信頼できるサークル SSO の設定 (Sun Java System Messaging Server 6 2005Q4 管理ガイド)

Sun Java System Messaging Server 6 2005Q4 管理ガイド

信頼できるサークル SSO の設定

この節では、Messenger Express、Delegated Administrator、および Calendar Manager 用の SSO の設定について説明します。

Messenger Express、Delegated Administrator、および Calendar Manager 用の SSO を設定するには

手順

Messenger Express に SSO の設定をします。
1. 適切な SSO configutil パラメータを設定します。
  
  Messenger Express で Delegated Administrator とのシングルサインオンを有効にするには、次のように各パラメータを設定します (デフォルトのドメインは siroe.com と仮定)。パラメータの詳細については、表 6–3 を参照してください。設定を行うにはルートユーザーである必要があります。cd で instance_root に移動します。
  configutil -o local.webmail.sso.enable -v 1 configutil -o local.webmail.sso.prefix -v ssogrp1
  ssogrp1 は iDA で使用されるデフォルトの SSO プレフィックスです。別のプレフィックスを選択することもできますが、デフォルトを使用すると iDA や iCS を設定するときにプレフィックスを入力せずに済みます。
  configutil -o local.webmail.sso.id -v ims5
  ims5 は Messenger Express (ME) をほかのアプリケーションから識別するために付ける名前です。
  configutil -o local.webmail.sso.cookiedomain -v “.siroe.com”
  上記のドメインは、ME/ブラウザクライアントでサーバーとの接続に使用されるドメインと一致する必要があります。したがって、このサーバー上のホストしているドメインが xyz.com と呼ばれている場合でも、DNS にある実際のドメインを使用する必要があります。この値はピリオドで始まります。
  configutil -o local.webmail.sso.singlesignoff -v 1 configutil -o local.sso.ApplicationID.verifyurl -v \ "http://ApplicationHost:port/VerifySSO?"
  ApplicationID は SSO アプリケーションに付ける名前です (例: Delegated Administrator には ida、Calendar Server には ics50 など)。ApplicationHost:port は、アプリケーションのホストとポート番号です。Messaging Server 以外の各アプリケーションごとに、これらの行のいずれかがあります。次に例を示します。
  configutil -o local.sso.ida.verifyurl -v \ "http://siroe.com:8080/VerifySSO?"
2. 設定を変更後、Messenger Express http サーバーを再起動します。
  cd instance_root./stop-msg http ./start-msg http

Directory Server の SSO を設定します。

ディレクトリでプロキシユーザーアカウントを作成します。

プロキシユーザーアカウントを使って、Delegated Administrator はプロキシ認証を行うために Directory Server にバインドできます。次の LDIF コード (proxy.ldif) を使って、ldapadd を使うプロキシユーザーアカウントのエントリを作成できます。

ldapadd -h mysystem.siroe.com -D "cn=Directory Manager" -w password -v -f proxy.ldif

dn: uid=proxy, ou=people, o=siroe.com, o=isp
objectclass: top
objectclass: person
objectclass: organizationalperson
objectclass: inetorgperson
uid: proxy
givenname: Proxy
sn: Auth
cn: Proxy Auth
userpassword: proxypassword

プロキシユーザーアカウント認証に適切な ACI を作成します。

ldapmodify ユーティリティーを使用して、Delegated Administrator のインストール時に作成した各サフィックスの ACI を作成します。

osiroot - ユーザーデータを保存するために入力したサフィックス (デフォルトは o=isp)。osiroot は組織ツリーのルートです。

dcroot - ドメイン情報を保存するために入力したサフィックス (デフォルトは o=internet)。

osiroot - 設定情報を保存するために入力したサフィックス。これはユーザーデータを保存するために入力した値と同一になります。

次に、先に作成したプロキシユーザーの osiroot の ACI エントリ (aci1.ldif) の例を示します。

dn: o=isp
changetype: modify
add: aci
aci: (target="ldap:///o=isp")(targetattr="*")(version 3.0; acl
"proxy";allow (proxy) userdn="ldap:///uid=proxy, ou=people,
o=siroe.com, o=isp";)

ldapmodify -h siroe.com -D "cn=Directory Manager" -w password -v 
-f aci1.ldif

dcroot に同様の ACI エントリ (aci2.ldif) を作成します。

dn: o=internet
changetype: modify
add: aci
aci: (target="ldap:///o=internet")(targetattr="*")(version 3.0; acl 
"proxy";allow (proxy) userdn="ldap:///uid=proxy, ou=people, 
o=siroe.com, o=isp";)

ldapmodify -h siroe.com -D "cn=Directory Manager" -w password -v
-f aci2.ldif

Delegated Administrator を設定します。

プロキシユーザー証明書およびコンテキストの cookie 名を Delegated Administrator resource.properties ファイルに追加します。

Delegated Administrator の resource.properties ファイルの次のエントリのコメントを解除し、修正します。
LDAPDatabaseInterface-ldapauthdn=Proxy_Auth_DN LDAPDatabaseInterface-ldapauthpw=Proxy_Auth_Password NDAAuth-singleSignOnId=SSO_Prefix- NDAAuth-applicationId=DelAdminID
次に例を示します。
LDAPDatabaseInterface-ldapauthdn= uid=proxy,ou=people,o=cesta.com,o=isp LDAPDatabaseInterface-ldapauthpw=proxypassword NDAAuth-singleSignOnId=ssogrp1- NDAAuth-applicationId=ida
resource.properties ファイルは、次の場所に保存されています。

iDA_svr_base/nda/classes/netscape/nda/servlet/

対象となるサーバーの確認 URL を追加します。

受け取るシングルサインオン cookie を確認するには、Delegated Administrator にその連絡先を指定しておく必要があります。対象となるすべてのサーバーに、確認 URL を指定します。

次の例では、Messenger Express がインストールされており、そのアプリケーション ID が msg5 であると仮定しています。Delegated Administrator の resource.properties ファイルを編集し、以下のようなエントリを追加します。

verificationurl-ssogrp1-msg5=http://webmail_hostname:port/VerifySSO? 
verificationurl-ssogrp1-ida=http://iDA_hostname:port/VerifySSO? 
verificationurl-ssogrp1-ics50=http://iCS_hostname:port/VerifySSO?

resource.properties ファイルは、次のディレクトリにあります。

iDA_svr_base/nda/classes/netscape/nda/servlet/

Delegated Administrator のシングルサインオン cookie 情報を追加し、UTF8 パラメータエンコーディングを有効にします。
1. Delegated Administrator のコンテキスト識別子を定義します。
  
  servlets.properties ファイルを編集し、servlet.*.context=ims50 というテキストを含んでいるすべての行のコメントを解除します。 * は任意の文字列を示しています。
  
  servlets.properties ファイルは、次の場所にあります。
  
  Web_Svr_Base/https-instancename/config/
2. Enterprise Server 設定のコンテキストの cookie 名を指定します。
  
  Enterprise Server の contexts.properties ファイルを編集し、ファイルの下部の #IDACONF-Start 行の前に次の行を追加します。
  
  context.ims50.sessionCookie=ssogrp1-ida
  
  contexts.properties ファイルは、次の場所にあります。
  
  Web_Svr_Base/https-instancename/config/
3. ims5 コンテキストの UTF8 パラメータエンコーディングを有効にします。
  
  Enterprise Server 設定の ims5 コンテキストの UTF8 パラメータエンコーディングを有効にするには、Enterprise Server の contexts.properties ファイルに次のエントリを追加します。
  
  context.ims50.parameterEncoding=utf8

Messenger Express を再起動します。

手順 1a 〜 2c の説明に従って設定を変更したら、その変更内容が反映されるように Messenger Express を再起動します。
Web_Svr_Base/https-instance_name/stop Web_Svr_Base/https-instancename/start

SSO グループに Calendar を配備している場合は、Calendar Server を設定します。

ics.conf を編集し、次を追加します。

sso.appid = "ics50"
sso.appprefix = "ssogrp1"
sso.cookiedomain = ".red.iplanet.com"
sso.enable = "1"
sso.singlesignoff = "true"
sso.userdomain = "mysystem.red.iplanet.com"
sso.ims5.url="http://mysystem.red.iplanet.com:80/VerifySSO?"
sso.ida.url=http://mysystem.red.iplanet.com:8080/VerifySSO?

Calendar Server を再起動します。

start-cal

Messenger Express http サーバーを再起動します。

msg_svr_base/sbin/stop-msg http
msg_svr_base/sbin/start-msg http