付録  B パスワード暗号化キーの変更

Sun Java^TM System Access Manager は、パスワード暗号化キーを使用してユーザーパスワードを暗号化します。すべての Access Manager サブコンポーネントが、同じパスワード暗号化キー値を使用する必要があります。Access Manager の複数のインスタンスを別々のホストサーバーに配備することを計画している場合は、すべてのインスタンスに同じパスワード暗号化キーを使用する必要があります。

インストールに関する考慮事項

Access Manager の 1 番目のインスタンスをインストールすると、Java Enterprise System インストーラによって、デフォルトのパスワード暗号化キー文字列が生成されます。このデフォルトの値を受け入れるか、または J2EE 乱数発生関数によって生成された別の値を指定することもできます。インストーラは、パスワード暗号化キー値を AMConfig.properties ファイルの am.encryption.pwd 属性に格納します。

パスワード暗号化キーの値を指定する場合は、その文字列の長さを少なくとも 12 文字にする必要があります。

Access Manager の複数インスタンスを配備するには、1 番目のインスタンスのインストール後に、am.encryption.pwd 属性からパスワード暗号化キー値を保存します。次に、追加のインスタンスを配備するときは、このキー値を使用して値を設定します。

• Java ES インストーラを実行する場合は、この値を「Access Manager: 管理」パネルの「パスワードの暗号鍵」フィールドにコピーします。

• amconfig スクリプトを実行する場合は、amsamplesilent 設定ファイル (または、このファイルのコピー) の AM_ENC_PWD 変数をこの値に設定します。

次のシナリオでは、パスワード暗号化キーを取得して、変更する必要がある理由について説明します。これらのシナリオでは、各 Access Manager インスタンスが同じ Directory Server を使用しています。

• Access Manager の複数サーバーインストールを実行しており、1 番目の Access Manager インスタンスをインストールしたときにパスワード暗号化キーを保存しなかった場合は、追加のインスタンスを配備するときに、使用するキーを取得する必要があります。

• 追加の Access Manager インスタンスをすでに配備しており、そのインスタンスが 1 番目の Access Manager インスタンスとは別のパスワード暗号化キーを使用している場合は、その暗号化キーの値が 1 番目のインスタンスと一致するように変更する必要があります。

パスワード暗号化キーを変更した場合に必要なほかの変更点

パスワードとパスワード暗号化キーは、配備全体で一貫している必要があります。ある場所やインスタンスでパスワードを変更したら、ほかのすべての場所やインスタンスのパスワードも更新する必要があります。

serverconfig.xml ファイルに、暗号化されたユーザーパスワードが収められ、<DirPassword> 要素によって識別できます。次に例を示します。

<DirPassword>
Adfhfghghfhdghdfhdfghrteutru
</DirPassword>

serverconfig.xml の puser および dsameuser パスワードは、AMConfig.properties ファイルの am.encryption.pwd に定義されたパスワード暗号化キーを使用して暗号化されます。パスワード暗号化キーを変更した場合は、ampassword ユーティリティーを使用して、serverconfig.xml ファイルのこれらのパスワードも再暗号化する必要があります。

ampassword ユーティリティーについては、『Sun Java System Access Manager 7 2005Q4 管理ガイド』を参照してください。

キー値の変更

パスワード暗号化キーを変更するには、次の手順に従います。

1. 1 番目の Access Manager インスタンスがインストールされているホストサーバーにスーパーユーザー (root) としてログインするか、スーパーユーザーになります。

2. 1 番目の Access Manager インスタンスの AMConfig.properties ファイルで、次の属性の値を取得し、保存します。

   • パスワード暗号化キー: am.encryption.pwd

   • 共有シークレット: com.iplanet.am.service.secret

   AMConfig.properties ファイルは次のディレクトリにインストールされます。

   • Solaris システム: /etc/opt/SUNWam/config

   • Linux システム: /etc/opt/sun/identity/config

3. 2 番目の Access Manager インスタンスが配備されているサーバーにスーパーユーザー (root) としてログインするか、スーパーユーザーになります。

4. 念のため、/config ディレクトリの AMConfig.properties ファイルと serverconfig.xml ファイルをバックアップします。

5. 2 番目の Access Manager インスタンスの Web コンテナを停止します。たとえば、Solaris システムで、Web Server が Web コンテナの場合は次のようになります。

   # cd /opt/SUNWwbsvr/https-host2-name #./stop

6. AMConfig.properties ファイルを編集して、am.encryption.pwd と com.iplanet.am.service.secret の値を、手順 2 で 1 番目の Access Manager インスタンスから保存した値に置き換えます。

7. am.encryption.pwd で定義されている暗号化キーを変更したため、ampassword ユーティリティーを実行して、serverconfig.xml ファイルのパスワードを再暗号化し、置き換える必要があります。serverconfig.xml のパスワードは、<DirPassword> 要素によって識別されます。次の場合について考慮します。

   パスワードが同じ場合: puser と dsameuser のパスワードが serverconfig.xml の amadmin パスワードと同じ場合は、ampassword を実行して amadmin パスワードを再暗号化します。Solaris システムの場合は次のようになります。

   # cd /opt/SUNWam/bin
   # ./ampassword --encrypt password
   

   ここで password は、1 番目のインスタンスをインストールしたときに amadmin に使用したパスワードです。ampassword の出力 (新しい暗号化パスワード) を使用して、2 番目のインスタンスの serverconfig.xml の 2 つのパスワードを置き換えます。

   パスワードが異なる場合: puser と dsameuser のパスワードが serverconfig.xml の amadmin パスワードと異なる場合は、ampassword を実行して各パスワード (type="proxy" と type="admin) を再暗号化します。

   ampassword の出力 (新しい暗号化パスワード) を使用して、2 番目のインスタンスの serverconfig.xml の puser と dsameuser のパスワードを置き換えます。

8. 2 番目の Access Manager インスタンスの Web コンテナを再起動します。たとえば、Solaris システムで、Web Server が Web コンテナの場合は次のようになります。

   # cd /opt/SUNWwbsvr/https-host2-name # ./start

9. 配備されている Access Manager のほかの追加インスタンスについて、手順 3 から手順 8 を繰り返します。