Sun Java ロゴ     前へ      目次      索引      次へ     

Sun ロゴ
Sun Java System Messaging Server 6 2004Q2 管理ガイド 

第 6 章
シングルサインオン (SSO) の有効化

シングルサインオンとは、エンドユーザーからの 1 回の認証 (つまり、ユーザー ID とパスワードを使用したログイン) に対し、複数のアプリケーションへのアクセス権を付与する機能のことです。Sun Java System Identity Server は、Sun Java System サーバーの SSO に使用される正規のゲートウェイです。SSO が設定されたほかのサーバーにアクセスするには、Identity Server にログインする必要があります。

たとえば、設定が適切なら、ユーザーは Sun Java System Identity Server のログイン画面でサインインでき、再度サインインすることなく別のウィンドウで Messenger Express にアクセスできます。同様に、Sun Java System Calendar Server の設定が適切なら、ユーザーは Sun Java System Identity Server のログイン画面でサインインでき、その後、再度サインインすることなく別のウィンドウで Calendar にアクセスできます。

Messaging Server には、SSO を配備する方法が 2 つあります。1 つは Sun Java System Identity Server を使用する方法、もう 1 つは通信サーバーの信頼できるサークル技術を使用する方法です。信頼できるサークルを使用することは、SSO の実装方法として長く採用されてきました。信頼できるサークルには Identity Server SSO では使用できない機能もありますが、今後の開発では Identity Server に照準が合わせられるため、この方法を使用することはお勧めしません。ただし、この章では、次の節で両方の方法について説明します。

Sun Java System サーバー用の Identity Server SSO

この節では、Identity Server を使用する SSO について説明します。この章には、以下の節があります。

SSO の制限事項と注意事項

Messaging Server を設定して SSO をサポートする

Messaging Server SSO は、4 つの configutil パラメータによってサポートされます。4 つのパラメータのうち、Messaging Server で SSO を有効にするには、local.webmail.sso.amnamingurl の 1 つのみが必要とされます。SSO を有効にするには、このパラメータを、Identity Server がネーミングサービスを実行している URL に設定します。通常、この URL は http://server/amserver/namingservice となります。
例:

configutil -o local.webmail.sso.amnamingurl -v http://sca-walnut:88/amserver/namingservice

Identity Server SSO は、古い SSO メカニズムを有効にする local.webmail.sso.enable を確認しません。local.webmail.sso.enableoff のままにしておくか、解除してください。これ以外の設定では、古い SSO メカニズムに必要とされる存在しない設定パラメータについての警告メッセージが記録されます。

表 6-3 で示されている SSO の設定パラメータは configutil コマンドを使用して変更できます。

表 6-1 Identity Server のシングルサインオンパラメータ 

パラメータ

説明

local.webmail.sso.amnamingurl

Identity Server がネーミングサービスを実行する URL。Identity Server を使用するシングルサインオンに必須の変数。通常、この URL は http://<server>/amserver/namingservice

デフォルト : 設定なし

local.webmail.sso.amcookiename

Identity Server の cookie 名。Identity Server が別の cookie 名を使用するように設定されている場合、その名前は Messaging Server で local.webmail.sso.amcookiename として設定する必要がある。これによって、Messaging Server でシングルサインオンを処理する場合の検索対象を指定できる。デフォルト値は iPlanetDirectoryPro。Identity Server がデフォルト設定の場合は変更しないこと

デフォルト : iPlanetDirectoryPro

local.webmail.sso.amloglevel

AMSDK ログレベル。Messaging Serverで使用される SSO ライブラリには、Messaging Server とは別の独自のロギングメカニズムがある。SSO ライブラリのメッセージは、msg_svr_base/log の下にある http_sso と呼ばれるファイルに記録される。デフォルトでは、info 以上のメッセージのみが記録されるが、ログレベルを 1 〜 5 の値 (1 = errors、2 = warnings、3 = info、4 = debug、5 = maxdebug) に設定することで、ログレベルを上げることは可能。ライブラリでのメッセージの重要性の概念は Messaging Server と異なること、また、レベルを debug に設定すると無意味なデータが大量に記録されることに注意する。さらに、http_sso ログファイルは、共通の Messaging Server ログコードで管理されないこと、クリーンアップされたりロールオーバーされたりすることがないことにも注意する。デフォルトよりも高いログレベルに設定した場合は、システム管理者の責任でクリーンアップを行う

デフォルト : 3

local.webmail.sso.singlesignoff

Messaging Server から Identity Server へのシングルサインオフ。Identity Server は中央の認証オーソリティであるため、シングルサインオフは常に Identity Server から Messaging Server の順で有効になる。このオプションを使用すると、サイトで Web メールの logout ボタンによって Identity Server からもユーザーを (カスタマイズ作業を保存して) ログアウトするかどうか設定できる。デフォルトでは、このオプションは有効。このオプションを無効にした場合、デフォルトの Web メールクライアントからログアウトしたユーザーは自動的に再度ログインされる。ログアウトはルートドキュメントを参照し、ルートドキュメントは Identity Server cookie が存在していてそれが有効である限り受信箱画面を参照するためである。したがって、このオプションを無効に設定したサイトでは、Web メールのログアウト時に発生するアクションをカスタマイズする必要がある

デフォルト : yes

SSO のトラブルシューティング

SSO に関して問題がある場合は、まず Web メールのログファイル msg_svr_base/log/http でエラーをチェックする必要があります。ログレベルを上げると作業がしやすくなります (configutil -o logfile.http.loglevel -v debug)。これで解決しない場合は、msg_svr_base/log/http_ssoamsdk メッセージをチェックしてから、amsdk ログレベルを上げてください (configutil -o local.webmail.sso.amloglevel -v 5)。サーバーを再起動しないとログレベルの変更が反映されないことに注意してください。

SSO の問題が解決しない場合は、Identity Server と Messaging Server の両方について、完全指定ホスト名をログイン時に使用していることを確認してください。cookie は同一ドメインのサーバー間でのみ共有され、ブラウザはローカルサーバー名に使われるドメインを認識していないため、ブラウザで完全指定ホスト名を使用しないと SSO は機能しません。

信頼できるサークル SSO (従来システム)

この節では、信頼できるサークル SSO について説明します。この方法による SSO を使用することはお勧めしません。今後の開発では Identity Server に照準が合わせられるためです。ただし、現時点では、信頼できるサークル SSO では使用可能で、Identity Server SSO では使用不可な機能もあります。この節には、以下の項があります。

信頼できるサークル SSO の概要と定義

SSO の配備に先立ち、次の用語を理解しておくことは重要です。

信頼できるサークル SSO アプリケーション

SSO を実装する前に、信頼できるサークルに含めるアプリケーションを考慮する必要があります。信頼できるサークルに含めることのできるアプリケーションは、Messenger Express (Messenger Express Multiplexor が付属された、または付属されていない)、Calendar Express、および旧バージョンのメッセージング用 iPlanet Delegated Administrator (Sun LDAP Schema 1 しかサポートしないので推奨しない) です。

表 6-2 に、SSO を介して互いにアクセス可能なアプリケーションを示します。ユーザーの視点でとらえると、行見出しで示されているアプリケーションのいずれかにログインし、ユーザー ID とパスワードを再入力せずに列見出しで示されているアプリケーションにアクセスできた場合、SSO は機能します。

表 6-2 SSO の相互運用性

               アクセス先:

 

アクセス元:

Calendar Express

Messenger Express

Messenger Express Multiplexor

Delegated Administrator

Calendar Express

SSO

SSO

SSO

SSO

Messenger Express

SSO

なし

なし

SSO

Messenger Express Multiplexor

SSO

なし

なし

SSO

Delegated Administrator

SSO

SSO

SSO

なし

信頼できるサークル SSO の制限事項

信頼できるサークル SSO 配備の例

最も単純な SSO 配備の場合、Messenger Express と メッセージング用 iPlanet Delegated Administrator のみが使用されます。これより複雑な場合は、Calendar Express (同一マシン上または別のマシン上) が追加されます。追加するには、同一の信頼できるサークル内に存在できるように、同一の SSO プレフィックスを使用します。図 6-1 はこのことを示しています。

図 6-1 単純な SSO 配備

図は、単一の SSO プレフィックスのもとでの 3 つのアプリケーションによる単純な SSO 配備を示しています。

さらに複雑な配備では、Messenger Express Multiplexors およびロードバランサが追加されます。

図 6-2 複雑な SSO 配備

図は、7 つのサーバーアプリケーションによる複雑な SSO 配備を示しています。

信頼できるサークル SSO の設定

この節では、Messenger Express、メッセージング用 iPlanet Delegated Administrator、および Calendar Manager 用の SSO の設定について説明します。

  1. Messenger Express に SSO の設定をします。
    1. 適切な SSO configutil パラメータを設定します。

      2. Messenger Express で Delegated Administrator とのシングルサインオンを有効にするには、次のように各パラメータを設定します (デフォルトのドメインは siroe.com と仮定)。パラメータの詳細については、表 6-3 を参照してください。設定を行うにはルートユーザーである必要があります。cdinstance_root に移動します。

      configutil -o local.webmail.sso.enable -v 1
      configutil -o local.webmail.sso.prefix -v ssogrp1
            ssogrp1 は iDA で使用されるデフォルトの SSO プレフィックスです。別のプレフィックス
            を選択することもできますが、デフォルトを使用すると iDA や iCS を設定するときに
            プレフィックスを入力せずに済みます。
      configutil -o local.webmail.sso.id -v ims5
            ims5 は Messenger Express (ME) をほかのアプリケーションから識別するために付ける
            名前です。
      configutil -o local.webmail.sso.cookiedomain -v ".siroe.com"
            上記のドメインは、ME/ ブラウザクライアントでサーバーとの接続に使用されるドメインと
            一致する必要があります。したがって、このサーバー上のホストしているドメインが xyz.com
            である場合、DNS にある実際のドメインを使用する必要があります。この値はピリオドで
            始まります。
      configutil -o local.webmail.sso.singlesignoff -v 1
      configutil -o local.sso.      ApplicationID.verifyurl -v ¥
            "http://ApplicationHost:port/verifySSO?"
            ApplicationID は SSO アプリケーションに付ける名前です (例:
            Delegated Administrator 用 ida、Calendar Server 用 ics50)。
            ApplicationHost:port は、アプリケーションのホストとポート番号です。
            Messaging Server 以外の各アプリケーションごとに、これらの行のいずれかがあります。
            例:
            configutil -o local.sso.ida.verifyurl -v ¥
               "http://siroe.com:8080/verifySSO?"

    2. 設定を変更後、Messenger Express http サーバーを再起動します。

      3. cd instance_root
      ./stop-msg http
      ./start-msg http

  2. Directory Server の SSO を設定します。
    1. ディレクトリでプロキシユーザーアカウントを作成します。

      2. プロキシユーザーアカウントを使って、Delegated Administrator はプロキシ認証を行うために Directory Server にバインドできます。次の LDIF コード (proxy.ldif) を使って、ldapadd を使うプロキシユーザーアカウントのエントリを作成できます。

      dn: uid=proxy, ou=people, o=siroe.com, o=isp
      objectclass: top
      objectclass: person
      objectclass:  organizationalperson
      objectclass:  inetorgperson
      uid: proxy
      givenname:  Proxy
      sn:  Auth
      cn:  Proxy Auth
      userpassword:  proxypassword

      ldapadd -h mysystem.siroe.com -D "cn=Directory Manager" -w password -v -f proxy.ldif

    2. プロキシユーザーアカウント認証に適切な ACI を作成します。

      3. ldapmodify ユーティリティを使用して、Delegated Administrator のインストール時に作成した各サフィックスの ACI を作成します。

      osiroot - ユーザーデータを保存するために入力したサフィックス (デフォルトは o=isp)。osiroot は組織ツリーのルートです。

      dcroot - ドメイン情報を保存するために入力したサフィックスです (デフォルトは o=internet)。

      osiroot - 設定情報を保存するために入力したサフィックス。これはユーザーデータを保存するために入力した値と同一になります。

      以下に、先に作成したプロキシユーザーの osiroot の ACI エントリ (aci1.ldif) の例を示します。

      dn: o=isp
      changetype: modify
      add: aci
      aci: (target="ldap:///o=isp")(targetattr="*")(version 3.0; acl
      "proxy";allow (proxy) userdn="ldap:///uid=proxy, ou=people,
      o=siroe.com, o=isp";)

      ldapmodify -h siroe.com -D "cn=Directory Manager" -w password -v -f aci1.ldif

      dcroot に同様の ACI エントリ (aci2.ldif) を作成します。

      dn: o=internet
      changetype: modify
      add: aci
      aci: (target="ldap:///o=internet")(targetattr="*")(version 3.0; acl "proxy";allow (proxy) userdn="ldap:///uid=proxy, ou=people, o=siroe.com, o=isp";)

      ldapmodify -h siroe.com -D "cn=Directory Manager" -w password -v -f aci2.ldif

  3. Delegated Administrator を設定します。
    1. プロキシユーザー証明書およびコンテキストの cookie 名を Delegated Administrator resource.properties ファイルに追加します。

      2. Delegated Administrator の iDA_server_root/nda/classes/netscape/nda/servlet/resource.properties ファイルの次のエントリのコメントを解除し、修正します。

      LDAPDatabaseInterface-ldapauthdn=Proxy_Auth_DN
      LDAPDatabaseInterface-ldapauthpw=Proxy_Auth_Password
      NDAAuth-singleSignOnId=SSO_Prefix-
      NDAAuth-applicationId=      DelAdminID

      例 :

      LDAPDatabaseInterface-ldapauthdn=  
         uid=proxy, ou=people, o=siroe.com, o=isp
      LDAPDatabaseInterface-ldapauthpw=proxypassword
      NDAAuth-singleSignOnId=ssogrp1-
      NDAAuth-applicationId=ida

    2. 対象となるサーバーの確認 URL を追加します。

      3. 受け取るシングルサインオン cookie を確認するには、Delegated Administrator にその連絡先を指定しておく必要があります。対象となるすべてのサーバーに、確認 URL を指定します。

      次の例では、Messenger Express がインストールされており、そのアプリケーション ID が msg5 であると仮定しています。Delegated Administrator の iDA_server_root/nda/classes/netscape/nda/servlet/resource.properties ファイルを編集し、以下のようなエントリを追加します。

      verificationurl-ssogrp1-msg5=http://webmail_hostname:port/VerifySSO?
      verificationurl-ssogrp1-ida=http://      iDA_hostname:port/VerifySSO?
      verificationurl-ssogrp1-ics50=http://      iCS_hostname:port/VerifySSO?

  4. Delegated Administrator のシングルサインオン cookie 情報を追加し、UTF8 パラメータのエンコーディングを有効にします。
    1. Delegated Administrator のコンテキスト識別子を定義します。

      Web_Server_Root/https-instancename/config/servlets.properties を編集し、servlet.*.context=ims50 というテキストを含んでいるすべての行のコメントを解除します。* は任意の文字列を示しています。

    1. Enterprise Server 設定のコンテキストの cookie 名を指定します。

      Enterprise Server ファイル Web_Server_Root/https-instancename/config/contexts.properties を編集し、ファイルの下部の #IDACONF-Start 行の前に次の行を追加します。

      context.ims50.sessionCookie=ssogrp1-ida

    1. ims5 コンテキストの UTF8 パラメータエンコーディングを有効にします。

      Enterprise Server 設定の ims5 コンテキストの UTF8 パラメータエンコーディングを有効にするには、次のエントリを Enterprise Server の WebServer_Root/https-instancename/config/contexts.properties ファイルに追加します。

      context.ims50.parameterEncoding=utf8

  5. Messenger Express を再起動します。

    6. 手順 1a 〜 2c の説明に従って設定を変更したら、その変更内容が反映されるように Messenger Express を再起動します。

    WebServer_Root/https-instance_name/stop
    WebServer_Root/https-instancename/start

  6. SSO グループに Calendar を配備している場合は、Calendar Server を設定します。

    7. ics.conf を編集し、以下を追加します。

    sso.appid = "ics50"
    sso.appprefix = "ssogrp1"
    sso.cookiedomain = ".red.iplanet.com"
    sso.enable = "1"
    sso.singlesignoff = "true"
    sso.userdomain = "mysystem.red.iplanet.com"
    sso.ims5.url="http://mysystem.red.iplanet.com:80/VerifySSO?"
    sso.ida.url=http://mysystem.red.iplanet.com:8080/VerifySSO?

  7. Calendar Server を再起動します。

    8. start-cal

  8. Messenger Express http サーバーを再起動します。

    9. msg_svr_base/sbin/stop-msg http
    msg_svr_base/sbin/start-msg http

Messenger Express 信頼 SSO 設定のパラメータ

configutil コマンドを使うと、Messenger Express のシングルサインオン設定パラメータを変更できます。表 6-3 に、パラメータを示します。configutil の詳細については、『Messaging Server Reference Manual』を参照してください。

表 6-3 信頼できるサークルのシングルサインオンパラメータ 

パラメータ

説明

local.webmail.sso.enable

ログインページが取り込まれたときにクライアントが提示する SSO cookie を受け入れ確認する機能、ログイン成功時に SSO cookie を返す機能、ほかの SSO パートナーからの要求に応答して独自の cookie を確認する機能など、すべてのシングルサインオン機能を有効または無効にする

ゼロ以外の値に設定した場合、サーバーはすべての SSO 機能を実行する

ゼロに設定した場合、サーバーはどの SSO 機能も実行しない

デフォルト値はゼロ

local.webmail.sso.prefix

このパラメータの文字列値は、Messenger Express HTTP サーバーによって設定された SSO cookie をフォーマットするときのプレフィックスとして使用される。このプレフィックスの付いた SSO cookie だけがサーバーによって認識され、ほかの SSO cookie はすべて無視される

このパラメータの値が null (空白) の場合は、事実上、サーバー上のすべての SSO 機能が無効になる

デフォルト値は null (空白)

この文字列は、メッセージング用 iPlanet Delegated Administrator の resource.properties ファイルで使用されている文字列から末尾に付いている「-」を除いたものと一致する必要がある
例 :

NDAAuth-singleSignOnID=ssogrp1-

この場合、ここで設定する値は ssogrp1 である

local.webmail.sso.id

このパラメータの文字列値は、Messenger Express HTTP サーバーによって設定された SSO cookie をフォーマットするときのアプリケーション ID として使用される。デフォルト値は null (空白)

これは任意の文字列である。この値は Delegated Administrator の resource.properties ファイルに指定した値と一致する必要がある。resource.properties での対応するエントリは次のようになる

Verifycationurl-XXX-YYY=http://webmailhost:webmailport/VerifySSO?

XXX は、上記の local.webmail.sso.prefix 値セット、YYY は、ここで設定される local.webmail.sso.id の値である

local.webmail.sso.
cookiedomain

このパラメータの文字列値は、Messenger Express HTTP サーバーによって設定されたすべての SSO cookie の cookie ドメイン値を設定するために使用される。デフォルト値は null (空白)

このドメインは、Messenger Express ブラウザでサーバーへのアクセスに使用される DNS ドメインと一致する必要がある。ホストしているドメインの名前ではない

local.webmail.sso.
singlesignoff

このパラメータの整数値がゼロ以外に設定されている場合は、クライアントがログアウトするときに、local.webmail.sso.prefix の値に一致するプレフィックス値を持つクライアント上の SSO cookie がすべて消去される

ゼロに設定されている場合は、クライアントがログアウトするときに、Messenger Express がその独自の SSO cookie を消去する

デフォルト値はゼロ

local.sso.appid.verifyurl

ピア SSO アプリケーションの確認 URL 値を設定する。appid は、処理される SSO cookie を生成するピア SSO アプリケーションのアプリケーション ID である。たとえば、Delegated Administrator のデフォルトの appid は、nda45 であり、実際の値は Delegated Administrator の resource.properties ファイルのエントリ NDAAuth-applicationID で指定されている

信頼されている各 ピア SSO アプリケーションに対し、1 つのパラメータが定義されている必要がある。確認 URL の標準形は次のようになる

http://nda-host:port/VerifySSO?

複数の Messenger Express Multiplexors と Messenger Express を実行している Message Store サーバーの前で、または Calendar フロントエンドの前でロードバランサを使用する場合、各物理的システムに異なる appidverifyurl にある実際のホスト名とともに割り当てること。これによって、cookie の確認に正しいシステムが使用される



前へ      目次      索引      次へ     

Copyright 2004 Sun Microsystems, Inc. All rights reserved.