これは『Sun Java System Access ManagerTM 7 2005Q4 管理ガイド』の第 1 部です。Access Manager のインストール後に実行できる設定オプションについて説明します。次の章で構成されています。
この章では、amconfig スクリプトとサイレントモード入力ファイルのサンプル (amsamplesilent) を使って Sun JavaTM System Access Manager を設定および配備する方法について説明します。内容は次のとおりです。
新たにインストールする場合は、Sun Java Enterprise System (Java ES) インストーラを実行して、常に Access Manager 7 2005Q4 の最初のインスタンスをインストールします。インストーラを実行すると、Access Manager の設定オプションから次のうちどちらかを選択できます。
「今すぐ設定」オプションでは、Access Manager インストールパネル上で選択した内容 (またはデフォルトの内容) で、インストール中に最初のインスタンスを設定します。
「あとで設定」オプションでは、Access Manager 7 2005Q4 のコンポーネントをインストールしたあと、インストール後にそれらを手動で設定するか、「Access Manager のインスタンスの設定と再設定」の説明に従って Access Manager スクリプトを実行する必要があります。このオプションを選択すると、現在インストールしている製品はどれも設定されません。たとえば、Access Manager と Application Server のインストールを選択し、「あとで設定」オプションを選択すると、どちらのアプリケーションも設定されません。
Access Manager Web コンテナとして BEA WebLogic または IBM WebSphere Application Server をインストールしている場合、Access Manager のインストール時に「あとで設定」オプションを選択する必要があります。詳細については、第 2 章「サードパーティー Web コンテナのインストールと設定」を参照してください。
インストーラの詳細については、『Sun Java Enterprise System 2005Q4 Installation Guide for UNIX』 を参照してください。
Java Enterprise System インストーラは、Access Manager 7 2005Q4 の amconfig スクリプトとサンプルのサイレントモード入力ファイル (amsamplesilent) を、Solaris システムの場合は AccessManager-base /SUNWam/bin ディレクトリに、Linux システムの場合は AccessManager-base/identity/bin ディレクトリに、それぞれインストールします。
AccessManager-base は、Access Manager のベースインストールディレクトリを表します。デフォルトのベースインストールディレクトリは、Solaris システムでは /opt であり、Linux システムでは /opt/sun となります。しかし、インストーラを実行する際、必要に応じて別のディレクトリを指定することもできます。
amconfig スクリプトは最上位レベルのスクリプトで、要求された処理を実行する際、必要に応じてほかのスクリプトを呼び出します。詳細については、「Access Manager の amconfig スクリプト」を参照してください。
サンプルの設定スクリプト入力ファイル (amsamplesilent) は、amconfig スクリプトをサイレントモードで実行するときに指定する必要がある入力ファイルの作成に使用できるテンプレートです。
このサンプルの設定スクリプト入力ファイルは、Access Manager の設定変数を格納した ASCII テキストファイルです。amconfig スクリプトを実行する前に、amsamplesilent ファイルをコピー (および、必要に応じて名前を変更) し、各自のシステム環境に基づいてファイル内の変数を編集します。設定変数は次のような構成になっています。
変数名=値
次に例を示します。
DEPLOY_LEVEL=1 NEW_INSTANCE=true SERVER_HOST=ishost.example.com
設定スクリプト入力ファイルで設定できる変数のリストについては、「Access Manager の設定スクリプト入力ファイルのサンプル」を参照してください。
amconfig スクリプトをサイレントモードで実行するときに使用するサンプルの設定スクリプト入力ファイルの形式は、Java Enterprise System のサイレントインストールの状態ファイルの形式には従わず、また必ずしも同じ変数名を使用するとは限りません。このファイルには、管理者パスワードなどの機密データが含まれています。このファイルは、必要に応じてセキュリティー保護するか、削除してください。
Sun Java Enterprise System インストーラを使用して Access Manager の最初のインスタンスをインストールしたあと、amconfig スクリプトを実行して、サイレントモード入力ファイル内の変数の値に応じた次の操作を行うことができます。
Access Manager の最初のインスタンスを配備し設定します。または、同じホストシステム上に Access Manager の追加インスタンスを配備し設定します。たとえば、Web コンテナの追加のインスタンスを設定したあと、その Web コンテナのインスタンス用の新しい Access Manager インスタンスの配備と設定ができます。
Access Manager の最初のインスタンスと、すべての追加インスタンスの両方を再設定します。
Access Manager のすべてのサーバーサービスまたは SDK サービスのみを配備し設定します。これにより、次の製品に対するサポートを有効にします。
amconfig スクリプトを使って配備した Access Manager のインスタンスやコンポーネントをアンインストールします。
Java Enterprise System インストーラの実行後は、Access Manager の設定スクリプト入力ファイルのサンプル (amsamplesilent) が、Solaris システムでは AccessManager-base/SUNWam/bin ディレクトリに、Linux システムでは AccessManager-base/identity/bin ディレクトリにあります。
設定変数を設定するには、まず、amsamplesilent ファイルをコピーしてファイル名を変更します。次に、コピーしたファイル内の変数を、実行したい処理に合わせて変更します。このファイルの例については、「設定スクリプト入力ファイルの例」を参照してください。
このサイレントモード入力ファイルのサンプルには、次のような設定変数があります。
この節では、必要な DEPLOY_LEVEL 変数の値を説明しています。この変数は、amconfig スクリプトが実行する処理を規定します。
表 1–1 Access Manager DEPLOY_LEVEL 変数
処理 |
DEPLOY_LEVEL 変数の値と説明 |
---|---|
インストール |
1 = 新しいインスタンスに対して、Access Manager を完全インストール (デフォルト) 2 = Access Manager のコンソールのみをインストール 3 = Access Manager SDK コンソールのみをインストール 4 = SDK のみをインストールし、コンテナを設定 5 = 連携管理モジュールのみをインストール 6 = サーバーのみをインストール 7 = Access Manager をインストールし、Portal Server とともに配備するようにコンテナを設定 注意: DEPLOY_MODE=7 は、Access Manager を Portal Server とともに配備する場合にのみ使用します。 配備方法によっては、異なる Web コンテナを使用して、1 つのホストサーバー上にコンソールのみ、またはサーバーのみをインストールした方がよいことがあります。最初に Java ES インストーラを実行して、「あとで設定」オプションを使用してすべての Access Manager サブコンポーネントをインストールします。次に、amconfig スクリプトを実行してコンソールとサーバーのインスタンスを設定します。 |
アンインストール (設定解除) |
11 = 完全にアンインストール 12 = コンソールのみをアンインストール 13 = SDK のみをアンインストール 14 = SDK のみをアンインストールし、コンテナの設定を解除 15 = 連携管理をアンインストール 16 = サーバーのみをアンインストール 17 = Portal Server とともに配備されている場合、Access Manager をアンインストールし、コンテナの設定を解除 注意: DEPLOY_MODE=17 は、Access Manager が Portal Server とともに配備されている場合にのみ使用します。 |
再インストール (再配備または再設定とも呼ぶ) |
21 = すべての (コンソール、パスワード、サービス、共通) Web アプリケーションを再配備します。 26 = すべての (コンソール、パスワード、サービス、共通) Web アプリケーションの配備を取り消します。 |
この節では、Access Manager の設定変数について説明します。
表 1–2 Access Manager の設定変数
Access Manager 用の Web コンテナを指定するには、サイレントモード入力ファイル内の WEB_CONTAINER 変数を設定します。Access Manager 7 2005Q4 によってサポートされる Web コンテナのバージョンについては、『Sun Java System Access Manager 7 2005Q4 リリースノート』を参照してください。
表 1–3 Access Manager WEB_CONTAINER 変数
値 |
Web コンテナ |
---|---|
WS6 (デフォルト) | |
AS8 | |
WL8 | |
WAS5 |
この節では、サイレントモード入力ファイル内の Web Server 6.1 2005Q4 SP5 用設定変数について説明しています。
表 1–4 Web Server 6.1 設定変数
変数 |
説明 |
---|---|
WS61_INSTANCE |
Access Manager が配備される、または配備解除される Web Server インスタンス名。 デフォルト: https-web-server-instance-name ここで web-server-instance-name は Access Manager ホスト (「Access Manager の設定変数」で説明されている変数) を表します。 |
WS61_HOME |
Web Server のベースインストールディレクトリ。 デフォルト: /opt/SUNWwbsvr |
WS61_PROTOCOL |
「Sun Java System Web Server 6.1 SP5」 で説明されている変数によって設定され、Access Manager が配備される Web Server インスタンスが使用するプロトコル: http または https。 デフォルト: Access Manager プロトコル (「Access Manager の設定変数」で説明されている変数) |
WS61_HOST |
Web Server インスタンス (「Sun Java System Web Server 6.1 SP5」 で説明されている変数) 用の完全修飾ホスト名。 デフォルト: Access Manager ホストインスタンス (「Access Manager の設定変数」で説明されている変数) |
WS61_PORT |
Web Server が接続を待機しているポート。 デフォルト: Access Manager ポート番号 (「Access Manager の設定変数」で説明されている変数) |
WS61_ADMINPORT |
Web Server 管理サーバー が接続を待機しているポート。 デフォルト: 8888 |
WS61_ADMIN |
Web Server 管理者のユーザー ID。 デフォルト: "admin" |
この節では、サイレントモード入力ファイル内の Application Server 8.1 用設定変数について説明しています。
表 1–5 Application Server 8.1 の設定変数
変数 |
説明 |
---|---|
AS81_HOME |
Application Server 8.1 がインストールされているディレクトリへのパス。 デフォルト: /opt/SUNWappserver/appserver |
AS81_PROTOCOL |
Application Server インスタンスによって使用されるプロトコル: http または https。 デフォルト: Access Manager プロトコル (「Access Manager の設定変数」で説明されている変数) |
AS81_HOST |
Application Server インスタンスが接続を待機している完全修飾ドメイン名 (FQDN)。 デフォルト: Access Manager ホスト (「Access Manager の設定変数」で説明されている変数) |
AS81_PORT |
Application Server インスタンスが接続を待機しているポート。 デフォルト: Access Manager ポート番号 (「Access Manager の設定変数」で説明されている変数) |
AS81_ADMINPORT |
Application Server 管理サーバー が接続を待機しているポート。 デフォルト: 4849 |
AS81_ADMIN |
Application Server が表示されているドメインでの Application Server 管理サーバーの管理者の名前。 デフォルト: admin |
AS81_ADMINPASSWD |
Application Server が表示されているドメインでの Application Server の管理者パスワード。 25 ページから始まる「Access Manager の設定変数」の ADMINPASSWD の説明の中の、特殊文字に関する注記を参照してください。 |
AS81_INSTANCE |
Access Manager を実行する Application Server インスタンスの名前。 デフォルト: server |
AS81_DOMAIN |
この Access Manager インスタンスを配備したいドメインに対する Application Server ディレクトリへのパス。 デフォルト: domain1 |
AS81_INSTANCE_DIR |
Application Server が、インスタンス用のファイルを保存するディレクトリへのパス。 デフォルト: /var/opt/SUNWappserver/domains/domain1 |
AS81_DOCS_DIR |
Application Server がコンテンツ文書を保存するディレクトリ。 デフォルト: /var/opt/SUNWappserver/domains/domain1/docroot |
AS81_ADMIN_IS_SECURE |
Application Server 管理インスタンスが SSL を使用しているかどうかを指定します。
|
この節では、サイレントモード入力ファイル内の BEA WebLogic Server 8.1 用設定変数について説明しています。
表 1–6 BEA WebLogic Server 8.1 設定変数
変数 |
説明 |
---|---|
WL8_HOME |
WebLogic のホームディレクトリ。デフォルト: /usr/local/bea |
WL8_PROJECT_DIR |
WebLogic プロジェクトディレクトリ。デフォルト: user_projects |
WL8_DOMAIN |
WebLogic ドメイン名。デフォルト: mydomain |
WL8_SERVER |
WebLogic サーバー名。デフォルト: myserver |
WL8_INSTANCE |
WebLogic インスタンス名。デフォルト: /usr/local/bea/weblogic81 ($WL8_HOME/weblogic81) |
WL8_PROTOCOL |
WebLogic プロトコル。デフォルト: http |
WL8_HOST |
WebLogic ホスト名。デフォルト: サーバーのホスト名 |
WL8_PORT |
WebLogic ポート。デフォルト: 7001 |
WL8_SSLPORT |
WebLogic SSL ポート。デフォルト: 7002 |
WL8_ADMIN |
WebLogic 管理者。デフォルト: "weblogic" |
WL8_PASSWORD |
WebLogic 管理者のパスワード。 25 ページから始まる「Access Manager の設定変数」の ADMINPASSWD の説明の中の、特殊文字に関する注記を参照してください。 |
WL8_JDK_HOME |
WebLogic JDK のホームディレクトリ。デフォルト: 「BEA WebLogic Server 8.1」 /jdk142_04 |
WL8_CONFIG_LOCATION |
WebLogic 起動スクリプトの場所の親ディレクトリに設定する必要があります。 |
この節では、サイレントモード入力ファイル内の IBM WebSphere Server 5.1 用設定変数について説明しています。
表 1–7 IBM WebSphere 5.1 設定変数
変数 |
説明 |
---|---|
WAS51_HOME |
WebSphere のホームディレクトリ。デフォルト: /opt/WebSphere/AppServer |
WAS51_JDK_HOME |
WebSphere JDK のホームディレクトリ。デフォルト: /opt/WebSphere/AppServer/java |
WAS51_CELL |
WebSphere セル。デフォルト: hostname 値 |
WAS51_NODE |
WebSphere ノード名。デフォルト: WebSphere がインストールされたサーバーのホスト名。デフォルト: hostname 値 |
WAS51_INSTANCE |
WebSphere インスタンス名。デフォルト: server1 |
WAS51_PROTOCOL |
WebSphere のプロトコル。デフォルト: http |
WAS51_HOST |
WebSphere のホスト名。デフォルト: サーバーのホスト名 |
WAS51_PORT |
WebSphere のポート。デフォルト: 9080 |
WAS51_SSLPORT |
WebSphere の SSL ポート。デフォルト: 9081 |
WAS51_ADMIN |
WebSphere の管理者。デフォルト: "admin" |
WAS51_ADMINPORT |
WebSphere の管理者のポート。デフォルト: 9090 |
Access Manager 7 2005Q4 によってサポートされる Directory Server のバージョンについては、『Sun Java System Access Manager 7 2005Q4 リリースノート』 を参照してください。この節では、サイレントモード入力ファイル内の Directory Server 設定変数について説明しています。
表 1–8 Directory Server の設定変数
変数 |
説明 |
---|---|
DIRECTORY_MODE |
Directory Server モード 1 = Directory Information Tree (DIT) の新規インストールに使用します。 2 = 既存の DIT に使用します。ネーミング属性とオブジェクトクラスは同一です。したがって、設定スクリプトは installExisting.ldif と umsExisting.ldif ファイルをロードします。 設定スクリプトは、設定作業中に入力された値 (たとえば、BASE_DIR、SERVER_HOST、ROOT_SUFFIX など) を使って、LDIF やプロパティーファイルの更新も実行します。 この更新は「タグ交換」とも呼ばれますが、これは設定スクリプトがファイル内のダミーのタグを実際の設定値と入れ替えるためです。 3 = 手動でロードする時、既存の DIT に対して使用します。ネーミング属性とオブジェクトクラスは異なるので、設定スクリプトは installExisting.ldif と umsExisting.ldif ファイルをロードしません。スクリプトはタグ交換 (上記、モード 2 で説明) を行います。 LDIF ファイルを検査し、必要があれば修正して、LDIF ファイルとサービスを手動でロードします。 4 = 既存のマルチサーバーインストールに使用します。設定スクリプトは LDIF ファイルとサービスをロードしません。これは、この操作が既存の Access Manager のインストールに対するものだからです。スクリプトはタグ交換 (上記、モード 2 で説明) のみを行い、プラットフォームリストにサーバーエントリを追加します。 5 = 既存のアップグレードに使用します。スクリプトはタグ交換 (上記、モード 2 で説明) のみを行います。 デフォルト: 1 |
USER_NAMING_ATTR |
ユーザーネーミング属性: その相対ネームスペース内部でのユーザーまたはリソースの一意な識別子。デフォルト: uid |
ORG_NAMING_ATTR |
ユーザーの会社または組織のネーミング属性。デフォルト: o |
ORG_OBJECT_CLASS |
組織オブジェクトクラス。デフォルト: sunismanagedorganization |
USER_OBJECT_CLASS |
ユーザーオブジェクトクラス。デフォルト: inetorgperson |
DEFAULT_ORGANIZATION |
デフォルトの組織名。デフォルト: サーバーホスト |
Java Enterprise System インストーラを実行後、amconfig スクリプトが、Solaris システムでは AccessManager-base /SUNWam/bin ディレクトリに、Linux システムでは AccessManager-base/identity/bin ディレクトリにあります。
amconfig スクリプトは、サイレント設定入力ファイルを読み取ってから、必要に応じてサイレントモードでほかのスクリプトを呼び出し、要求された処理を実行します。
amconfig スクリプトを実行するには、次の構文を使います。
amconfig -s input-file |
各表記の意味は次のとおりです。
-s は amconfig をサイレントモードで実行します。
input-file はサイレント設定入力ファイルで、実行したい操作用の設定変数を含んでいます。詳細については、「Access Manager の設定スクリプト入力ファイルのサンプル」を参照してください。
amconfig スクリプトを実行するときには、以下の点を考慮してください。
スーパーユーザー (root) として実行する必要があります。
amsamplesilent ファイル (またはこのファイルのコピー) へのフルパスを指定してください。次に例を示します。
# cd /opt/SUNWam/bin # ./amconfig -s ./amsamplesilent
または
# ./amconfig -s /opt/SUNWam/bin/amsamplesilent
Access Manager 7 2005Q4 リリースでは、次のスクリプトはサポートされていません。
またデフォルトでは、amserver start は認証ヘルパー amsecuridd および amunixd のみを開始します。amsecuridd 認証ヘルパーは、Solaris OS SPARC プラットフォームでのみ利用可能です。
Java Enterprise System インストーラを使って Access Manager の最初のインスタンスをインストールした後、サイレント設定入力ファイル内の設定変数を編集し、amconfig スクリプトを実行することにより、追加の Access Manager インスタンスを配備および設定することができます。
次のシナリオについて説明します。
Access Manager の新しいインスタンスを配備する前に、Web コンテナ用管理ツールを使って新しい Web コンテナインスタンスを作成および開始する必要があります。詳細は、Web コンテナについての個別のマニュアルを参照してください。
Web Server については、http://docs.sun.com/coll/1308.1を参照
Application Server については、http://docs.sun.com/coll/1310.1を参照
ここで述べる手順は、「今すぐ設定」オプションを使ってインストールされた Access Manager インスタンスのみに該当します。Web コンテナとして WebLogic または WebSphere を使用する予定の場合、Access Manager のインストール時に「あとで設定」オプションを使用する必要があります。詳細については、第 2 章「サードパーティー Web コンテナのインストールと設定」を参照してください。
ここでは、異なるホストサーバー上に追加の Access Manager インスタンスを配備し、プラットフォームサーバーリストを更新する方法について説明します。
そのインスタンスの Web コンテナに応じた、管理者としてログインします。たとえば、Web Server 6.1 が新しいインスタンスの Web コンテナになる場合、スーパーユーザー (root) としてログインするか、Web Server 管理サーバーのユーザーアカウントとしてログインします。
amsamplesilent ファイルを、書き込み可能なディレクトリにコピーし、そのディレクトリをカレントディレクトリにします。たとえば、/newinstances というディレクトリを作成します。
ヒント: amsamplesilent ファイルのコピーを、配備する新しいインスタンスにふさわしい名前に変更します。たとえば、以下の各手順では、Web Server 6.1 に新しいインスタンスをインストールするために、amnewws6instance という名前の入力ファイルを使用しています。
新しい amnewws6instance ファイルで次の変数を設定します。
DEPLOY_LEVEL=1 NEW_INSTANCE=true |
amnewws6instance ファイル内のほかの変数に対して、新しく作成するインスタンスで必要な設定をします。これらの変数の説明については、次節以降の表を参照してください。
新しい amnewws6instance ファイルを指定して、amconfig スクリプトを実行します。たとえば、Solaris システムでは、次のようになります。
# cd /opt/SUNWam/bin/ # ./amconfig -s ./newinstances/amnewws6instance |
-s オプションは amconfig スクリプトをサイレントモードで実行します。
amconfig スクリプトは、amnewws6instance ファイルの変数を使い、必要があればほかの設定スクリプトを呼び出して、新しいインスタンスを配備します。
追加のコンテナインスタンスを作成するには、Access Manager プラットフォームサーバーリストを更新して、コンテナの追加を反映させる必要があります。
最上位の管理者として Access Manager コンソールにログインします。
「サービス設定」タブをクリックします。
「プラットフォーム」サービスをクリックします。
サーバーリストに追加する新しいインスタンスについて、次の情報を入力します。
protocol://fqdn:port|instance-number
インスタンス番号には、使われていない番号の中から、次に使用可能な番号を指定することをお勧めします。
「追加」をクリックします。
「保存」をクリックします。
amconfig スクリプトを実行することにより、Java Enterprise System インストーラの「あとで設定」オプションを使ってインストールされた Access Manager のインスタンスを設定できます。または、「今すぐ設定」オプションを使ってインストールされた最初のインスタンスを再設定できます。
たとえば、Access Manager の所有者とグループを変更するためにインスタンスを再設定してみます。
そのインスタンスの Web コンテナに応じた、管理者としてログインします。たとえば、Web Server 6.1 が Web コンテナであれば、スーパーユーザー (root) 、または Web Server 管理サーバーのユーザーアカウントでログインします。
インスタンスの配備に使用したサイレント設定入力ファイルを、書き込み可能なディレクトリにコピーし、そのディレクトリをカレントディレクトリにします。たとえば、Web Server 6.1 用のインスタンスを再設定するために、以降の手順では /reconfig ディレクトリ内の入力ファイル amnewinstanceforWS61 を使います。
amnewinstanceforWS61 ファイルで、DEPLOY_LEVEL 変数の値を、「配備モード変数」操作で説明した値のどれかに設定します。たとえば、完全インストールを再設定するには、DEPLOY_LEVEL=21 と設定します。
amnewinstanceforWS61 ファイルでは、NEW_INSTANCE 変数を false と設定します。
NEW_INSTANCE=false |
インスタンスを再設定するには、amnewinstanceforWS61 ファイル内のほかの変数も設定します。たとえば、インスタンスの所有者とグループを変更するには、NEW_OWNER と NEW_GROUP を新しい値に変更します。
以下のその他の変数の説明については、次節以降の表を参照してください。
編集した入力ファイルを指定して、amconfig スクリプトを実行します。たとえば、Solaris システムでは、次のようになります。
# cd /opt/SUNWam/bin/ # ./amconfig -s ./reconfig/amnewinstanceforWS61 |
-s オプションはスクリプトをサイレントモードで実行します。amconfig スクリプトは、amnewinstanceforWS61 ファイルの変数を使い、必要があればほかの設定スクリプトを呼び出して、インスタンスを再設定します。
amconfig スクリプトを実行してインストールした Access Manager のインスタンスをアンインストールできます。また、Access Manager インスタンスを一時的に設定解除できますが、Web コンテナインスタンスは削除しない限りそのまま残り、後日別の Access Manager インスタンスを再配備する際に使用できます。
そのインスタンスの Web コンテナに応じた、管理者としてログインします。たとえば、Web Server 6.1 が Web コンテナであれば、スーパーユーザー (root) 、または Web Server 管理サーバーのユーザーアカウントでログインします。
インスタンスの配備に使用したサイレント設定入力ファイルを、書き込み可能なディレクトリにコピーし、そのディレクトリをカレントディレクトリにします。たとえば、Web Server 6.1 用のインスタンスを設定解除するために、以降の手順では /unconfigure ディレクトリ内の入力ファイル amnewinstanceforWS61 を使います。
amnewinstanceforWS61 ファイルで、DEPLOY_LEVEL 変数の値を、「配備モード変数」操作で説明した値のどれかに設定します。たとえば、完全インストールのアンインストール (または設定解除) を行うには、DEPLOY_LEVEL=11 と設定します。
編集した入力ファイルを指定して、amconfig スクリプトを実行します。たとえば、Solaris システムでは、次のようになります。
# cd /opt/SUNWam/bin/ # ./amconfig -s ./unconfigure/aminstanceforWS61 |
-s オプションはスクリプトをサイレントモードで実行します。amconfig スクリプトは amnewinstanceforWS61 ファイルを読み込み、インスタンスをアンインストールします。
Web コンテナインスタンスはそのまま残っているため、後日別の Access Manager インスタンスを再配備する際に使用できます。
このシナリオでは、Access Manager 7 2005Q4 のすべてのインスタンスとパッケージをシステムから完全に削除します。
スーパーユーザー (root) としてログインするか、スーパーユーザー (root) になります。
インスタンスを配備するのに使用した入力ファイル中で、DEPLOY_LEVEL 変数の値を、「配備モード変数」操作で説明した値のどれかに設定します。たとえば、完全インストールのアンインストール (または設定解除) を行うには、DEPLOY_LEVEL=11 と設定します。
「すべての Access Manager インスタンスのアンインストール」で編集したファイルを使用して、amconfig スクリプトを実行します。たとえば、Solaris システムでは、次のようになります。
# cd /opt/SUNWam/bin/ # ./amconfig -s ./newinstances/amnewws6instance |
amconfig スクリプトはサイレントモードで動作し、インスタンスをアンインストールします。
アンインストールしたいインスタンスすべてに対してこれらの手順を繰り返します。ただし、Java Enterprise System インストーラを使ってインストールした最初のインスタンスは除きます。
最初のインスタンスをアンインストールし、すべての Access Manager パッケージをシステムから削除するには、Java Enterprise System アンインストーラを実行します。アンインストーラの詳細については、『Sun Java Enterprise System 2005Q4 Installation Guide for UNIX』 を参照してください。
ここからは、WebLogic 8.1 を使った配備のための Access Manager 設定スクリプト入力ファイルの例を示します。
DEPLOY_LEVEL=1 BASEDIR=/opt SERVER_HOST=ide-56.example.company.com SERVER_PORT=7001 SERVER_PROTOCOL=http CONSOLE_HOST=$SERVER_HOST CONSOLE_PORT=$SERVER_PORT CONSOLE_PROTOCOL=$SERVER_PROTOCOL CONSOLE_REMOTE=false DS_HOST=ide-56.example.company.com DS_PORT=389 DS_DIRMGRDN=”cn=Directory Manager” DS_DIRMGRPASSWD=11111111 ROOT_SUFFIX=”dc=company,dc=com” ADMINPASSWD=11111111 AMLDAPUSERPASSWD=00000000 CONSOLE_DEPLOY_URI=/amconsole SERVER_DEPLOY_URI=/amserver PASSWORD_DEPLOY_URI=/ampassword COMMON_DEPLOY_URI=/amcommon COOKIE_DOMAIN=.iplanet.com JAVA_HOME=/usr/jdk/entsys-j2se AM_ENC_PWD=”” PLATFORM_LOCALE=en_US NEW_OWNER=root NEW_GROUP=other XML_ENCODING=ISO-8859-1 NEW_INSTANCE=false WEB_CONTAINER=WL8 WL8_HOME=/export/bea8 WL8_PROJECT_DIR=user_projects WL8_DOMAIN=mydomain WL8_CONFIG_LOCATION=$WL8_HOME/$WL8_PROJECT_DIR/domains WL8_SERVER=myserver WL8_INSTANCE=/export/bea8/weblogic81 WL8_PROTOCOL=http WL8_HOST=ide-56.example.company.com WL8_PORT=7001 WL8_SSLPORT=7002 WL8_ADMIN=”weblogic” WL8_PASSWORD=”11111111” WL8_JDK_HOME=$WL8_HOME/jdk142_04 DIRECTORY_MODE=1 USER_NAMING_ATTR=uid ORG_NAMING_ATTR=o ORG_OBJECT_CLASS=examplemanagedorganization USER_OBJECT_CLASS=inetorgperson DEFAULT_ORGANIZATION= Sample Configuration Script Input File for WebLogic 8.1.x |
この章では、Sun Java™ System Access Manager とともに配備されるサードパーティー Web コンテナをインストールおよび設定する手順について説明します。このリリースでは、Access Manager は BEA WebLogic 8.1 (およびその現行パッチ) と IBM WebSphere 5.1 (およびその現行パッチ) をサポートします。
WebLogic と WebSphere は Java Enterprise System の一部ではないため、それらは Java ES インストールプログラムとは別にインストールおよび設定する必要があります。一般的なインストール手順は次のとおりです。
Web コンテナインスタンスをインストール、設定、および起動します。
Java ES インストーラから Directory Server をインストールします。
Java ES インストーラから「あとで設定」モードで Access Manager をインストールします。このモードは、Access Manager を未設定の状態のままにします。
Access Manager 設定スクリプトを実行し、Access Manager を Web コンテナに配備します。
Web コンテナを再起動します。
WebLogic をインストールする前に、ホストドメインが DNS に登録されていることを確認します。また、WebLogic ソフトウェアの正しいバージョンをインストールしていることも確認します。詳細は、BEA 製品サイト (http://commerce.bea.com/index.jsp) を参照してください。
.zip または .gz 形式の、ダウンロードしたソフトウェアイメージを展開します。必ず、プラットフォームに合った適切な zip/gzip ユーティリティーを使用してください。ユーティリティーが適切でないと、展開中にチェックサムエラーが発生する場合があります。
ターゲットシステムのシェルウィンドウからインストールプログラムを実行します。
WebLogic インストールユーティリティーが指示する手順に従います (詳細なインストール手順については、http://e-docs.bea.com/wls/docs81/ を参照)。
インストールプロセスの実行時に、あとで Access Manager の設定で使用する次の情報を必ずメモしておいてください。
インストールが完了したら、次の場所にある WebLogic 設定ツールを実行し、ドメインおよびサーバーインスタンスを設定します。
WebLogic-base/WebLogic-instance/common/bin/quickstart.sh
デフォルトでは、WebLogic はサーバーインスタンスを myserver として、ドメインを mydomain として定義します。これらのデフォルトをそのまま使用することはほとんどありません。新しいドメインおよびインスタンスを作成する場合、Access Manager の設定および配備の情報を必ずメモしておいてください。手順については、WebLogic 8.1 のドキュメントを参照してください。
管理インスタンス上にインストールしている場合、次の場所にある startWebLogic.sh ユーティリティーを使って WebLogic を起動します。
WebLogic-base/WebLogic-Userhome /domains/ WebLogic-domain/startWebLogic.sh
管理対象インスタンス上にインストールしている場合、次のコマンドを使って WebLogic を起動します。
WebLogic-base /WebLogic-Userhome/domains/ WebLogic-domain /startManagedWebLogic.sh WebLogic-managed-instancename admin-url
WebSphere をインストールする前に、ホストドメインが DNS に登録されていること、および、プラットフォームに合った正しいバージョンの WebSphere をインストールしていることを確認してください。詳細は、IBM 製品サポート Web サイト (http://www-306.ibm.com/software/websphere/support) を参照してください。
.zip または .gz 形式の、ダウンロードしたソフトウェアイメージを展開します。必ず、プラットフォームに合った適切な zip/gzip ユーティリティーを使用してください。ユーティリティーが適切でないと、展開中にチェックサムエラーが発生する場合があります。
ターゲットシステムのシェルウィンドウからインストールプログラムを実行します。パッチをインストールする予定の場合、まず 5.1 バージョンをインストールしてからパッチを適用します。詳細なインストール手順については、http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp を参照してください。
インストールプロセスの実行時に、あとで Access Manager の設定で使用する次の情報を必ずメモしておいてください。
インストールが成功したことを確認します。
次のディレクトリに server.xml ファイルが存在することを確認します。
/opt/WebSphere/AppServer/config/cells/cell-name/noes/
node-name/servers/server1
サーバーの起動には、次の例のように startServer.sh コマンドを使用します。
/opt/WebSphere/AppServer/bin/startServer.sh server1
サンプル Web アプリケーションを見るには、Web ブラウザで、対応する URL を次の形式で入力します。
http:// fqdn:portnumber/snoop
インストールが成功したことを確認したら、stopServer.sh ユーティリティーを使用してサーバーを停止します。次に例を示します。
opt/WebSphere/AppServer/bin/stopServer.sh server1
WebSphere 5.1 のパッチをインストールする場合は、updateWizard.sh コマンド行ユーティリティーを使って元の 5.1 インスタンス上にパッチをインストールします。
WebSphere を再起動し、インストールが成功したことを確認します。
Access Manager をインストールするには、Java Enterprise System (Java ES) インストーラを 2 回別々に起動する必要があります。
(ローカルまたはリモートで) Directory Server をインストールするために、「今すぐ設定」オプションを使って最初の Java ES 呼び出しを実行します。「今すぐ設定」オプションを使うと、インストール中に選択するオプション (またはデフォルト値) によって最初のインスタンスを設定できます。
「あとで設定」オプションを使って Access Manager をインストールするために、2 回目の Java ES 呼び出しを実行します。このオプションは、Access Manager 2005Q4 コンポーネントをインストールします。インストール後、Access Manager を設定する必要があります。
WebLogic および WebSphere は Java ES とは別々にインストールされるので、インストーラには、コンテナを自動的に配備するために必要な設定データが含まれていません。この理由から、Access Manager のインストール時には「あとで設定」オプションを選択する必要があります。このオプションは、Access Manager の配備を次の状態のままにします。
アクティブな Directory Server (ローカルまたはリモートのどちらか) には Access Manager DIT データがロードされていません。
Access Manager の設定ファイルは自動的にロードされません。
Access Manager Web アプリケーションの .war ファイルは生成されません。
Access Manager の配備およびインストール後設定プロセスは自動的に開始および実行されません。
詳細なインストール手順については、『Sun Java Enterprise System インストールガイド』(http://download.oracle.com/819-0808?l=ja) を参照してください。
ターゲットシステムのローカルドライブ上に Access Manager をインストールし終わったら、WebLogic 8.1 または WebSphere 5.1 に対して Access Manager を手動で設定する必要があります。この手順は次の 3 つのステップから成ります。
Access Manager の設定スクリプト入力ファイルには、配備レベル、Access Manager、Web コンテナ、および Directory Server のすべての変数定義が含まれます。Access Manager には、設定スクリプト入力ファイルのテンプレートのサンプル (amsamplesilent) が付属します。これは、Solaris システムでは AccessManager-base /SUNWam/bin ディレクトリ、Linux システムでは AccessManager-base /identity/bin ディレクトリにあります。
amsamplesilent テンプレートを使って、独自の設定スクリプト入力ファイルを構築することができます。ファイルの編集手順と変数定義の一覧については、「Access Manager の設定スクリプト入力ファイルのサンプル」を参照してください。
ファイルを編集する前に必ず、インストールされている Web コンテナの次の情報を入手してください。
インストールディレクトリ
インスタンスの名前と場所
ホスト名
FQDN
待機しているポート番号
管理 ID
使用されるプロトコル
管理パスワード
共有ライブラリの場所
ドメインの名前と場所
プロジェクトディレクトリ名
JDK の場所
セル名
ノード名
JDK の場所
設定スクリプト入力ファイルを保存したら、amconfig スクリプトを実行して設定プロセスを完了します。次に例を示します。
AccessManager-base/SUMWam/bin/amconfig -s silentfile
silentfile は設定入力ファイルの絶対パスです。
このスクリプトを実行すると、次の処理が実行されます。
Access Manager スキーマをアクティブな Directory Server インスタンスにロードします。
Access Manager サービスデータを Directory Server インスタンスにロードします。
アクティブな Access Manager インスタンスが使用する Access Manager 設定ファイルを生成します。
Access Manager の Web アプリケーションデータを Web コンテナに配備します。
Access Manager の要件に合わせて、Web コンテナ設定をカスタマイズします。
設定プロセスを完了したあとで、Web コンテナを再起動する必要があります。手順については、各製品のドキュメントを参照してください。
BEA WebLogic 8.1 については、http://e-docs.bea.com/wls/docs81 を参照してください。
IBM WebSphere 5.1 については、http://publib.boulder.ibm.com/infocenter/ws51help/index.jsp を参照してください。
SSL (Secure Socket Layer) を単純な認証で使用することで、機密性とデータの整合性とが保証されます。Access Manager を SSL モードにするには、通常は次のようにします。
Access Manager をセキュリティー保護された Web コンテナで設定する
Access Manager をセキュリティー保護された Directory Server に設定する
Web Server で実行する Access Manager を SSL モードに設定するには、次の手順を参照してください。
Access Manager コンソールで、サービス設定モジュールに移動し、「プラットフォーム」サービスを選択します。「サーバーリスト」属性で http:// プロトコルを削除し、https:// プロトコルを追加します。「保存」をクリックします。
必ず「保存」をクリックしてください。そうしないと、次の手順に進むことはできますが、設定の変更内容はすべて失われ、それを修正するために管理者としてログインすることもできなくなります。
手順 2 〜手順 24 では、Web Server を設定します。
Web Server コンソールにログオンします。デフォルトのポート番号は、8888 です。
Access Manager を実行している Web Server インスタンスを選択し、「Manage」をクリックします。
設定が変更されたことを知らせるポップアップウィンドウが表示されます。「了解」をクリックします。
画面の右上部にある「Apply」ボタンをクリックします。
「変更の適用」をクリックします。
Web Server が自動的に再起動されます。「OK」をクリックして先に進みます。
選択した Web Server インスタンスを停止します。
「Security」タブをクリックします。
「Create Database」をクリックします。
新しいデータベースのパスワードを入力し、「OK」をクリックします。
あとで使用するために、このデータベースパスワードを書き留めておくようにしてください。
証明書データベースが作成されたら、「Request a Certificate」をクリックします。
画面に表示されるフィールドにデータを入力します。
「Key Pair Field Password」フィールドは、手順 9 で入力した値と同じ値にします。場所のフィールドには、場所を完全名で入力する必要があります。「CA」などの省略形では動作しません。すべてのフィールドを定義する必要があります。「Common Name」フィールドには、使用している Web Server のホスト名を入力します。
フォームを送信すると、次のようなメッセージが表示されます。
--BEGIN CERTIFICATE REQUEST--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END CERTIFICATE REQUEST-- |
このテキストをコピーし、証明書要求として送信します。
ルート CA 証明書を取得するようにしてください。
証明書の含まれた証明書応答が返されます。たとえば次のようになります。
--BEGIN CERTIFICATE--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END CERTIFICATE--- |
このテキストをクリップボードにコピーするか、ファイルに保存します。
Web Server コンソールで、「Install Certificate」をクリックします。
「Certificate for this Server」をクリックします。
「鍵ペアファイルパスワード」フィールドに、証明書データベースのパスワードを入力します。
証明書を表示されたテキストフィールドに貼り付けます。またはラジオボタンをクリックし、テキストボックスにファイル名を入力します。「送信」をクリックします。
ブラウザに証明書と、証明書を追加するボタンが表示されます。
「Install Certificate」をクリックします。
「Certificate for Trusted Certificate Authority」をクリックします。
手順 16 〜手順 21 と同じ方法で、ルート CA 証明書をインストールします。
両方の証明書をインストールしたら、Web Server コンソールで「Preferences」タブをクリックします。
別のポートで SSL を有効にする場合は、「Add Listen Socket」を選択します。次に、「Edit Listen Socket」を選択します。
セキュリティー状態を「Disabled」から「Enabled」に変更し、「OK」をクリックして変更を送信してから、「Apply」および「 Apply Changes」をクリックします。
手順 26 〜手順 29 では、Access Manager を設定します。
AMConfig.properties ファイルを開きます。このファイルの場所は、デフォルトで /etc/opt/SUNWam/config です。
プロトコルで http:// が出現する箇所をすべて https:// に変更します。ただし Web Server インスタンスディレクトリの箇所は除きます。これは AMConfig.properties でも指定していますが、そのままにしておきます。
AMConfig.properties ファイルを保存します。
Web Server コンソールで、Web Server インスタンスをホスティングする Access Manager の「ON/OFF」ボタンをクリックします。
Web Server で「Start/Stop」ページにテキストボックスが表示されます。
このテキストフィールドに、証明書データベースのパスワードを入力し、「Start」を選択します。
SSL が有効になっている Application Server 上で Access Manager を実行するには、次の 2 つの手順で設定します。まず、インストールされた Access Manager に対して Application Server のインスタンスをセキュリティー保護します。次に、Access Manager 自体を設定します。
ここでは、Application Server 6.2 を SSL モードに設定する手順について説明します。
ブラウザに次のアドレスを入力して、Sun Java System Application Server コンソールに管理者としてログインします。
http://fullservername:port
デフォルトのポート番号は、4848 です。
インストール時に入力したユーザー名とパスワードを入力します。
Access Manager をインストールした (または、これからインストールする) Application Server インスタンスを選択します。設定が変更されたことが、右側のフレームに表示されます。
「変更の適用」をクリックします。
「再起動」をクリックします。Application Server が自動的に再起動されます。
左側のフレームで、「セキュリティー」をクリックします。
「データベースの管理」タブをクリックします。
「データベースを作成」が選択されていない場合は、それをクリックします。
新しいデータベースのパスワードを入力し、確認のパスワードを入力してから、「OK」をクリックします。あとで使用するために、このデータベースパスワードを書き留めておくようにしてください。
証明書データベースが作成されたら、「証明書管理」タブをクリックします。
「要求」リンクが選択されていない場合は、それをクリックします。
証明書要求のデータを次のように入力します。
新規の証明書か、証明書の書き換えかを選択します。証明書の多くは、一定の期間が過ぎると期限切れになります。書き換え通知を自動的に送信する認証局 (CA) もあります。
証明書要求を送信する方法を指定します。
要求を電子メールメッセージで受け取る CA の場合は、「CA 電子メールアドレス」を選択し、CA の電子メールアドレスを入力します。CA のリストを表示するには、「List of Available Certificate Authorities」をクリックします。
Certificate Server を使用している内部 CA に証明書を要求する場合は、「CA URL」をクリックし、Certificate Server の URL を入力します。この URL は、Certificate Server で証明書要求を処理するプログラムを指している必要があります。
鍵ペアファイルのパスワードを入力します。これは、手順 9 で指定したパスワードです。
次の識別情報を入力します。
「共通名」: ポート番号も含む完全なサーバー名。
「要求者名」: 要求者の名前。
「電話番号」: 要求者の電話番号。
「共通名」: デジタル証明書のインストール先となる Sun Java System Application Server の完全修飾名。
「メールアドレス」: 管理者の電子メールアドレス。
「組織」: 組織の名前。認証局によっては、この属性に入力されたホスト名が、この組織に登録済みのドメインに属していることが必要になります。
「組織単位」: 部課名など、組織の運営単位の名前。
「地域」: 市区町村の名前。
「州または都道府県名」: 組織がアメリカ合衆国またはカナダで運営されている場合は、その州の名前。省略形は使用しないでください。
「国名」: 国を表す 2 文字の ISO コード。たとえば、アメリカ合衆国のコードは US です。
「OK」ボタンをクリックします。次のようなメッセージが表示されます。
--BEGIN NEW CERTIFICATE REQUEST--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END NEW CERTIFICATE REQUEST-- |
このテキスト全体をファイルにコピーし、「OK」をクリックします。ルート CA 証明書を取得するようにしてください。
CA を選択し、その CA の Web サイトにある指示に従ってデジタル証明書を取得します。証明書は CMS、Verisign、または Entrust.net から取得できます。
認証局からデジタル証明書を受け取ったら、そのテキストをクリップボードにコピーするか、ファイルに保存します。
Application Server コンソールに移動し、「インストール」リンクをクリックします。
「Certificate for this Server」を選択します。
「鍵ペアファイルパスワード」フィールドに、証明書データベースのパスワードを入力します。
「メッセージ」テキストフィールドに、証明書をヘッダーも含めて貼り付けるか、ファイル名を入力します。適切なラジオボタンをクリックします。
「OK」ボタンをクリックします。ブラウザに証明書と、証明書を追加するボタンが表示されます。
「サーバー証明書を追加」をクリックします。
すでに説明した方法に従って、ルート CA 証明書をインストールします。ただし、ここでは「証明書」の「信頼できる証明書発行局 (CA)」をクリックします。
両方の証明書をインストールしたら、左側のフレームで「HTTP サーバー」ノードを展開します。
「HTTP サーバー」の下にある「HTTP リスナー」を選択します。
http-listener-1 を選択します。ソケットの情報がブラウザに表示されます。
http-listener-1 で使用するポートの値を、Application Server のインストール時に入力した値から、より適切な値 (443 など) に変更します。
「SSL/TLS を有効」を選択します。
「証明書のニックネーム」を選択します。
「戻すサーバー名」を指定します。手順 12 で指定した「共通名」と同じにする必要があります。
「保存」をクリックします。
Access Manager ソフトウェアをインストールする Application Server インスタンスを選択します。設定が変更されたことが、右側のフレームに表示されます。
「変更の適用」をクリックします。
「再起動」をクリックします。Application Server が自動的に再起動されます。
Application Server 8.1 を SSL で設定する基本手順は、次のとおりです。詳細な手順については、Application Server 8.1 のマニュアルを参照してください。
Application Server 上で Application Server 管理コンソールを使ってセキュリティー保護されたポートを作成します。詳細については、次の場所にある『Sun Java System Application Server Enterprise Edition 8.1 管理ガイド』の「セキュリティーの設定」を参照してください。
Web コンテナの信頼データベース内にそのサーバーの証明書を信頼する認証局 (CA) が存在していることを確認します。次に、Web コンテナに対するサーバー証明書を取得してインストールします。詳細については、次の場所にある『Sun Java System Application Server Enterprise Edition 8.1 管理ガイド』の「証明書と SSL の操作」を参照してください。
Web コンテナを再起動します。
ここでは、Access Manager を SSL モードに設定する手順について説明します。Access Manager の SSL を設定する前に、配備先の Web コンテナが設定されていることを確認してください。
Access Manager コンソールで、サービス設定モジュールに移動し、「プラットフォーム」サービスを選択します。「サーバーリスト」属性で、同じ URL を HTTPS プロトコルで追加し、SSL が有効になっているポート番号を追加します。「保存」をクリックします。
Access Manager の 1 つのインスタンスが、2 つのポート (HTTP と HTTPS) で待機しているとき、未処理のまま蓄積されたクッキーを使って Access Manager にアクセスしようとすると、Access Manager は応答しなくなります。この設定はサポートされていません。
AMConfig.properties ファイルを開きます。デフォルトでは次の場所にあります。
/etc/opt/SUNWam/config. |
プロトコルで http:// が出現する箇所をすべて https:// に変更します。また、ポート番号を、SSL が有効になっているポート番号に変更します。
AMConfig.properties ファイルを保存します。
Application Server を再起動します。
BEA WebLogic Server は、最初にインストールして Web コンテナとして設定してから、SSL で AMSDK を使用して設定する必要があります。インストールの詳細については、BEA WebLogic Server のマニュアルを参照してください。Access Manager の Web コンテナとして WebLogic を設定するには、第 1 章「Access Manager 7 2005Q4 の設定スクリプト」を参照してください。
クイックスタートメニューを使用してドメインを作成します。
WebLogic インストールディレクトリに移動し、証明書要求を生成します。
CSR テキストファイルを使用し、サーバー証明書を CA に申請します。
承認証明書をテキストファイルに保存します。たとえば、approvedcert.txt に保存します。
次のコマンドを使用し、cacerts でルート CA をロードします。
cd jdk141_03/jre/lib/security/
jdk141_03/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "<alias name>" -storepass changeit -file /opt/bea81/cacert.txt
次のコマンドを使用し、サーバー証明書をロードします。
jdk141_03/jre/bin/keytool -import -keystore <keystorename> -keyalg RSA -import -trustcacerts -file approvedcert.txt -alias "mykey"
ユーザー名とパスワードを使用し、WebLogic コンソールにログインします。
次の場所を参照します。
yourdomain> Servers> myserver> Configure Keystores
「Custom Identity」、次に「Java Standard Trust」を選択します。
キーストアの場所を入力します。たとえば /opt/bea81/keystore のように入力します。
キーストアパスワードとキーストアパスフレーズを入力します。次に例を示します。
キーストアパスワード: JKS/Java Standard Trust (WL 8.1 の場合は JKS のみ)
キーストアパスフレーズ: changeit
SSL 非公開鍵の別名とパスワードを確認してください。
完全な SSL ライセンスを使用しないと、SSL が起動しません。
Access Manager では、AmConfig.properties の次のパラメータが、インストール中に自動的に設定されます。設定されていない場合は、適切に編集できます。
com.sun.identity.jss.donotInstallAtHighestPriority=true [ AM 6.3 以上では不要] com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.JSSESocketFactory com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption |
JDK パスが次のようになっている場合は、keytool ユーティリティーを使用し、証明書データベースにルート CA をインポートします。
com.iplanet.am.jdk.path=/usr/jdk/entsys-j2se |
次に例を示します。
/usr/jdk/entsys-j2se/jre/lib/security /usr/jdk/entsys-j2se/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "machinename" -storepass changeit -file /opt/bea81/cacert.txt |
keytool ユーティリティーは次のディレクトリにあります。
/usr/jdk/entsys-j2se/jre/bin/keytool |
Access Manager amadmin コマンド行ユーティリティーから -D"java.protocol.handler.pkgs=com.iplanet.services.comm" を削除します。
Access Manager を SSL モードに設定します。詳細は、「Access Manager の SSL モードへの設定」を参照してください。
IBM WebShpere Server は、最初にインストールして Web コンテナとして設定してから、SSL で AMSDK を使用して設定する必要があります。インストール手順については、WebSphere Server のマニュアルを参照してください。Access Manager の Web コンテナとして WebLogic を設定するには、第 1 章「Access Manager 7 2005Q4 の設定スクリプト」を参照してください。
Websphere の /bin ディレクトリの ikeyman.sh を起動します。
「署名者」メニューから認証局 (CA) からの証明書をインポートします。
「Personal Certs」メニューから CSR を生成します。
前の手順で作成された証明書を取得します。
「Personal Certificates」を選択し、サーバー証明書をインポートします。
WebSphere コンソールからデフォルト SSL 設定を変更し、暗号を選択します。
デフォルトの IBM JSSE SSL プロバイダを設定します。
次のコマンドを入力し、作成したファイルからアプリケーションサーバー JVM キーストアに、ルート CA 証明書をインポートします。
$ appserver_root-dir/java/bin/ keytool -import -trustcacerts -alias cmscacert -keystore ../jre/lib/security/cacerts -file /full_path_cacert_filename.txt |
app-server-root-dir はアプリケーションサーバーのルートディレクトリであり、full_path_cacert_filename.txt は、証明書を含むファイルのフルパスです。
Access Manager において、AmConfig.properties の次のパラメータを、JSSE を使用するように更新します。
com.sun.identity.jss.donotInstallAtHighestPriority=true com.iplanet.security.SecureRandomFactoryImpl=com.iplanet. am.util.SecureRandomFactoryImpl com.iplanet.security.SSLSocketFactorImpl=netscape.ldap.factory. JSSESocketFactory com.iplanet.security.encyptor=com.iplanet.services.unil.JCEEncryption |
Access Manager を SSL モードに設定します。詳細は、「Access Manager の SSL モードへの設定」を参照してください。
ネットワーク上でセキュリティー保護された通信を確保するため、Access Manager には LDAPS 通信プロトコルが含まれています。LDAPS は LDAP の標準プロトコルで、SSL (Secure Socket Layer) 上で実行されます。SSL 接続を有効にするためには、まず Directory Server を SSL モードにして、次に Access Manager を Directory Server に接続します。基本的な手順は次のとおりです。
Directory Server 用の証明書を入手してインストールし、Directory Server が認証局 (CA) からの証明書を信頼するように設定します。
ディレクトリで SSL をオンにします。
SSL が有効化された Directory Service に接続するよう、認証、ポリシーおよびプラットフォームサービスを設定します。
セキュリティー保護された状態で Directory Server に接続できるよう Access Manager を設定します。
Directory Server を SSL モードに設定するには、サーバー証明書を入手してインストールし、CA からの証明書を信頼するように Directory Server を設定し、SSL を有効にする必要があります。これらの作業をどのように行うかについての詳細は、『Directory Server 管理ガイド』の中の第 11 章「認証と暗号化の管理」を参照してください。このマニュアルは、次の場所にあります。
http://docs.sun.com/app/docs/coll/DirectoryServer_04q2_ja
Directory Server の SSL がすでに有効になっている場合は次の節に進んでください。そこで Access Manager を Directory Server に接続する方法の詳細について説明します。
Directory Server が SSL モードに設定されたら、Access Manager をセキュリティー保護された状態で Directory Server に接続する必要があります。