この節では、Messenger Express、Delegated Administrator、および Calendar Manager 用の SSO の設定について説明します。
Messenger Express に SSO の設定をします。
適切な SSO configutil パラメータを設定します。
Messenger Express で Delegated Administrator とのシングルサインオンを有効にするには、次のように各パラメータを設定します (デフォルトのドメインは siroe.com と仮定)。パラメータの詳細については、表 6–3 を参照してください。設定を行うにはルートユーザーである必要があります。cd で instance_root に移動します。
configutil -o local.webmail.sso.enable -v 1 configutil -o local.webmail.sso.prefix -v ssogrp1 |
ssogrp1 は iDA で使用されるデフォルトの SSO プレフィックスです。別のプレフィックスを選択することもできますが、デフォルトを使用すると iDA や iCS を設定するときにプレフィックスを入力せずに済みます。
configutil -o local.webmail.sso.id -v ims5 |
ims5 は Messenger Express (ME) をほかのアプリケーションから識別するために付ける名前です。
configutil -o local.webmail.sso.cookiedomain -v “.siroe.com” |
上記のドメインは、ME/ブラウザクライアントでサーバーとの接続に使用されるドメインと一致する必要があります。したがって、このサーバー上のホストしているドメインが xyz.com と呼ばれている場合でも、DNS にある実際のドメインを使用する必要があります。 この値はピリオドで始まります。
configutil -o local.webmail.sso.singlesignoff -v 1 configutil -o local.sso.ApplicationID.verifyurl -v \ "http://ApplicationHost:port/VerifySSO?" |
ApplicationID は SSO アプリケーションに付ける名前です (例: Delegated Administrator には ida、Calendar Server には ics50 など)。ApplicationHost:port は、アプリケーションのホストとポート番号です。Messaging Server 以外の各アプリケーションごとに、これらの行のいずれかがあります。次に例を示します。
configutil -o local.sso.ida.verifyurl -v \ "http://siroe.com:8080/VerifySSO?" |
設定を変更後、Messenger Express http サーバーを再起動します。
cd instance_root./stop-msg http ./start-msg http |
Directory Server の SSO を設定します。
ディレクトリでプロキシユーザーアカウントを作成します。
プロキシユーザーアカウントを使って、Delegated Administrator はプロキシ認証を行うために Directory Server にバインドできます。次の LDIF コード (proxy.ldif) を使って、ldapadd を使うプロキシユーザーアカウントのエントリを作成できます。
ldapadd -h mysystem.siroe.com -D "cn=Directory Manager" -w password -v -f proxy.ldif
dn: uid=proxy, ou=people, o=siroe.com, o=isp objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetorgperson uid: proxy givenname: Proxy sn: Auth cn: Proxy Auth userpassword: proxypassword |
プロキシユーザーアカウント認証に適切な ACI を作成します。
ldapmodify ユーティリティーを使用して、Delegated Administrator のインストール時に作成した各サフィックスの ACI を作成します。
osiroot - ユーザーデータを保存するために入力したサフィックス (デフォルトは o=isp)。osiroot は組織ツリーのルートです。
dcroot - ドメイン情報を保存するために入力したサフィックス (デフォルトは o=internet)。
osiroot - 設定情報を保存するために入力したサフィックス。これはユーザーデータを保存するために入力した値と同一になります。
次に、先に作成したプロキシユーザーの osiroot の ACI エントリ (aci1.ldif) の例を示します。
dn: o=isp changetype: modify add: aci aci: (target="ldap:///o=isp")(targetattr="*")(version 3.0; acl "proxy";allow (proxy) userdn="ldap:///uid=proxy, ou=people, o=siroe.com, o=isp";) |
ldapmodify -h siroe.com -D "cn=Directory Manager" -w password -v -f aci1.ldif |
dcroot に同様の ACI エントリ (aci2.ldif) を作成します。
dn: o=internet changetype: modify add: aci aci: (target="ldap:///o=internet")(targetattr="*")(version 3.0; acl "proxy";allow (proxy) userdn="ldap:///uid=proxy, ou=people, o=siroe.com, o=isp";) |
ldapmodify -h siroe.com -D "cn=Directory Manager" -w password -v -f aci2.ldif |
Delegated Administrator を設定します。
プロキシユーザー証明書およびコンテキストの cookie 名を Delegated Administrator resource.properties ファイルに追加します。
Delegated Administrator の resource.properties ファイルの次のエントリのコメントを解除し、修正します。
LDAPDatabaseInterface-ldapauthdn=Proxy_Auth_DN LDAPDatabaseInterface-ldapauthpw=Proxy_Auth_Password NDAAuth-singleSignOnId=SSO_Prefix- NDAAuth-applicationId=DelAdminID |
次に例を示します。
LDAPDatabaseInterface-ldapauthdn= uid=proxy,ou=people,o=cesta.com,o=isp LDAPDatabaseInterface-ldapauthpw=proxypassword NDAAuth-singleSignOnId=ssogrp1- NDAAuth-applicationId=ida |
resource.properties ファイルは、次の場所に保存されています。
iDA_svr_base/nda/classes/netscape/nda/servlet/
対象となるサーバーの確認 URL を追加します。
受け取るシングルサインオン cookie を確認するには、Delegated Administrator にその連絡先を指定しておく必要があります。対象となるすべてのサーバーに、確認 URL を指定します。
次の例では、Messenger Express がインストールされており、そのアプリケーション ID が msg5 であると仮定しています。Delegated Administrator の resource.properties ファイルを編集し、以下のようなエントリを追加します。
verificationurl-ssogrp1-msg5=http://webmail_hostname:port/VerifySSO? verificationurl-ssogrp1-ida=http://iDA_hostname:port/VerifySSO? verificationurl-ssogrp1-ics50=http://iCS_hostname:port/VerifySSO? |
resource.properties ファイルは、次のディレクトリにあります。
iDA_svr_base/nda/classes/netscape/nda/servlet/
Delegated Administrator のシングルサインオン cookie 情報を追加し、UTF8 パラメータエンコーディングを有効にします。
Delegated Administrator のコンテキスト識別子を定義します。
servlets.properties ファイルを編集し、servlet.*.context=ims50 というテキストを含んでいるすべての行のコメントを解除します。 * は任意の文字列を示しています。
servlets.properties ファイルは、次の場所にあります。
Web_Svr_Base/https-instancename/config/
Enterprise Server 設定のコンテキストの cookie 名を指定します。
Enterprise Server の contexts.properties ファイルを編集し、ファイルの下部の #IDACONF-Start 行の前に次の行を追加します。
context.ims50.sessionCookie=ssogrp1-ida
contexts.properties ファイルは、次の場所にあります。
Web_Svr_Base/https-instancename/config/
ims5 コンテキストの UTF8 パラメータエンコーディングを有効にします。
Enterprise Server 設定の ims5 コンテキストの UTF8 パラメータエンコーディングを有効にするには、Enterprise Server の contexts.properties ファイルに次のエントリを追加します。
context.ims50.parameterEncoding=utf8
Messenger Express を再起動します。
手順 1a 〜 2c の説明に従って設定を変更したら、その変更内容が反映されるように Messenger Express を再起動します。
Web_Svr_Base/https-instance_name/stop Web_Svr_Base/https-instancename/start |
SSO グループに Calendar を配備している場合は、Calendar Server を設定します。
ics.conf を編集し、次を追加します。
sso.appid = "ics50" sso.appprefix = "ssogrp1" sso.cookiedomain = ".red.iplanet.com" sso.enable = "1" sso.singlesignoff = "true" sso.userdomain = "mysystem.red.iplanet.com" sso.ims5.url="http://mysystem.red.iplanet.com:80/VerifySSO?" sso.ida.url=http://mysystem.red.iplanet.com:8080/VerifySSO? |
Calendar Server を再起動します。
start-cal
Messenger Express http サーバーを再起動します。
msg_svr_base/sbin/stop-msg http msg_svr_base/sbin/start-msg http |