リソースを設定する際の注意事項
注 –
Access Manager 7 以降の場合、このアダプタでは旧バージョンモードのみがサポートされます。レルムモードはサポートされません。
設定できるのは (レルムモードまたは旧バージョンモードにかかわらず) 1 つの Access Manager サーバーだけです。
Policy Agent は、シングルサインオン (SSO) を有効にするために使用できるオプションモジュールです。使用している環境内でこの製品を使用していない場合は、Policy Agent の設定手順やインストール手順を実行しないでください。
Policy Agent の詳細は、http://docs.sun.com/app/docs/coll/1322.1 を参照してください。
Policy Agent をインストールするには、Policy Agent に付属するインストール手順書に従います。 その後、次の作業を実行します。
Policy Agent を設定する
AMAgent.properties ファイルの編集
AMAgent.properties ファイルを変更して、Identity Manager を保護する必要があります。このファイルは AgentInstallDir/config ディレクトリにあります。
AMAgent.properties ファイルを編集する
-
AMAgent.properties ファイル内で次の行を検索します。
com.sun.identity.agents.config.cookie.reset.enable = false com.sun.identity.agents.config.cookie.reset.name[0] = com.sun.identity.agents.config.cookie.reset.domain[] = com.sun.identity.agents.config.cookie.reset.path[] =
これらの行を次のように編集します。
com.sun.identity.agents.config.cookie.reset.enable = true com.sun.identity.agents.config.cookie.reset.name[0] = AMAuthCookie com.sun.identity.agents.config.cookie.reset.domain[0] = .example.com com.sun.identity.agents.config.cookie.reset.path[0] = /
-
次の行を追加します。
com.sun.identity.agents.config.cookie.reset.name[1] = iPlanetDirectoryPro com.sun.identity.agents.config.cookie.reset.domain[1] = .example.com com.sun.identity.agents.config.cookie.reset.path[1] = /
-
次の行を検索します。
com.sun.identity.agents.config.profile.attribute.fetch.mode = NONE com.sun.identity.agents.config.profile.attribute.mapping[] =
これらの行を次のように編集します。
com.sun.identity.agents.config.profile.attribute.fetch.mode = HTTP_HEADER com.sun.identity.agents.config.profile.attribute.mapping[uid] = sois_user
-
変更を有効にするために、Web サーバーを再起動します。
Sun Access Manager のポリシーの作成
ポリシーを作成する
-
Sun Access Manager アプリケーションで、次の規則を設定した IDMGR という名前 (または類似の名前) の新しいポリシーを作成します。
サービスのタイプ
リソース名
アクション
URL ポリシーエージェント
http://server:port/idm
URL ポリシーエージェント
http://server:port/idm/*
GET アクションと POST アクションを許可します
-
1 つ以上の主体を IDMGR ポリシーに割り当てます。
Sun Access Manager (Access Manager 7.0 より前のバージョン) のインストールと設定
次に、Sun Access Manager および Policy Agent のインストールと設定の方法について説明します。Sun Access Manager を Identity Manager サーバーと同じシステムにインストールする場合は、Sun Access Manager リソースアダプタの設定に関する情報を参照してください。Policy Agent を使用している場合は、「Policy Agent のインストールと設定」で追加情報を確認してください。
Access Manager を Identity Manager サーバーとは異なるシステムにインストールする場合は、Identity Manager システムで次の手順を実行します。
Access Manager を別のシステムにインストールする場合
-
Sun Access Manager サーバーからコピーするファイルの配置先ディレクトリを作成します。この手順では、CfgDir という名前のディレクトリを使用します。Access Manager がインストールされている場所を AccessMgrHome とします。
-
次のファイルを AccessMgrHome から CfgDir にコピーします。ディレクトリ構造はコピーしないでください。
-
UNIX では、全体的な読み取りアクセスを許可するために CfgDir 内の JAR ファイルのアクセス権を変更しなければならない場合があります。アクセス権を変更するには、次のコマンドを実行します。
chmod a+r CfgDir/*.jar
-
次のように JAVA クラスパスを付加します。
-
Identity Server 6.0 を使用する場合は、CfgDir を指す Java システムプロパティーを設定します。次のようなコマンドを使用します。
java -Dcom.iplanet.coreservices.configpath=CfgDir
-
バージョン 6.1 以降を使用する場合は、CfgDir/AMConfig.properties ファイルで、次の行を追加または編集します。
com.iplanet.services.configpath=CfgDir com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util. SecureRandomFactoryImpl com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory. JSSESocketFactory com.iplanet.security.encryptor=com.iplanet.services.util. JCEEncryption
最初の行では configpath を設定しています。最後の 3 行ではセキュリティー設定を変更しています。
-
CfgDir/am_*.jar ファイルを $WSHOME/WEB-INF/lib にコピーします。Identity Server 6.0 を使用する場合は、jss311.jar ファイルも $WSHOME/WEB-INF/lib ディレクトリにコピーします。
-
Identity Manager が Windows 上で稼働している環境で Identity Server 6.0 を使用する場合は、IdServer\lib\jss\*.dll を CfgDir にコピーし、CfgDir をシステムパスに追加します。
注 –Identity Manager が Access Manager とは異なるシステムにインストールされている環境では、次のエラー条件を確認してください。Access Manager リソースへの接続時にエラー java.lang.ExceptionInInitializerError が返され、それに続く試行で java.lang.NoClassDefFoundError が返される場合は、設定データに誤りまたは欠落がないか確認します。
また、java.lang.NoClassDefFoundError で示されたクラスの JAR ファイルも確認します。そのクラスが含まれている JAR ファイルのクラスパスを、アプリケーションサーバーの JAVA クラスパスに付加します。
CfgDir に 「Sun Access Manager (Access Manager 7.0 より前のバージョン) のインストールと設定」で説明したすべてのデータが含まれ、すべての設定プロパティーが正しく割り当てられていることを確認します。
Policy Agent のインストールと設定
適切な Access Manager Policy Agent を、Identity Manager サーバーにインストールする必要があります。Policy Agent は次の場所から入手できます。
http://wwws.sun.com/software/download/inter_ecom.html#dirserv
Policy Agent に付属するインストール手順書に従ってください。その後、次に示す作業を実行します。
AMAgent.properties ファイルの編集
AMAgent.properties ファイルを変更して、Identity Manager を保護する必要があります。このファイルは次のディレクトリにあります。
-
Windows: \ AgentInstallDir\es6\config\_PathInstanceName \
-
UNIX: /etc/opt/SUNWam/agents/es6/config/ _PathInstanceName/
必ず、前述したディレクトリにあるファイルを使用してください。AgentInstallDir\config ディレクトリにあるファイルは使用しないでください。
AMAgent.properties ファイルの編集
-
AMAgent.properties ファイル内で次の行を検索します。
com.sun.identity.agents.config.cookie.reset.enable = false com.sun.identity.agents.config.cookie.reset.name[0] = com.sun.identity.agents.config.cookie.reset.domain[] = com.sun.identity.agents.config.cookie.reset.path[] =
これらの行を次のように編集します。
com.sun.identity.agents.config.cookie.reset.enable = true com.sun.identity.agents.config.cookie.reset.name[0] = AMAuthCookie com.sun.identity.agents.config.cookie.reset.domain[0] = .example.com com.sun.identity.agents.config.cookie.reset.path[0] = /
-
次の行を追加します。
com.sun.identity.agents.config.cookie.reset.name[1] = iPlanetDirectoryPro com.sun.identity.agents.config.cookie.reset.domain[1] = .example.com com.sun.identity.agents.config.cookie.reset.path[1] = /
-
次の行を検索します。
com.sun.identity.agents.config.profile.attribute.fetch.mode = NONE com.sun.identity.agents.config.profile.attribute.mapping[] =
これらの行を次のように編集します。
com.sun.identity.agents.config.profile.attribute.fetch.mode = HTTP_HEADER com.sun.identity.agents.config.profile.attribute.mapping[uid] = sois_user
-
変更を有効にするために、Web サーバーを再起動します。
Access Manager のポリシーの作成
- © 2010, Oracle Corporation and/or its affiliates