serverconfig.xml ファイルは、Sun Java™ System Access Manager のデータストアとして使用される Directory Server に関する設定の情報を提供します。この章では、ファイルの要素、フェイルオーバーのためにファイルを設定する方法、複数のインスタンスを定義する方法、コンソールの配備を取り消す方法、コンソールファイルをサーバーから削除する方法について説明します。この章は、次の節で構成されています。
serverconfig.xml は / AccessManager-base /SUNWam/config/ums ディレクトリにあります。このファイルには、Directory Server への LDAP 接続プールを確立するために Identity SDK が使用するパラメータが格納されます。このファイルは、製品の他の機能が使用することはありません。このファイルでは 2 つのユーザーが定義されます。user1 は Directory Server プロキシユーザーであり、user2 は Directory Server 管理者です。
プロキシユーザーは、任意のユーザーの権限 (たとえば、組織管理者またはエンドユーザー) を獲得することができます。プロキシユーザーにバインドされた接続とともに接続プールが作成されます。Access Manager は、cn=puser,ou=DSAME Users,dc=example,dc=com というDN でプロキシ ユーザーを作成します。このユーザーは、Directory Server に対して行われるすべてのクエリーに使用されます。プロキシユーザーは、Directory Server ですでに設定されているプロキシユーザー ACI を利用するので、必要なときにユーザーに代わってアクションを実行できます。プロキシユーザーは、すべてのクエリー (サービス設定や組織情報の取得など) の受け渡し経路となる開いた接続を維持します。プロキシユーザーのパスワードは常に暗号化されます。「プロキシユーザー」は、serverconfig.xml に格納された暗号化パスワードの例を示しています。
<User name="User1" type="proxy"> <DirDN> cn=puser,ou=DSAME Users,dc=example,dc=com </DirDN> <DirPassword> AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ </DirPassword> </User> |
管理ユーザーは、Access Manager SDK が、特定のユーザーにリンクされていない操作 (サービス設定情報の取得など) を Directory Server に対して実行するときにバインド目的で使用されます。「プロキシユーザー」はこれらの操作を管理ユーザーの代わりに実行しますが、バインドではまず管理ユーザーの資格を検証する必要があります。インストールの間に、Access Manager は cn=dsameuser,ou=DSAME Users,dc=example,dc=com を管理ユーザーとして作成します。「プロキシユーザー」は、serverconfig.xml に格納された、dsameuser の暗号化パスワードの例を示しています。
<User name="User2" type="admin"> <DirDN> cn=dsameuser,ou=DSAME Users,dc=example,dc=com </DirDN> <DirPassword> AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ </DirPassword> </User> |
server-config.dtd は、serverconfig.xml の構造を定義します。このファイルは AccessManager-base /SUNWam/dtd ディレクトリにあります。この節では、DTD の主な要素を定義します。「MiscConfig 要素」は serverconfig.xml ファイルの例です。
iPlanetDataAccessLayer はルート要素です。この要素では、XML ファイルごとに複数のサーバーグループを定義できます。この要素の直接のサブ要素は 「ServerGroup 要素」です。この要素には属性はありません。
ServerGroup は、1 つまたは複数のディレクトリサーバーへのポインタを定義します。ディレクトリサーバーの種類は、マスターサーバーまたはレプリカサーバーのいずれかです。ServerGroup を修飾するサブ要素には、「Server 要素」、「User 要素」、「BaseDN 要素」、および 「MiscConfig 要素」があります。ServerGroup の XML 属性は、サーバーグループの名前、LDAP 接続プールに対して開くことのできる接続の最小数 (1) を定義する minConnPool、および、最大数 (10) を定義する maxConnPool です。複数の ServerGroup 要素の定義はサポートされていません。
Access Manager は、Directory Server にアクセスするために接続プールを使用します。すべての接続は Access Manager の起動時に開かれ、以後閉じられることはありません。接続は再利用されます。
Server は特定の Directory Server インスタンスを定義します。サブ要素はありません。Server の必須 XML 属性は、ユーザーにわかりやすいサーバーの名前、ホスト名、Directory Server が動作するポート番号、および、開かれる必要のある LDAP 接続のタイプ (シンプルまたは SSL) です。
Server 要素を使った自動フェイルオーバーの例については、「フェイルオーバーまたは複数マスター設定」を参照してください。
User には、Directory Server インスタンスに対するユーザー設定を定義するサブ要素が含まれます。User を修飾するサブ要素には、DirDN および DirPassword があります。この要素の必須 XML 属性は、ユーザーの名前とユーザーのタイプです。type の値は、ユーザーの権限と、Directory Server インスタンスに対して開かれる接続のタイプを識別します。以下のオプションがあります。
auth— Directory Server に対して認証されるユーザーを定義します。
proxy— Directory Server プロキシユーザーを定義します。詳細は、「プロキシユーザー」を参照してください。
rebind: 再バインドに使用できる資格を持つユーザーを定義します。
admin— Directory Server の管理権限を持つユーザーを定義します。詳細は、「管理ユーザー」を参照してください。
DirDN には、定義されたユーザーの LDAP 識別名 (DN) が含まれます。
DirPassword には、定義されたユーザーの暗号化されたパスワードが含まれます。
重要な点として、パスワードと暗号化鍵は配備単位全体で一貫した状態に保たれます。たとえば、この要素で定義されるパスワードは Directory Server にも格納されます。1 つの場所でパスワードを変更する場合、両方の場所でそのパスワードを更新する必要があります。また、このパスワードは暗号化されます。am.encryption.pwd プロパティーで定義された暗号化鍵が変更される場合、serverconfig.xml 内のすべてのパスワードを「ampassword --encrypt パスワード」を使用して再暗号化する必要があります。
BaseDN は、サーバーグループのベース識別名 (DN) を定義します。サブ要素および XML 属性はありません。
MiscConfig は、キャッシュサイズなどの任意の LDAP JDK 機能を定義するためのプレースホルダーです。サブ要素はありません。この要素の必須の XML 属性は、機能の名前とその定義値です。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <!-- Copyright (c) 2002 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. --> <iPlanetDataAccessLayer> <ServerGroup name="default" minConnPool="1" maxConnPool="10"> <Server name="Server1" host=" ishost.domain_name" port="389" type="SIMPLE" /> <User name="User1" type="proxy"> <DirDN> cn=puser,ou=DSAME Users,dc=example,dc=com </DirDN> <DirPassword> AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ </DirPassword> </User> <User name="User2" type="admin"> <DirDN> cn=dsameuser,ou=DSAME Users,dc=example,dc=com </DirDN> <DirPassword> AQICkc3qIrCeZrpexyeoL4cdeXih4vv9aCZZ </DirPassword> </User> <BaseDN> dc=example,dc=com </BaseDN> </ServerGroup> </iPlanetDataAccessLayer> |
Access Manager では、serverconfig.xml 内で 「ServerGroup 要素」、「Server 要素」 として定義された任意の Directory Server への自動フェイルオーバーが可能です。フェイルオーバー目的または複数マスターのために、複数のサーバーを設定できます。設定された最初のサーバーがダウンすると、設定された 2 番目のサーバーが処理を引き継ぎます。「フェイルオーバーまたは複数マスター設定」では、serverconfig.xml での自動フェイルオーバー設定の例を示しています。
<?xml version="1.0" encoding="ISO-8859-1" standalone="yes"?> <!-- PROPRIETARY/CONFIDENTIAL. Use of this product is subject to license terms. Copyright 2002 Sun Microsystems, Inc. All rights reserved. --> <iPlanetDataAccessLayer> <ServerGroup name="default" minConnPool="1" maxConnPool="10"> <Server name="Server1" host=" amhost1.domain_name" port="389" type="SIMPLE" /> <Server name="Server2" host=" amhost2.domain_name" port="389" type="SIMPLE" /> <Server name="Server3" host=" amhost3.domain_name" port="390" type="SIMPLE" /> <User name="User1" type="proxy"> <DirDN> cn=puser,ou=DSAME Users,dc=example,dc=com </DirDN> <DirPassword> AQIC5wM2LY4Sfcy+AQBQxghVwhBE92i78cqf </DirPassword> </User> <User name="User2" type="admin"> <DirDN> cn=dsameuser,ou=DSAME Users,dc=example,dc=com </DirDN> <DirPassword> AQIC5wM2LY4Sfcy+AQBQxghVwhBE92i78cqf </DirPassword> </User> <BaseDN> o=isp </BaseDN> </ServerGroup> </iPlanetDataAccessLayer> |