AMConfig.properties は、Access Manager のメインの設定ファイルです。一部を除いて、このファイル内のプロパティーを編集することができます。この章では、AMConfig.properties に含まれるプロパティー、デフォルトのプロパティー値、および、Access Manager の動作を妨げることなく変更可能な値の変更方法について説明します。
この章は、次の節で構成されています。
インストールの時点で、AMConfig.properties は etc/opt/SUNWam/config ディレクトリに位置しています。
AMConfig.properties では、1 行につき 1 つのプロパティーが定義され、個々のプロパティーは対応する値を持ちます。プロパティーと値は大文字と小文字が区別されます。スラッシュとアスタリスク (/*) で始まる行はコメントであり、アプリケーションはコメントを無視します。アスタリスクとスラッシュ (*/) で終わる行はコメントの終わりを表します。
AMConfig.properties 内のプロパティーを変更したあとで、変更を有効にするには Access Manager を再起動する必要があります。
com.iplanet.am.console.deploymentDescriptor
値はインストールの間に設定されます。例: /amconsole
com.iplanet.am.console.host
値はインストールの間に設定されます。例: hostName.domain.Name.com
com.iplanet.am.console.port
値はインストールの間に設定されます。例: 80
com.iplanet.am.console.protocol
値はインストールの間に設定されます。例: http
com.iplanet.am.install.basedir
これは読み取り専用のプロパティーです。プロパティー値を変更しないでください。
値はインストールの間に設定されます。例: /opt/SUNWam/web-src/services/WEB-INF
com.iplanet.am.install.vardir
これは読み取り専用のプロパティーです。プロパティー値を変更しないでください。
値はインストールの間に設定されます。例: /var/opt/SUNWam
com.iplanet.am.installdir
これは読み取り専用のプロパティーです。プロパティー値を変更しないでください。
値はインストールの間に設定されます。例: /opt/SUNWam
com.iplanet.am.jdk.path
値はインストールの間に設定されます。例: /usr/jdk/entsys-j2se
com.iplanet.am.locale
値はインストールの間に設定されます。例: en_US
com.iplanet.am.server.host
値はインストールの間に設定されます。例: hostName.domainName.com
com.iplanet.am.server.port
値はインストールの間に設定されます。例: 80
com.iplanet.am.server.protocol
値はインストールの間に設定されます。例: http
com.iplanet.am.version
値はインストールの間に設定されます。例: 7 2005Q4
com.sun.identity.server.fqdnMap[ ]
ユーザーが不正な URL を入力したとき、Access Manager 認証サービスが訂正アクションを実行できるようにします。これはたとえば、保護されたリソースにアクセスするために、ユーザーがホスト名の一部を指定した場合や IP アドレスを使用した場合に役立ちます。
このプロパティーの構文は、対応する有効な名前にマップされた無効な FQDN 値を表します。プロパティーで使用する形式は com.sun.identity.server.fqdnMap[invalid-name]=valid—name です。この例で、invalid-name はユーザーが指定する可能性がある無効な FQDN ホスト名、valid—name はフィルタによってユーザーがリダイレクトされる FQDN ホスト名です。同一の無効 FQDN に対して重複する値が存在すると、アプリケーションがアクセス不可能になる可能性があります。また、このプロパティーで無効な値を使用した場合にも、アプリケーションがアクセス不可能になる可能性があります。このプロパティーを使用して、複数のホスト名をマップできます。これは、サーバー上でホストされるアプリケーションに複数のホスト名でアクセス可能な場合に役立ちます。
このプロパティーを使用して、特定のホスト名 URL に対して訂正アクションが発生しないよう Access Manager を設定できます。これはたとえば、IP アドレスを直接指定してアプリケーションリソースにアクセスするユーザーに対し、リダイレクトなどの訂正アクションを発生させない必要がある場合に役立ちます。
マップエントリは次のように指定できます。com.sun.identity.server.fqdnMap[IP ]=IP
このようなプロパティーは、プロパティー定義が有効であり、ここまでに説明した要件に従っている限りは何個でも指定できます。次に例を示します。 com.sun.identity.server.fqdnMap[isserver]=isserver.mydomain.comcom.sun.identity.server.fqdnMap[isserver.mydomain]=isserver.mydomain.com com.sun.identity.server.fqdnMap[IP address]=isserver.mydomain.com
com.iplanet.am.util.xml.validating
デフォルト値は no です。Access Manager の XMLUtils クラスを使用して XML ドキュメントをパースするときに妥当性検査が必要かどうかを決定します。このプロパティーは、com.iplanet.services.debug.level プロパティーの値が warning または message に設定されているときに限り有効です。指定できる値は yes および no です。XML ドキュメントの妥当性検査は、このプロパティーの値が yes であり、かつ com.iplanet.services.debug.level プロパティーの値が warning または message に設定されている場合にのみ有効になります。
各 SDK キャッシュエントリは、ユーザー用に AMObject 属性値の集合を格納します。
com.iplanet.am.sdk.cache.maxSize
デフォルト値は 10000 です。キャッシュが有効なときの SDK キャッシュのサイズを指定します。1 以上の整数を指定します。それ以外の場合は、デフォルトサイズ (10000 ユーザー) が使用されます。
com.iplanet.am.sdk.userEntryProcessingImpl
このプロパティーは、com.iplanet.am.sdk.AMUserEntryProcessed インタフェースを実装して、ユーザーの作成、削除、および変更操作に対する一部のポストプロセスを実行するプラグインを指定します。このプロパティーを使用する場合は、上のインタフェースを実装する完全修飾クラス名を指定してください。
com.iplanet.am.sdk.caching.enabled
これを true に設定するとキャッシュが有効になり、false に設定するとキャッシュが無効になります。デフォルトは false です。
com.iplanet.am.iASConfig
値はインストールの間に設定されます。例: APPSERVERDEPLOYMENT
このプロパティーは、Access Manager が iPlanet Application Server 上で実行されているかどうかを調べるために使用されます。
com.sun.identity.auth.cookieName
デフォルト値は AMAuthCookie です。認証プロセスの間に認証サービスによって、セッションハンドラ ID を設定される Cookie 名を指定します。このプロセスが成功または失敗して完了すると、この Cookie はクリアまたは消去されます。
com.sun.identity.authentication.ocsp.responder.nickname
値はインストールの間に設定されます。そのレスポンダに対する認証局 (CA) 証明書ニックネーム。例: Certificate Manager - sun。設定する場合、CA 証明書が Web Server の証明書データベースに存在している必要があります。
com.sun.identity.authentication.ocsp.responder.url
値はインストールの間に設定されます。例: http://ocsp.sun.com/ocsp
このインスタンスのグローバル OCSP レスポンダ URL を指定します。OCSP レスポンダ URL を設定する場合、OCSP レスポンダニックネームも設定する必要があります。設定しないと、両方とも無視されます。両方が設定されない場合、ユーザーの証明書で提示された OCSP レスポンダ URL が OCSP 妥当性検査に使用されます。OCSP レスポンダ URL がユーザーの証明書で提示されない場合、OCSP 妥当性検査は実行されません。
com.sun.identity.authentication.ocspCheck
デフォルト値は true です。OCSP チェックを有効または無効にするためのグローバルパラメータ。この値が false の場合、証明書認証モジュールタイプの OCSP 機能は使用できません。
com.sun.identity.authentication.special.users
値はインストールの間に設定されます。例: cn=dsameuser,ou=DSAME Users,o=AMRoot|cn=amService-UrlAccessAgent,ou=DSAME Users,o=AMRoot
この Access Manager 認証コンポーネント用の特別なユーザーを識別します。このユーザーは、完全ユーザー DN を使ったリモートアプリケーション認証を Access Manager サーバーに対して実行するために、クライアント API によって使用されます。ユーザーは常に、ローカルのディレクトリサーバーに対して認証されます。この特別なユーザー DN の値を複数指定する場合は、それぞれパイプ文字 (|) で区切られます。このプロパティーの使用は認証コンポーネントのみに制限されます。
com.sun.identity.authentication.super.user
値はインストールの間に設定されます。例: uid=amAdmin,ou=People,o=AMRoot
この Access Manager インスタンスのスーパーユーザーを識別します。このユーザーはログインに LDAP を使用する必要があり、完全 DN を使用する必要があります。ユーザーは常に、ローカルの Directory Server に対して認証されます。
com.sun.identity.authentication.uniqueCookieDomain
上の Cookie 名に対して Cookie ドメインを設定するために使用されます。この Cookie ドメインは、ネットワークにインストールされた CDC (Cross Domain Controller) サービスのすべてのインスタンスを網羅するように設定することをお勧めします。たとえば、Access Manager のすべてのインスタンスがドメイン example.com の内部にある場合は「.example.com」と設定します。
com.sun.identity.authentication.uniqueCookieName
デフォルト値は sunIdentityServerAuthNServer です。Access Manager がセッション Cookie ハイジャック対策モードで動作しているときに、Access Manager サーバーホスト URL に設定された Cookie 名を指定します。
com.iplanet.am.auth.ldap.createUserAttrList
動的にユーザーを作成するように認証サービスが設定されているときに、LDAP 認証の間に外部 Directory Server から取得される値を含むユーザー属性のリストを指定します。ローカル Directory Server で作成される新しいユーザーには、外部 Directory Server から取得された属性の値が付与されます。
例: attribute1, attribute2, attribute3
これらのプロパティーは、iPlanet Web Server が SSL 用に設定されるときに JSS ソケットファクトリを初期化するために設定します。
com.iplanet.am.admin.cli.certdb.dir
値はインストールの間に設定されます。例: /opt/SUNWwbsvr/alias
証明書データベースのパスを指定します。
com.iplanet.am.admin.cli.certdb.passfile
値はインストールの間に設定されます。例: /etc/opt/SUNWam/config/.wtpass
証明書データベースのパスワードファイルを指定します。
com.iplanet.am.admin.cli.certdb.prefix
値はインストールの間に設定されます。例: https-hostName.domainName.com-hostName-
証明書データベースのプレフィックスを指定します。
com.iplanet.am.cookie.encode
このプロパティーにより、Access Manager は Cookie 値を URLencode でエンコードできます。URLencode は、文字を HTTP で理解できる形式に変換します。
値はインストールの間に設定されます。例: false
com.iplanet.am.cookie.name
デフォルト値は iPlanetDirectoryPro です。有効なセッションハンドラ ID を設定するために認証サービスで使用する Cookie 名。この Cookie 名の値は、有効なセッション情報を取得するために使用されます。
com.iplanet.am.cookie.secure
Access Manager Cookie をセキュリティー保護されたモードで設定できるようにし、HTTP(s) などのセキュリティー保護されたプロトコルが使用されているときにブラウザが Access Manager Cookie だけを返すようにします。
デフォルト値は false です。
com.iplanet.am.console.remote
値はインストールの間に設定されます。例: false
コンソールがリモートマシン上にインストールされるか、あるいはローカルマシン上にインストールされて認証コンソールによって使用されるかを決定します。
com.iplanet.am.pcookie.name
持続 Cookie の Cookie 名を指定します。持続 Cookie は、ブラウザウィンドウが閉じられたあとも存在し続けます。持続 Cookie を有効にすると、ユーザーは再度認証を行わなくても、新しいブラウザセッションにログインできます。デフォルト値は DProPCookie です。
com.sun.identity.cookieRewritingInPath
デフォルト値は true です。このプロパティーは、Access Manager が Cookie なしのモードで動作するように設定されているときに認証サービスによって読み取られます。このプロパティーは、URL 内の追加パス情報として、「protocol://server:port/uri;cookiename=cookieValue?queryString」の形式を使って Cookie を書き換える必要があることを指定します。このプロパティーを指定しない場合、Cookie はクエリー文字列の一部として書き込まれます。
com.sun.identity.enableUniqueSSOTokenCookie
デフォルト値は false です。値が true に設定されているとき、Access Manager がセッション Cookie ハイジャック対策モードで動作していることを示します。
com.iplanet.services.debug.directory
デバッグファイルが作成される出力ディレクトリを指定します。値はインストールの間に設定されます。例: /var/opt/SUNWam/debug
com.iplanet.services.debug.level
デバッグレベルを指定します。デフォルト値は error です。指定できる値は次のとおりです。
デバッグファイルは作成されません。
エラーメッセージだけがログに書き込まれます。
警告メッセージだけがログに書き込まれます。
エラーメッセージ、警告メッセージ、および情報メッセージがログに書き込まれます。
com.iplanet.am.defaultOrg
値はインストール時に設定されます。例: o=AMRoot
Access Manager 情報ツリーにおける最上位のレルムまたは組織を指定します。
com.iplanet.am.directory.host
値はインストールの間に設定されます。例: DirectoryServerHost.domainName.com
Directory Server の完全修飾ホスト名を指定します。
com.iplanet.am.directory.port
値はインストールの間に設定されます。例: 389
Directory Server のポート番号を指定します。
com.iplanet.am.directory.ssl.enabled
デフォルト値は false です。Secure Socket Layer (SSL) が有効かどうかを示します。
com.iplanet.am.domaincomponent
値はインストールの間に設定されます。例: o=AMRoot
Access Manager 情報ツリーのドメインコンポーネント (dc) 属性を指定します。
com.iplanet.am.rootsuffix
値はインストールの間に設定されます。例: o=AMRoot
com.iplanet.am.event.connection.delay.between.retries
デフォルト値は 3000 です。イベントサービス接続を再試行する間隔をミリ秒単位で指定します。
com.iplanet.am.event.connection.ldap.error.codes.retries
デフォルト値は 80,81,91 です。イベントサービス接続の再試行を開始する LDAP 例外エラーコードを指定します。
com.iplanet.am.event.connection.num.retries
デフォルト値は 3 です。イベントサービス接続の再試行回数として許可する回数を指定します。
com.sun.am.event.connection.idle.timeout
デフォルト値は 0 です。持続検索が再開されるまでの時間を分単位で指定します。
このプロパティーは、ポリシーエージェントと Directory Server の間にロードバランサまたはファイアウォールがあり、TCP アイドルタイムアウトの発生時に持続検索接続が切断される場合に使用します。このプロパティーの値は、ロードバランサまたはファイアウォールの TCP タイムアウト時間よりも短く設定することをお勧めします。それにより、接続が切断される前に持続検索が再開することが保証されます。値 0 は、検索が再開されないことを示します。リセットされるのはタイムアウトした接続だけです。
com.iplanet.am.service.secret
値はインストールの間に設定されます。例: AQICPX9e1cxSxB2RSy1WG1+O4msWpt/6djZl
com.iplanet.am.services.deploymentDescriptor
値はインストールの間に設定されます。例: /amserver
com.iplanet.services.comm.server.pllrequest.maxContentLength
デフォルト値は 16384 または 16k です。Access Manager が許容する HttpRequest の最大コンテンツ長を指定します。
com.iplanet.services.configpath
値はインストールの間に設定されます。例: /etc/opt/SUNWam/config
com.iplanet.am.daemons
デフォルト値は unix securid です。
securidHelper.ports
デフォルト値は 58943 です。このプロパティーの値はスペース区切りのリストです。SecurID 認証モジュールおよびヘルパーに対して使用します。
unixHelper.ipaddrs
値はインストールの間に設定されます。amserver スクリプトによって読み込まれ、ヘルパーの起動時に UNIX ヘルパーに渡される IP アドレスのリストを指定します。このプロパティーには、IPv4 形式の信頼 IP アドレスをスペースで区切ったリストを指定できます。
unixHelper.port
デフォルト値は 58946 です。UNIX 認証モジュールタイプで使用されます。
com.sun.identity.federation.alliance.cache.enabled
デフォルト値は true です。true の場合、連携メタデータは内部的にキャッシュされます。
com.sun.identity.federation.fedCookieName
デフォルト値は fedCookie です。連携サービス Cookie の名前を指定します。
com.sun.identity.federation.proxyfinder
デフォルト値は com.sun.identity.federation.services.FSIDPProxyImpl です。プロキシする優先アイデンティティープロバイダを見つけるための実装を定義します。
com.sun.identity.federation.services.signingOn
デフォルト値は false です。Liberty 要求および応答の署名検証のレベルを指定します。
Liberty 要求および応答は送信時に署名され、受け取られた Liberty 要求および応答は署名の有効性が検証されます。
送受信される Liberty 要求および応答の署名の検証は行われません。
Liberty 要求および応答は、連携プロファイルによって要求された場合にのみ署名または検証されます。
com.sun.identity.password.deploymentDescriptor
値はインストールの間に設定されます。例: /ampassword
com.sun.identity.policy.Policy.policy_evaluation_weights
デフォルト値は 10:10:10 です。ポリシーの対象、ルール、および条件を評価するための比例処理コストを示します。指定された値は、ポリシーの対象、ルール、および条件が評価される順序に影響します。値は対象、ルール、および条件に対応する 3 つの整数を使って表されます。値はコロン (:) によって区切られます。区切られた各数値は、ポリシーの対象、ルール、および条件を評価するための比例処理コストを示します。
com.sun.identity.session.application.maxCacheTime
デフォルト値は 3 です。アプリケーションセッションの最長キャッシュ時間を分単位で指定します。デフォルトでは、このプロパティーを有効にしない限り、キャッシュの期限切れはありません。
com.sun.identity.sm.ldap.enableProxy
デフォルト値は false です。接続に使用する Proxy Server を指定します。バックエンドストレージで LDAPProxy がサポートされている場合、true に設定します。true の場合、接続に Proxy Server を使用します。false の場合、接続にプロキシは使用されません。
com.sun.identity.webcontainer
値はインストールの間に設定されます。例: WEB_CONTAINER
Web コンテナの名前を指定します。サーブレットまたは JSP は Web コンテナに依存してはいませんが、Access Manager は Servlet 2.3 API の request.setCharacterEncoding() を使用して、受信した英語以外の文字を正しくデコードします。Access Manager が Sun Java System Web Server 6.1 上に配備される場合、これらの API は機能しません。Access Manager は、Sun Java System Web Server バージョン 6.1 および S1AS7.0 において、gx_charset メカニズムを使用して受信データを正しくデコードします。指定できる値は BEA6.1、BEA 8.1、IBM5.1、または IAS7.0 です。Web コンテナが Sun Java System Web Server の場合、タグは置換されません。
これらのプロパティーは、SSL ApprovalCallback の値を識別します。checkSubjectAltName または resolveIPAddress 機能が有効な場合、com.iplanet.am.admin.cli.certdb.prefix のプレフィックス値を使用して、com.iplanet.am.admin.cli.certdb.dir ディレクトリに cert7.db および key3.db を作成する必要があります。その後、Access Manager を再起動します。
com.iplanet.am.jssproxy.checkSubjectAltName
デフォルト値は false です。このプロパティーを有効にすると、サーバー証明書に対象代替名 (SubjectAltName) 拡張が取り込まれ、Access Manager はこの拡張に含まれるすべての名前エントリを確認します。SubjectAltName 拡張に含まれる名前のいずれかがサーバー FQDN と一致する場合には、Access Manager は SSL ハンドシェークを継続します。このプロパティーを有効にするには、信頼できる FQDN のコンマ区切りのリストにこのプロパティーを設定します。次に例を示します。com.iplanet.am.jssproxy.checkSubjectAltName= amserv1.example.com,amserv2.example.com
com.iplanet.am.jssproxy.resolveIPAddress
デフォルト値は false です。
com.iplanet.am.jssproxy.trustAllServerCerts
デフォルト値は false です。このプロパティーを true に設定すると、Access Manager は名前の競合などの証明書関連の問題をすべて無視し、SSL ハンドシェークを継続します。セキュリティーが低下しないようにするために、このプロパティーを有効にするのは、テストを目的として使用する場合、またはエンタープライズネットワークが厳格に制御されている場合だけにします。セキュリティーが低下する可能性がある場合 (たとえば、あるサーバーが別のネットワークのサーバーに接続する場合) は、このプロパティーを有効にすることは避けてください。
com.iplanet.am.jssproxy.SSLTrustHostList設定された場合、Access Manager は、アクセス対象のサーバーホストに対してプラットフォームサーバーリストを検査します。プラットフォームサーバーリストに含まれる 2 つのサーバーの完全修飾ドメイン名が一致する場合、Access Manager は SSL ハンドシェークを継続します。このプロパティーを設定するには、次の構文を使用します。
com.iplanet.am.jssproxy.SSLTrustHostList = fqdn_am_server1 ,fqdn_am_server2, fqdn_am_server3
com.sun.identity.jss.donotInstallAtHighestPriority
デフォルト値は false です。JSS が最も高い優先度で JCE に追加されるかどうかを決定します。デジタル署名と暗号化にほかの JCE プロバイダを使用することが望ましい場合、true に設定します。
com.iplanet.am.ldap.connection.delay.between.retries
デフォルト値は 1000 です。再試行の間隔をミリ秒単位で指定します。
com.iplanet.am.ldap.connection.ldap.error.codes.retries
デフォルト値は 80,81,91 です。LDAP 接続の再試行を開始する LDAPException エラーコードを指定します。
com.iplanet.am.ldap.connection.num.retries
デフォルト値は 3 です。LDAP 接続の再試行回数として許可する回数を指定します。
com.sun.identity.liberty.interaction.htmlStyleSheetLocation
値はインストールの間に設定されます。例: /opt/SUNWam/lib/is-html.xsl
対話ページを HTML で描画するスタイルシートのパスを指定します。
com.sun.identity.liberty.interaction.wmlStyleSheetLocation
値はインストールの間に設定されます。例: /opt/SUNWam/lib/is-wml.xsl
対話ページを WML で描画するスタイルシートのパスを指定します。
com.sun.identity.liberty.interaction.wscSpecifiedInteractionChoice
デフォルト値は interactIfNeeded です。Web サービスコンシューマが対話に参加するかどうかを示します。指定できる値は次のとおりです。
必要な場合にのみ対話します。無効な値が指定された場合にも使用されます。
対話しません。
データの場合は対話しません。
com.sun.identity.liberty.interaction.wscSpecifiedMaxInteractionTime
デフォルト値は 80 です。許容可能な対話の持続期間に関する、Web サービスコンシューマの設定。値は秒単位で表されます。値が指定されないか、整数以外の値が指定された場合、デフォルト値が使用されます。
com.sun.identity.liberty.interaction.wscWillEnforceHttpsCheck
デフォルト値は yes です。URL にリダイレクトされる要求が HTTPS を使用するという要件を、Web サービスコンシューマが強制するかどうかを示します。有効な値は yes および no です。大文字と小文字は区別されません。Liberty 仕様に従う場合、値 yes を指定する必要があります。値を指定しない場合、デフォルト値が使用されます。
com.sun.identity.liberty.interaction.wscWillInlcudeUserInteractionHeader
デフォルト値は yes です。値を指定しない場合、デフォルト値が使用されます。Web サービスコンシューマが userInteractionHeader をインクルードするかどうかを示します。指定できる値は yes および no です。大文字と小文字は区別されません。
com.sun.identity.liberty.interaction.wscWillRedirect
デフォルト値は yes です。Web サービスコンシューマが、対話のためにユーザーをリダイレクトするかどうかを示します。有効な値は yes および no です。値を指定しない場合、デフォルト値が使用されます。
com.sun.identity.liberty.interaction.wspRedirectHandler
値はインストールの間に設定されます。例: http://hostName.domainName.com:portNumber/amserver/WSPRedirectHandler
ユーザーエージェントのリダイレクトに基づいて Liberty WSF WSP リソース所有者対話を処理するために WSPRedirectHandlerServlet が使用する URL を指定します。これは通常、Liberty サービスプロバイダが動作しているのと同じ JVM 内で動作しています。
com.sun.identity.liberty.interaction.wspRedirectTime
デフォルトは 30 です。Web サービスプロバイダの対話の予測期間です。単位は秒です。値が指定されないか、整数以外の値が指定された場合、デフォルト値が使用されます。
com.sun.identity.liberty.interaction.wspWillEnforceHttpsCheck
デフォルト値は yes です。値を指定しない場合、デフォルト値が使用されます。returnToURL が HTTPS を使用するという要件を、Web サービスコンシューマが強制するかどうかを示します。有効な値は yes および no です。大文字と小文字は区別されません。Liberty 仕様に従う場合、値 yes を指定する必要があります。
com.sun.identity.liberty.interaction.
wspWillEnforceReturnToHostEqualsRequestHost
Liberty 仕様に従う場合、値 yes を指定する必要があります。returnToHost と requestHost が一致することを Web サービスコンシューマが強制するかどうかを示します。有効な値は yes および no です。
com.sun.identity.liberty.interaction.wspWillRedirect
デフォルトは yes です。値を指定しない場合、デフォルト値が使用されます。Web サービスプロバイダが、対話のためにユーザーをリダイレクトするかどうかを示します。有効な値は yes および no です。大文字と小文字は区別されません。
com.sun.identity.liberty.interaction.wspWillRedirectForData
デフォルト値は yes です。値を指定しない場合、デフォルト値が使用されます。Web サービスプロバイダが、データの対話のためにユーザーをリダイレクトするかどうかを示します。有効な値は yes および no です。大文字と小文字は区別されません。
com.sun.identity.liberty.ws.interaction.enable
デフォルト値は false です。
com.sun.identity.liberty.ws.jaxb.namespacePrefixMappingList
デフォルト値は
=S=http://schemas.xmlsoap.org/soap/envelope/|sb=urn:liberty:sb:2003-08 |pp=urn:liberty:id-sis-pp:2003-08|ispp=http://www.sun.com/identity/ liberty/pp|is=urn:liberty:is:2003-08 |
です。JAXB コンテンツツリーを DOM ツリーに整列化するときに使用されるネームスペースプレフィックスマッピングを指定します。構文は「prefix=namespace|prefix=namespace|...」です。
com.sun.identity.liberty.ws.jaxb.packageList
JAXBContext の構築時に使用される JAXB パッケージリストを指定します。各パッケージはコロン (:) で区切る必要があります。
com.sun.identity.liberty.ws.security.TokenProviderImpl
デフォルト値は com.sun.identity.liberty.ws.security.AMSecurityTokenProviderDescription です。
com.sun.identity.liberty.ws.soap.certalias
値はインストールの間に設定されます。Liberty SOAP バインディングのための SSL 接続で使用されるクライアント証明書エイリアス。
com.sun.identity.liberty.ws.soap.messageIDCacheCleanupInterval
デフォルト値は 60000 です。キャッシュクリーンアップイベントが開始するまでの経過時間をミリ秒単位で指定します。個々のメッセージは、メッセージの重複を避けるために個別の messageID を付与されてキャッシュに格納されます。受信時点からのメッセージの経過時間が staleTimeLimit の値を超えると、メッセージはキャッシュから削除されます。
com.sun.identity.liberty.ws.soap.staleTimeLimit
デフォルト値は 300000 です。メッセージが期限切れでもう信頼できないかどうかを決定します。メッセージのタイムスタンプを現在のタイムスタンプと比較して、ここで指定されたミリ秒単位の時間を超えて古い場合、メッセージは期限切れと判定されます。
com.sun.identity.liberty.ws.soap.supportedActors
デフォルト値は http://schemas.xmlsoap.org/soap/actor/next です。サポートされる SOAP アクターを指定します。個々のアクターはパイプ文字 (|) で区切る必要があります。
com.sun.identity.liberty.ws.ta.certalias
値はインストールの間に設定されます。SAML または応答メッセージの SAML ベアラー (BEARER) トークンに署名するために使用される、信頼できる発行局の証明書エイリアスを指定します。
com.sun.identity.liberty.ws.wsc.certalias
値はインストールの間に設定されます。この Web サービスクライアントに対して Web サービスセキュリティートークンを発行するためのデフォルトの証明書エイリアスを指定します。
com.sun.identity.liberty.ws.ta.certalias
値はインストールの間に設定されます。SAML または応答メッセージの SAML ベアラー (BEARER) トークンに署名するために使用される、信頼できる発行局の証明書エイリアスを指定します。
com.sun.identity.liberty.ws.trustedca.certaliases
値はインストールの間に設定されます。
信頼できる CA の証明書エイリアスを指定します。受信する要求の SAML または SAML ベアラー (BEARER) トークン。メッセージはこのリスト内の信頼 CA によって署名される必要があります。構文は次のとおりです。 cert alias 1[:issuer 1 ]|cert alias 2[: issuer 2]|....例: myalias1:myissuer1|myalias2|myalias3:myissuer3値 issuer は、トークンが署名の内部に KeyInfo を持たないときに使用されます。トークンの発行者がこのリストに存在している必要があり、署名の検証には対応する証明書エイリアスが使用されます。KeyInfo が存在する場合、KeyInfo が一致する証明書エイリアスがキーストアに含まれている必要があり、証明書エイリアスがこのリストに存在する必要があります。
com.sun.identity.liberty.ws.security.TokenProviderImpl
値はインストールの間に設定されます。セキュリティートークンプロバイダの実装を指定します。
com.sun.identity.saml.removeassertion
デフォルト値は true です。参照解除された表明をキャッシュから削除するかどうかを示すフラグ。作成されてアーティファクトと関連付けられ、参照解除されている表明に適用されます。
com.iplanet.am.logstatus
ログを記録する (ACTIVE) か、記録しない (INACTIVE) かを指定します。値はインストールの間に ACTIVE に設定されます。
特定のログファイルに記録するログの詳細レベルは、AMConfig.properties ファイルに属性を追加することで設定できます。次の形式を使用します。
iplanet-am-logging.logfileName .level=java.util.logging.Level。logfileName は Access Manager サービスのログファイルの名前 (表1 を参照)、java.util.logging.Level は設定する属性値です。Access Manager サービスでは、INFO レベルでログが記録されます。SAML サービスおよびアイデンティティー連携サービスでは、より詳細なレベル (FINE、FINER、FINEST) でログを記録することもできます。例:
iplanet-am-logging.amSSO.access.level=FINER
特定のログファイルへのログの記録を無効にすることもできます。例:
iplanet-am-logging.amConsole.access.evel=OFF
表 A–1 Access Manager のログファイル
ログファイル名 |
記録されるログ |
---|---|
amAdmin.access |
成功した amadmin コマンド行イベント |
amAdmin.error |
amadmin コマンド行のエラーイベント |
amAuthLog.access |
Access Manager ポリシーエージェント関連のイベント。この表に続く注を参照してください。 |
amAuthentication.access |
成功した認証イベント |
amAuthentication.error |
認証の失敗 |
amConsole.access |
コンソールイベント |
amConsole.error |
コンソールエラーイベント |
amFederation.access |
成功した連携イベント |
amFederation.error |
連携エラーイベント |
amPolicy.access |
ポリシー許可の格納イベント |
amPolicy.error |
ポリシー拒否の格納イベント |
amSAML.access |
成功した SAML イベント |
amSAML.error |
SAML エラーイベント |
amLiberty.access |
成功した Liberty イベント |
amLiberty.error |
Liberty エラーイベント |
amSSO.access |
シングルサインオンの作成と破棄 |
amSSO.error |
シングルサインオンエラーイベント |
amAuthLog ファイルの名前は、AMAgent.properties のポリシーエージェントプロパティーによって決まります。Web ポリシーエージェントのプロパティーは、com.sun.am.policy.agents.config.remote.log です。J2EE ポリシーエージェントのプロパティーは、com.sun.identity.agents.config.remote.logfile です。デフォルトは amAuthLog.host.domain.port です。host.domain はポリシーエージェント Web サーバーを実行するホストの完全修飾ホスト名、port はその Web サーバーのポート番号です。複数のポリシーエージェントを配備している場合は、このファイルの複数のインスタンスを作成できます。Web エージェントおよび J2EE エージェントの場合には、com.sun.identity.agents.config.audit.accesstype プロパティーによって、どのデータのログをネットワーク経由で記録するが決まります。たとえば、ポリシー許可だけ、ポリシー拒否だけ、またはポリシー許可とポリシー拒否の両方を記録することができます。また、ポリシー許可およびポリシー拒否の両方を記録しないこともできます。
com.iplanet.am.naming.failover.url
このプロパティーは Access Manager 7.0 では使用されなくなりました。
com.iplanet.am.naming.url
値はインストールの間に設定されます。例: http://hostName.domainName.com:portNumber/amserver/namingservice
使用するネームサービス URL を指定します。
通知スレッドプールを設定するには、次のキーを使用します。
com.iplanet.am.notification.threadpool.size
デフォルト値は 10 です。スレッドの総数を指定することによって、プールのサイズを定義します。
com.iplanet.am.notification.threadpool.threshold
デフォルト値は 100 です。タスクキューの最大の長さを指定します。
到着した通知タスクは処理のためにタスクキューに送られます。キューが最大の長さに達すると、キューに空きができるまで以後の着信要求は拒絶され、ThreadPoolException が返されます。
com.iplanet.am.notification.url
値はインストールの間に設定されます。例: http://hostName.domainName.com:portNumber/amserver/notificationservice
com.iplanet.am.policy.agents.url.deploymentDescriptor
値はインストールの間に設定されます。例: AGENT_DEPLOY_URI
com.sun.identity.agents.app.username
デフォルト値は UrlAccessAgent です。アプリケーション認証モジュールで使用するユーザー名を指定します。
com.sun.identity.agents.cache.size
デフォルト値は 1000 です。リソース結果キャッシュのサイズを指定します。キャッシュはポリシーエージェントがインストールされたサーバー上に作成されます。
com.sun.identity.agents.header.attributes
デフォルト値は「cn,ou,o,mail,employeenumber,c」です。ポリシー評価によって返されるポリシー属性を指定します。 a[,...] の形式を使用します。この例で、a はフェッチされるデータストア内の属性です。
com.sun.identity.agents.logging.level
デフォルト値は NONE です。ポリシークライアント API のログレベルの詳細度を制御します。デフォルト値は NONE です。指定できる値は次のとおりです。
アクセスが許可された要求をログに記録します。
アクセスが拒否された要求をログに記録します。
アクセスが許可された要求とアクセスが拒否された要求の両方をログに記録します。
要求をログに記録しません。
com.sun.identity.agents.notification.enabled
デフォルト値は false です。ポリシークライアント API の通知を有効または無効にします。
com.sun.identity.agents.notification.url
ポリシークライアント SDK がポリシー変更通知を登録するために使用します。このプロパティーを正しく設定しないと、ポリシー通知が無効になります。
com.sun.identity.agents.polling.interval
デフォルト値は 3 です。この時間の経過後にエントリがクライアント API キャッシュから削除されるポーリング間隔を分単位で指定します。
com.sun.identity.agents.resource.caseSensitive
デフォルト値は false です。
ポリシー評価の間に大文字と小文字の区別を有効にするか無効にするかを指定します。
com.sun.identity.agents.true.value
ポリシーアクションの true 値を示します。アプリケーションが PolicyEvaluator.isAllowed メソッドにアクセスする必要がない場合、この値は無視できます。この値によって、Access Manager が決定したポリシーをどのように解釈するかが決まります。デフォルト値は allow です。
com.sun.identity.agents.resource.comparator.class
デフォルト値は com.sun.identity.policy.plugins.URLResourceName です。
リソース比較クラス名を指定します。指定できる実装クラスは、com.sun.identity.policy.plugins.PrefixResourceName および com.sun.identity.policy.plugins.URLResourceName です。
com.sun.identity.agents.resource.delimiter
デフォルト値はバックスラッシュ (/) です。リソース名の区切り文字を指定します。
com.sun.identity.agents.resource.wildcard
デフォルト値は * です。リソース名のワイルドカードを指定します。
com.sun.identity.agents.server.log.file.name
デフォルト値は amRemotePolicyLog です。Access Manager へのメッセージをログに記録するために使用するログファイルの名前を指定します。ファイルの名前だけが必要です。ファイルのディレクトリ名は、ほかの Access Manager 設定によって決定されます。
com.sun.identity.agents.use.wildcard
デフォルト値は true です。リソース名比較にワイルドカードを使用するかどうかを示します。
com.sun.identity.policy.client.booleanActionValues
iPlanetAMWebAgentService|POST|allow|deny
デフォルト値は iPlanetAMWebAgentService|GET|allow|deny: です。
ポリシーアクション名に対するブール型のアクション値を指定します。serviceName|actionName|trueValue|falseValue の形式を使用します。アクション名の値はコロン (:) で区切られます。
com.sun.identity.policy.client.cacheMode
デフォルト値は self です。クライアントポリシー評価のキャッシュモードを指定します。有効な値は subtree および self です。subtree に設定した場合、ポリシー評価は、実際に要求されたリソースのルートからのすべてのリソースについて、サーバーからポリシー決定を取得します。self に設定した場合、ポリシー評価は、実際に要求されたリソースのみについて、サーバーからポリシー決定を取得します。
com.sun.identity.policy.client.clockSkew
ポリシークライアントマシンとポリシーサーバーの間の時刻のずれを調整します。このプロパティーが存在せず、ポリシーエージェントの時刻がポリシーサーバーの時刻と異なる場合、誤ったポリシー決定が取得される場合があります。時刻同期サービスを実行して、ポリシーサーバーとポリシークライアントの時刻をできるだけ一致させる必要があります。このプロパティーは、時刻同期サービスの実行とは無関係に小さな時刻のずれの調整を行うために使用します。ポリシーエージェントの時刻からポリシーサーバーの時刻を引いた値を秒単位で指定します。ポリシーサーバー上でプロパティーをコメントアウトします。ポリシークライアントマシンまたはポリシーエージェントを実行しているマシン上で、行のコメントアウトを解除し、適切な値 (エージェントとサーバのクロック差、秒単位) を設定します。
com.sun.identity.policy.client.resourceComparators=
serviceType=iPlanetAMWebAgentService|class=
異なるサービス名に対して使用される ResourceComparators を指定します。Access Manager コンソールから値をコピーします。「サービス設定」、「ポリシー設定」、「グローバル: リソースコンパレータ」の順に選択します。Access Managerからの複数の値は、区切り文字としてコロン (:) を使って連結します。
com.sun.identity.policy.plugins.URLResourceName|wildcard
デフォルト値は *|delimiter=/|caseSensitive=trueDescription です。
com.iplanet.am.profile.host
このプロパティーは Access Manager 7 では使用されなくなりました。下位互換性のためにのみ提供されています。値はインストールの間に設定されます。例: hostName.domainName.com
com.iplanet.am.profile.port
このプロパティーは Access Manager 7 では使用されなくなりました。下位互換性のためにのみ提供されています。値はインストールの間に設定されます。例: 80
レプリケーションの設定には次のキーを使用します。
com.iplanet.am.replica.delay.between.retries
デフォルト値は 1000 です。再試行間隔をミリ秒単位で指定します。
com.iplanet.am.replica.num.retries
デフォルト値は 0 です。再試行の回数を指定します。
com.sun.identity.saml.assertion.version
デフォルト値は 1.1 です。使用するデフォルトの SAML バージョンを指定します。指定できる値は 1.0 または 1.1 です。
com.sun.identity.saml.checkcert
デフォルト値は on です。KeyInfo に埋め込まれた証明書を、キーストア内の証明書と照合チェックするためのフラグ。キーストア内の証明書は、com.sun.identity.saml.xmlsig.keystore プロパティーによって指定されます。指定できる値は次のとおりです。on または off です。フラグが「on」の場合、*XML 署名検証のために*証明書がキーストア内に存在する必要があります。フラグが「off」の場合、*存在チェックをスキップします。*/
XML 署名検証のために、証明書がキーストア内に存在する必要があります。
存在チェックを無視します。
com.sun.identity.saml.protocol.version
デフォルト値は 1.1 です。使用するデフォルトの SAML バージョンを指定します。指定できる値は 1.0 または 1.1 です。
com.sun.identity.saml.removeassertion
com.sun.identity.saml.request.maxContentLength
デフォルト値は 16384 です。SAML で使用される HTTP Request の最大コンテンツ長を指定します。
com.sun.identity.saml.xmlsig.certalias
デフォルト値は test です。
com.sun.identity.saml.xmlsig.keypass
値はインストールの間に設定されます。例: /etc/opt/SUNWam/config/.keypass
SAML XML キーパスワードファイルのパスを指定します。
com.sun.identity.saml.xmlsig.keystore
値はインストールの間に設定されます。例: /etc/opt/SUNWam/config/keystore.jks
SAML XML キーストアパスワードファイルのパスを指定します。
com.sun.identity.saml.xmlsig.storepass
値はインストールの間に設定されます。例: /etc/opt/SUNWam/config/.storepass
SAML XML キーストアパスファイルのパスを指定します。
com.iplanet.security.encryptor
デフォルト値は com.iplanet.services.util.JSSEncryption です。暗号化クラス実装を指定します。指定できるクラスは com.iplanet.services.util.JCEEncryption および com.iplanet.services です。util.JSSEncryption.
com.iplanet.security.SecureRandomFactoryImpl
デフォルト値は com.iplanet.am.util.JSSSecureRandomFactoryImpl です。SecureRandomFactory のファクトリクラス名を指定します。指定できる実装クラスは com.iplanet.am.util.JSSSecureRandomFactoryImpl (JSS を使用する) および com.iplanet.am.util.SecureRandomFactoryImpl (ピュア Java を使用する) です。
com.iplanet.security.SSLSocketFactoryImpl
デフォルト値は com.iplanet.services.ldap.JSSSocketFactory です。LDAPSocketFactory のファクトリクラス名を指定します。指定できるクラスは com.iplanet.services.ldap.JSSSocketFactory (JSS を使用する) および netscape.ldap.factory.JSSESocketFactory (ピュア Java を使用する) です。
com.sun.identity.security.checkcaller
デフォルト値は false です。Access Manager に対し、Java セキュリティーマネージャーのアクセス権チェックを有効または無効にします。デフォルトでは無効です。有効にした場合、Access Manager が配備されたコンテナの Java ポリシーファイルに適切な変更を行う必要があります。これにより、Access Manager の JAR ファイルに、重要な操作を実行するための信頼を付与することができます。詳細は、com.sun.identity.security についての Java API リファレンス (Javadoc) エントリを参照してください。
am.encryption.pwd
値はインストールの間に設定されます。例: dSB9LkwPCSoXfIKHVMhIt3bKgibtsggd
パスワードを暗号化および復号化するために使用されるキーを指定します。
com.iplanet.am.clientIPCheckEnabled
デフォルト値は false です。すべての SSOToken の作成または検証において、クライアントの IP アドレスがチェックされるかどうかを指定します。
com.iplanet.am.session.client.polling.enable
これは読み取り専用のプロパティーです。プロパティー値を変更しないでください。
デフォルト値は false です。クライアント側セッションのポーリングを有効にします。セッションポーリングモードとセッション通知モードは同時に有効にできません。ポーリングモードが有効になっている場合は、セッション通知が自動的に無効になります。セッション通知が有効になっている場合は、ポーリングモードが自動的に無効になります。
com.iplanet.am.session.client.polling.period
デフォルト値は 180 です。ポーリング期間を秒単位で指定します。
com.iplanet.am.session.httpSession.enabled
デフォルト値は true です。httpSession の使用を有効または無効にします。
com.iplanet.am.session.invalidsessionmaxtime
デフォルト値は 10 です。セッションが作成されてユーザーがログインしなくなった場合に、その無効なセッションがセッションテーブルから消去されるまでの時間を分単位で指定します。この値は、認証モジュールのプロパティーファイル内のタイムアウト値よりも常に大きくすることをお勧めします。
com.iplanet.am.session.maxSessions
デフォルト値は 5000 です。同時セッションの最大許容数を指定します。
最大同時セッションの値がこの数値を超えた場合、ログインは最大セッションエラーを送出します。
com.iplanet.am.session.purgedelay
デフォルト値は 60 です。パージセッション操作を遅延する時間を分単位で指定します。
これは、セッションのタイムアウト後に、セッションがセッションサーバー内にとどまり続ける延長時間です。このプロパティーは、セッションがタイムアウトしたかどうかをチェックするために、SSO API 経由でクライアントアプリケーションによって使用されます。この延長期間が終了すると、セッションは破棄されます。ユーザーがログアウトする、またはセッションが Access Manager コンポーネントによって明示的に破棄される場合、セッションは延長期間の間保持されません。この延長期間の間、セッションは INVALID 状態です。
com.sun.am.session.caseInsensitiveDN
デフォルト値は true です。エージェント DN を比較します。値が false の場合、比較は大文字と小文字を区別します。
com.sun.am.session.enableHostLookUp
デフォルト値は false です。セッションロギングの間のホスト名解決を有効または無効にします。
com.iplanet.am.smtphost
デフォルト値は localhost です。メールサーバーホストを指定します。
com.iplanet.am.smtpport
デフォルト値は 25 です。メールサーバーポートを指定します。
com.iplanet.am.stats.interval
デフォルト値は 60 です。統計ロギングの間隔を秒単位で指定します。最小値は 5 秒で、これは CPU の飽和状態を回避するための設定です。5 秒未満の値が指定された場合、Access Manager はこの値を 5 秒と認識します。
com.iplanet.services.stats.directory
値はインストールの間に設定されます。例: /var/opt/SUNWam/stats デバッグファイルが作成されるディレクトリを指定します。
com.iplanet.services.stats.state
デフォルト値は file です。統計ログの場所を指定します。指定できる値は次のとおりです。
統計はログに記録されません。
統計は指定されたディレクトリ下のファイルに書き込まれます。
統計は Web Server のログファイルに書き込まれます。