティー保護された BEA WebLogic Server による AMSDK の設定

BEA WebLogic Server は、最初にインストールして Web コンテナとして設定してから、SSL で AMSDK を使用して設定する必要があります。インストールの詳細については、BEA WebLogic Server のマニュアルを参照してください。Access Manager の Web コンテナとして WebLogic を設定するには、第 1 章「Access Manager 7 2005Q4 の設定スクリプト」を参照してください。

セキュリティー保護された WebLogic インスタンスを設定する

手順

1. クイックスタートメニューを使用してドメインを作成します。

2. WebLogic インストールディレクトリに移動し、証明書要求を生成します。

3. CSR テキストファイルを使用し、サーバー証明書を CA に申請します。

4. 承認証明書をテキストファイルに保存します。たとえば、approvedcert.txt に保存します。

5. 次のコマンドを使用し、cacerts でルート CA をロードします。

   cd jdk141_03/jre/lib/security/

   jdk141_03/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "<alias name>" -storepass changeit -file /opt/bea81/cacert.txt

6. 次のコマンドを使用し、サーバー証明書をロードします。

   jdk141_03/jre/bin/keytool -import -keystore <keystorename> -keyalg RSA -import -trustcacerts -file approvedcert.txt -alias "mykey"

7. ユーザー名とパスワードを使用し、WebLogic コンソールにログインします。

8. 次の場所を参照します。

   yourdomain> Servers> myserver> Configure Keystores

9. 「Custom Identity」、次に「Java Standard Trust」を選択します。

10. キーストアの場所を入力します。たとえば /opt/bea81/keystore のように入力します。

11. キーストアパスワードとキーストアパスフレーズを入力します。次に例を示します。

    キーストアパスワード: JKS/Java Standard Trust (WL 8.1 の場合は JKS のみ)

    キーストアパスフレーズ: changeit

12. SSL 非公開鍵の別名とパスワードを確認してください。

    ---

    注 –

    完全な SSL ライセンスを使用しないと、SSL が起動しません。

    ---

13. Access Manager では、AmConfig.properties の次のパラメータが、インストール中に自動的に設定されます。設定されていない場合は、適切に編集できます。

    com.sun.identity.jss.donotInstallAtHighestPriority=true [ AM 6.3 以上では不要] com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.JSSESocketFactory com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption

    JDK パスが次のようになっている場合は、keytool ユーティリティーを使用し、証明書データベースにルート CA をインポートします。

    com.iplanet.am.jdk.path=/usr/jdk/entsys-j2se

    次に例を示します。

    /usr/jdk/entsys-j2se/jre/lib/security /usr/jdk/entsys-j2se/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "machinename" -storepass changeit -file /opt/bea81/cacert.txt

    keytool ユーティリティーは次のディレクトリにあります。

    /usr/jdk/entsys-j2se/jre/bin/keytool

14. Access Manager amadmin コマンド行ユーティリティーから -D"java.protocol.handler.pkgs=com.iplanet.services.comm" を削除します。

15. Access Manager を SSL モードに設定します。詳細は、「Access Manager の SSL モードへの設定」を参照してください。

セキュリティー保護された IBM WebSphere Application Server による AMSDK の設定

IBM WebShpere Server は、最初にインストールして Web コンテナとして設定してから、SSL で AMSDK を使用して設定する必要があります。インストール手順については、WebSphere Server のマニュアルを参照してください。Access Manager の Web コンテナとして WebLogic を設定するには、第 1 章「Access Manager 7 2005Q4 の設定スクリプト」を参照してください。

セキュリティー保護された WebSphere インスタンスを設定する

手順

1. Websphere の /bin ディレクトリの ikeyman.sh を起動します。

2. 「署名者」メニューから認証局 (CA) からの証明書をインポートします。

3. 「Personal Certs」メニューから CSR を生成します。

4. 前の手順で作成された証明書を取得します。

5. 「Personal Certificates」を選択し、サーバー証明書をインポートします。

6. WebSphere コンソールからデフォルト SSL 設定を変更し、暗号を選択します。

7. デフォルトの IBM JSSE SSL プロバイダを設定します。

8. 次のコマンドを入力し、作成したファイルからアプリケーションサーバー JVM キーストアに、ルート CA 証明書をインポートします。

   $ appserver_root-dir/java/bin/ keytool -import -trustcacerts -alias cmscacert -keystore ../jre/lib/security/cacerts -file /full_path_cacert_filename.txt

   app-server-root-dir はアプリケーションサーバーのルートディレクトリであり、full_path_cacert_filename.txt は、証明書を含むファイルのフルパスです。

9. Access Manager において、AmConfig.properties の次のパラメータを、JSSE を使用するように更新します。

   com.sun.identity.jss.donotInstallAtHighestPriority=true com.iplanet.security.SecureRandomFactoryImpl=com.iplanet. am.util.SecureRandomFactoryImpl com.iplanet.security.SSLSocketFactorImpl=netscape.ldap.factory. JSSESocketFactory com.iplanet.security.encyptor=com.iplanet.services.unil.JCEEncryption

10. Access Manager を SSL モードに設定します。詳細は、「Access Manager の SSL モードへの設定」を参照してください。

Access Manager を SSL モードの Directory Server に設定する

ネットワーク上でセキュリティー保護された通信を確保するため、Access Manager には LDAPS 通信プロトコルが含まれています。LDAPS は LDAP の標準プロトコルで、SSL (Secure Socket Layer) 上で実行されます。SSL 接続を有効にするためには、まず Directory Server を SSL モードにして、次に Access Manager を Directory Server に接続します。基本的な手順は次のとおりです。

1. Directory Server 用の証明書を入手してインストールし、Directory Server が認証局 (CA) からの証明書を信頼するように設定します。

2. ディレクトリで SSL をオンにします。

3. SSL が有効化された Directory Service に接続するよう、認証、ポリシーおよびプラットフォームサービスを設定します。

4. セキュリティー保護された状態で Directory Server に接続できるよう Access Manager を設定します。

Directory Server を SSL モードに設定する

Directory Server を SSL モードに設定するには、サーバー証明書を入手してインストールし、CA からの証明書を信頼するように Directory Server を設定し、SSL を有効にする必要があります。これらの作業をどのように行うかについての詳細は、『Directory Server 管理ガイド』の中の第 11 章「認証と暗号化の管理」を参照してください。このマニュアルは、次の場所にあります。

http://docs.sun.com/app/docs/coll/DirectoryServer_04q2_ja

Directory Server の SSL がすでに有効になっている場合は次の節に進んでください。そこで Access Manager を Directory Server に接続する方法の詳細について説明します。

SSL が有効化された Directory Server に Access Manager を接続する

Directory Server が SSL モードに設定されたら、Access Manager をセキュリティー保護された状態で Directory Server に接続する必要があります。

Directory Server に Access Manager を接続する

手順

1. Access Manager コンソールで、「サービス設定」モジュールの LDAP 認証サービスに移動します。

   1. Directory Server ポートを SSL ポートに変更します。

   2. 「LDAP サーバーへの SSL アクセスを有効」属性を選択します。

2. 「サービス設定」モジュールのメンバーシップ認証サービスに移動します。

   1. Directory Server ポートを SSL ポートに変更します。

   2. 「LDAP サーバーへの SSL アクセスを有効」属性を選択します。

3. 「サービス設定」の「ポリシー設定」サービスに移動します。

   1. Directory Server ポートを SSL ポートに変更します。

   2. 「LDAP SSL を有効」属性を選択します。

4. テキストエディタで serverconfig.xml を開きます。このファイルは、次の場所にあります。

   /etc/opt/SUNWam/config

   1. <Server> 要素で、次の値を変更します。

      port - Access Manager が待機するセキュリティー保護されたポート番号 (デフォルト値は 636) を指定します。

      type - SIMPLE を SSL に変更します。

   2. serverconfig.xml を保存して閉じます。

5. AMConfig.properties ファイルを開きます。デフォルトでは次の場所にあります。

   /etc/opt/ SUNWam/config

   次のプロパティーを変更します。

   1. com.iplanet.am.directory.port = 636 (デフォルトを使う場合)

   2. com.iplanet.am.directory.sslenabled=true

   3. AMConfig.properties を保存します。

6. サーバーを再起動します。