|
| |
| Sun™ Identity Manager 8.0 管理ガイド | |
第 11 章
PasswordSyncPasswordSync は Windows ドメインで開始されたユーザーパスワードの変更を検出し、それらの変更を Identity Manager に転送します。Identity Manager は次に、パスワードの変更を、Identity Manager で定義されているほかのリソースと同期します。
この章で説明する内容は次のとおりです。
PasswordSync の概要PasswordSync 機能は、Windows Active Directory ドメイン上で行われたユーザーパスワードの変更を、Identity Manager で定義されているほかのリソースと同期された状態に保ちます。PasswordSync は、Identity Manager と同期されるドメイン内の各ドメインコントローラにインストールする必要があります。PasswordSync は、Identity Manager とは別にインストールする必要があります。
PasswordSync は、各ドメインコントローラに置かれている DLL (lhpwic.dll) で構成されます。この DLL が Windows からパスワードの更新の通知を受け取り、それを暗号化して HTTPS 経由で PasswordSync サーブレットに送信します。PasswordSync サーブレットは、Identity Manager を実行しているアプリケーションサーバーに置かれています。
PasswordSync サーブレットは、Identity Manager が認識できる形式に通知を変換します。次に、次のいずれかの方法を使用して、まだ暗号化されているパスワードの変更を Identity Manager に送信します。
- 直接の方法 − サーブレットは Identity Manager のネイティブクラスを使用して、パスワードの変更を直接 Identity Manager に送信します。(図 11-1 を参照。)
- JMS による方法 − サーブレットは JMS (Java Message Service) を使用して、パスワードの情報を Identity Manager に送信します。JMS を使用して、サーブレットはパスワードの変更を JMS Message Queue に送信します。それとは別に、Identity Manager の JMS リスナーリソースアダプタが、新しいメッセージがないかキューをチェックします。キューで待機しているパスワードの変更のメッセージが見つかると、JMS リスナーアダプタはメッセージをキューから取り出し、Identity Manager にインポートします。(図 11-2 を参照。)
JMS による方法は、複数のシステムにメッセージを配信し、メッセージ配信を保証する必要がある、より複雑な環境のために使用することをお勧めします。(JMS Message Queue の可用性を高くすることができます。そのようにすると、メッセージの配信が失敗した場合、Identity Manager への配信が可能になるまでキューに変更が保管されます。)
ただし、JMS は別個にインストールして設定する必要があります。
図 11-1 に、直接接続の図を示します。この構成では、PasswordSync サーブレットは更新メッセージを直接 Identity Manager に送信します。
図 11-1 PasswordSync の論理図 (直接接続)
図 11-2 に、JMS 接続の図を示します。この構成では、PasswordSync サーブレットは更新メッセージを JMS Message Queue に送信します。Identity Manager の JMS リスナーリソースアダプタは、新しいメッセージがないかキューを定期的にチェックします (図では明るい青色の矢印で示されている)。キューはメッセージを Identity Manager に送信して応答します (濃い青色の矢印で示されている)。
図 11-2 PasswordSync の論理図 (JMS 接続)
Identity Manager はパスワードの変更の通知を受信すると、通知を復号化し、ワークフロータスクを使用して変更を処理します。ユーザーに割り当てられたすべてのリソース上でパスワードが更新され、SMTP サーバーがユーザーに電子メールを送信し、パスワード変更の状態をユーザーに通知します。
注
Windows が更新の通知を送信するのは、パスワードの変更が成功した場合のみです。パスワード変更リクエストがドメインのパスワードポリシーを満たさない場合、Windows はリクエストを拒否し、同期データは Identity Manager に送信されません。
図 11-3 は、パスワードの更新の通知を受信した後にワークフローを開始し、ユーザーに電子メールを送信する Identity Manager を示しています。
図 11-3 PasswordSync によるワークフローのトリガー
注
PasswordSync は、$ (ドル記号) で終わるアカウント名に対するアカウントの変更の通知をすべて破棄します。$ で終わるアカウント名は、Windows コンピュータアカウントとみなされます。ドル記号で終わるユーザーアカウント名はいずれも Identity Manager に転送されません。
インストールの前提条件PasswordSync 機能は、Windows 2003 および Windows 2000 のドメインコントローラ上でのみ設定できます。(Windows NT ドメインコントローラのサポートはバージョン 8.0 の Identity Manager で打ち切られました。) Identity Manager と同期されるドメイン内のプライマリおよびバックアップのドメインコントローラそれぞれに、PasswordSync をインストールする必要があります。HTTPS を使用するよう PasswordSync を設定することを強くお勧めします。
注
すべてのドメインコントローラで、バージョン 7.1.1 より古いバージョンの PasswordSync をバージョン 7.1.1 以上に更新する必要があります。
rpcrouter2 サーブレットのサポートはバージョン 8.0 で打ち切られました。将来のリリースでは削除されます。PasswordSync の 7.1.1 以降のバージョンは新しいプロトコルをサポートしています。
JMS を使用する場合、PasswordSync は JMS サーバーと接続できる必要があります。JMS システムの要件の詳細については、『Sun Identity Manager リソースリファレンス』の JMS リスナーリソースアダプタに関する節を参照してください。
加えて、PasswordSync には次の要件があります。
これらの要件については、以降の各節で詳しく説明します。
Microsoft .NET 1.1 のインストール
PasswordSync を使用するには、Microsoft .NET Framework 1.1 をインストールする必要があります。このフレームワークは、Windows 2003 ドメインコントローラを使用している場合にはデフォルトでインストールされています。Windows 2000 ドメインコントローラを使用している場合、次の場所の Microsoft Download Center からツールキットをダウンロードできます。
http://www.microsoft.com/downloads
SSL に関する PasswordSync の設定
機密データは Identity Manager サーバーに送信される前に暗号化されますが、セキュリティー保護された SSL 接続 (つまり HTTPS 接続) を使用するように PasswordSync を設定することをお勧めします。
インポートした SSL 証明書をインストールする方法については、マイクロソフトサポート技術情報の次の [HOWTO] 記事を参照してください。
http://support.microsoft.com/kb/816794
PasswordSync をインストールしたら、PasswordSync 設定ダイアログに HTTPS の URL を指定して、SSL 接続が正しく設定されているかをテストできます。手順については、「設定のテスト」を参照してください。
PasswordSync の以前のバージョンのアンインストール
新しいバージョンをインストールする前に、以前にインストールした PasswordSync のインスタンスをすべて削除する必要があります。
Windows での PasswordSync のインストールここでは、PasswordSync 設定アプリケーションをインストールする手順について説明します。
注
Identity Manager と同期されるドメイン内の各ドメインコントローラに PasswordSync をインストールする必要があります。
以前にインストールしたバージョンの PasswordSync があれば、必ずアンインストールしてから続行してください。
PasswordSync をインストールするには、次の手順に従います。
- Identity Manager のインストールメディアから、pwsync¥IdmPwSync_x86.msi をダブルクリックして 32 ビットバージョンの Windows にインストールを行うか、pwsync¥IdmPwSync_x64.msi をダブルクリックして 64 ビットバージョンの Windows にインストールを行います。
「Welcome」ウィンドウが表示されます。
インストールウィザードには、次のナビゲーションボタンがあります。
- 「Welcome」画面の情報を読み、「Next」をクリックして「Setup Type PasswordSync Configuration」ウィンドウを表示します。
- PasswordSync のフルパッケージをインストールする場合は「Typical」または「Complete」をクリックします。インストールするパッケージ内容を変更する場合は「Custom」をクリックします。
- 「Install」をクリックして製品をインストールします。
PasswordSync が正常にインストールされたかどうかを示すメッセージが表示されます。
- 「Finish」をクリックしてインストールプロセスを終了します。
PasswordSync の設定を開始できるように、「Launch Configuration Application」を必ず選択してください。このプロセスの詳細については、「PasswordSync の設定」を参照してください。
表 11-1 に、各ドメインコントローラにインストールされるファイルを示します。
PasswordSync の設定インストーラから設定アプリケーションを実行する場合、ウィザード形式の設定画面が表示されます。ウィザードを終了し、以後 PasswordSync 設定アプリケーションを実行するときは、タブの選択によって設定画面を切り替えることができます。
PasswordSync を設定するには、次の手順に従います。
- まだ実行されていない場合、PasswordSync 設定アプリケーションを開始します。
デフォルトでは、設定アプリケーションは、「Program Files」>「Sun Identity Manager PasswordSync」>「Configuration」でインストールされます。
JMS を使用する予定がない場合は、コマンド行から設定アプリケーションを起動します。必ず -direct フラグを追加してください。
C:¥InstallDir¥Configure.exe -direct
PasswordSync 設定ダイアログが表示されます (図 11-4 参照)。
図 11-4 PasswordSync ウィザードの設定ダイアログ
必要に応じてフィールドを編集します。
- 「Next」をクリックして、プロキシサーバーの設定ページを表示します (図 11-5)。
図 11-5 PasswordSync ウィザードのプロキシサーバーダイアログ
必要に応じてフィールドを編集します。
- 「Next」をクリックして、JMS 設定ダイアログ (図 11-6) を表示します。
または、JMS を使用する予定がなく、-direct フラグを指定して設定ウィザードを起動した場合は、「Next」をクリックしてユーザーダイアログを表示します。手順 5 に進みます。
図 11-6 PasswordSync ウィザードの JMS 設定ダイアログ
必要に応じてフィールドを編集します。
- 「User」には、新しいメッセージをキューに送る JMS ユーザー名を指定します。
- 「Password」と「Confirm」では、JMS ユーザーのパスワードを指定します。
- 「Connection Factory」には、使用する JMS 接続ファクトリの名前を指定します。JMS システム上にすでに存在しているファクトリを指定する必要があります。
- 「Session Type」はほとんどの場合、ローカルセッショントランザクションが使われることを表す LOCAL に設定することが推奨されます。セッションは各メッセージの受信後にコミットされます。指定できるその他の値は AUTO、CLIENT、および DUPS_OK です。
- 「Queue Name」には、パスワード同期イベントのデスティネーションルックアップ名を指定します。
- 「Next」をクリックして、JMS プロパティーダイアログ (図 11-7) を表示します。
図 11-7 PasswordSync ウィザードの JMS プロパティーダイアログ
JMS プロパティーダイアログでは、初期 JNDI コンテキストの構築に使われる一連のプロパティーを定義します。次の名前と値のペアを定義する必要があります。
- JMS を使用する予定がなく、-direct フラグを指定して設定ウィザードを起動した場合は、「User」タブを設定します。その他の場合は、この手順をスキップして次の手順に進みます。
「User」タブを設定するには、必要に応じてフィールドを編集します。
- 「Next」をクリックして、電子メールダイアログ (図 11-8) を表示します。
図 11-8 PasswordSync ウィザードの電子メールダイアログ
電子メールダイアログでは、通信エラーや Identity Manager の外部で発生したその他のエラーが原因でユーザーのパスワード変更が正しく同期されない場合に、電子メール通知を送信するかどうかを設定できます。
必要に応じてフィールドを編集します。
- この機能を有効にするには「Enable Email」を選択します。ユーザーが通知を受け取る場合は「Email End User」を選択します。このオプションを選択しない場合、管理者だけが通知を受け取ります。
- 「SMTP Server」は、障害通知の送信時に使われる SMTP サーバーの完全修飾名または IP アドレスです。
- 「Administrator Email Address」は、通知の送信に使われる電子メールアドレスです。
- 「Sender's Name」は送信者の「フレンドリーネーム」です。
- 「Sender's Address」は送信者の電子メールアドレスです。
- 「Message Subject」には、すべての通知に共通する件名行を指定します。
- 「Message Body」には通知のテキストを指定します。
- 「Finish」をクリックして変更を保存します。
設定アプリケーションの 2 回目以降の実行時には、ウィザードではなく一連のタブで構成される画面が表示されます。設定アプリケーションをウィザード形式で表示したい場合、コマンド行から次のコマンドを入力します。
C:¥InstallDir¥Configure.exe -wizard
PasswordSync の設定をテストするには、「設定のテスト」を参照してください。
Windows での PasswordSync のデバッグWindows での PasswordSync のトラブルシューティングについては、『Identity Manager Tuning, Troubleshooting, and Error Messages』を参照してください。
エラーログ
PasswordSync はすべての障害情報を Windows イベントビューアに書き込みます。(イベントビューアの使用法のヘルプについては、Windows ヘルプを参照してください。)エラーログエントリのソース名は PasswordSync です。
Windows での PasswordSync のアンインストールPasswordSync アプリケーションをアンインストールするには、Windows のコントロールパネルから「アプリケーションの追加と削除」を選択します。次に、「Sun Identity Manager PasswordSync」を選択して「削除」をクリックします。
注
PasswordSync は、Identity Manager のインストールメディアをロードし、pwsync¥IdmPwSync.msi アイコンをクリックしてアンインストール (または再インストール) することもできます。
アンインストールを完了するにはシステムを再起動する必要があります。
アプリケーションサーバーへの PasswordSync の配備PasswordSync が Windows ドメインコントローラにインストールされたら、Identity Manager を実行しているアプリケーションサーバーで追加の手順を実行する必要があります。
アプリケーションサーバーに PasswordSync サーブレットをインストールする必要はありません。Identity Manager をインストールしたときに自動的にインストールされています。
しかし、PasswordSync の配備を終えるためには、Identity Manager で次の操作を実行する必要があります。
JMS リスナーアダプタの追加と設定
PasswordSync サーブレットが JMS を使用して Identity Manager にメッセージを送信している場合は、Identity Manager の JMS リスナーリソースアダプタを追加する必要があります。JMS リスナーリソースアダプタは、PasswordSync サーブレットによって置かれたメッセージがないか、定期的に JMS Message Queue をチェックします。キューに新しいメッセージが含まれている場合、メッセージは処理のために Identity Manager に送信されます。
JMS リスナーリソースアダプタを追加するには、次の手順に従います。
図 11-9 は、「管理するリソースの設定」ページを示しています。「JMS リスナー」が選択されていることを確認します。
図 11-9 「管理するリソースの設定」ページ
- 二次的なメニューから「リソースのリスト」をクリックします。
- 「リソースタイプアクション」ドロップダウンメニューを見つけて、「新規リソース」を選択します。
「新規リソース」ページが開きます。
- ドロップダウンメニューから「JMS リスナー」を選択し、「新規」をクリックします。(図 11-10 を参照。)
JMS リスナーリソースの作成ウィザードの「ようこそ」ページが開きます。「次へ」をクリックして設定ウィザードを開始します。
図 11-10 は新規リソースウィザードを示しています。JMS リスナーリソースアダプタを追加するには、「JMS リスナー」をリストから選択します。
図 11-10 新規リソースウィザード
次の設定を行う必要があります。
- 「宛先タイプ」 − 通常、この値は「キュー」に設定されます。(1 人の加入者が存在し、また複数の発行者が存在する可能性があるため、トピックは通常は関係しません。)
- 「初期コンテキスト JNDI のプロパティー」 − このテキストボックスでは、初期 JNDI コンテキストの構築に使われる一連のプロパティーを定義します。次の名前と値のペアを定義する必要があります。
- java.naming.factory.initial − 値は JNDI サービスプロバイダの初期コンテキストファクトリのクラス名 (パッケージを含む) に設定する必要があります。
- java.naming.provider.url − 値は JNDI サービスを実行しているマシンの URI に設定する必要があります。
追加のプロパティーの定義が必要な場合があります。プロパティーと値のリストは、JMS サーバーの JMS 設定ページで指定するものと一致することが推奨されます。
たとえば、資格およびバインドメソッドを提供するため、次のサンプルプロパティーを指定することが必要な場合があります。
- java.naming.security.principal: Bind DN (例: cn=Directory manager)
- java.naming.security.authentication: Bind method (例: simple)
- java.naming.security.credentials: Password
- 「接続ファクトリの JNDI 名」 − 接続ファクトリの名前 (JMS サーバー上で定義されたもの)。
- 「宛先の JNDI 名」 − 宛先の名前。(JMS サーバー上で定義されたもの)。
- 「ユーザー」および「パスワード」 − キューから新しいイベントをリクエストする管理者のアカウント名とパスワード。
- 「Reliable Messaging サポート」 − LOCAL (ローカルトランザクション) を選択します。それ以外のオプションはパスワード同期には使用しません。
- 「メッセージマッピング」 −
java:com.waveset.adapter.jms.PasswordSyncMessageMapper を入力します。このクラスは、JMS サーバーからのメッセージを、ユーザーパスワード同期ワークフローで使用できる形式に変換します。図 11-11 JMS リスナーリソースウィザードの「リソースパラメータ」ページ
- 「アカウント属性」ウィザードページで、「属性の追加」をクリックします。
図 11-12 JMS リスナーリソースの作成ウィザードの「アカウント属性」ページ
- 次の属性をマップします。これらの属性は、PasswordSyncMessageMapper によって JMS リスナーアダプタで使用可能になります。図 11-12 を参照してください。終了したら、「次へ」をクリックします。
- 「アイデンティティーテンプレート」ウィザードページが開きます。
前の手順で追加した属性は、リソースウィザードの「属性マッピング」セクション (図 11-13) で使用できることに注意してください。
「次へ」をクリックします。
図 11-13 JMS リスナーリソースウィザードの属性マッピング
- 「アイデンティティーシステムのパラメータ」ウィザードページが開きます。
必要に応じてこのページ上のオプションを設定します。
JMS リスナーリソースアダプタの設定の詳細については、『Sun Identity Manager リソースリファレンス』を参照してください。
ユーザーパスワード同期ワークフローの実装
Identity Manager はパスワードの変更の通知を受信すると、「ユーザーパスワード同期」ワークフローを開始します。デフォルトの「ユーザーパスワード同期」ワークフローは、ChangeUserPassword ビューアをチェックアウトしてから、ChangeUserPassword ビューアを再度チェックインします。次に、ワークフローは (最初にパスワードの変更の通知を送信した Windows リソースを除く) すべてのリソースアカウントを処理します。最後に、Identity Manager は、すべてのリソースに対してパスワード変更が成功したかどうかを示す電子メールをユーザーに送信します。
「ユーザーパスワード同期」ワークフローのデフォルト実装を使用する場合、JMS リスナーアダプタインスタンスの処理規則にその実装を割り当てます。処理規則は、同期のために JMS リスナーを設定するときに割り当てることができます (「Active Sync の設定」を参照)。
ワークフローを変更したい場合、$WSHOME/sample/wfpwsync.xml ファイルをコピーして変更を行います。その後、変更したワークフローを Identity Manager にインポートします。
デフォルトのワークフローに対して行うことが考えられる変更には、次のようなものがあります。
ワークフローの使用方法の詳細については、『Sun Identity Manager ワークフロー、フォーム、およびビュー』を参照してください。
通知の設定
Identity Manager には、すべてのリソースにわたってパスワードの変更が成功したかどうかをユーザーに知らせることができる電子メールテンプレートが 2 種類用意されています。次のテンプレートです。
さらに補助が必要な場合にユーザーが従うべき手順について、企業ごとに異なる情報を提供するために、どちらのテンプレートも更新することが推奨されます。詳細については、「電子メールテンプレートのカスタマイズ」を参照してください。
Sun JMS サーバーを使用した PasswordSync の設定Identity Manager は Java Message Service (JMS) を使用して、PasswordSync サーブレットからパスワードの変更の通知を受信できます。配信の保証に加えて、JMS はメッセージを複数のシステムに配信できます。
この節では、シナリオ例を使用しながら、Sun JMS サーバーを使用した PasswordSync の設定手順について説明します。説明する内容は次のとおりです。
概要
ここでは、シナリオ例、Windows PasswordSync ソリューション、および JMS ソリューションについて説明します。
シナリオ例
JMS サーバーを使用して PasswordSync を設定する一般的な (単純な) 方法は、ユーザーが Windows 上で自身のパスワードを変更して、Identity Manager で新しいパスワードを発行し、Sun Directory Server 上で新しいパスワードを使用してユーザーアカウントを更新するというものです。
このシナリオで構成された環境は次のとおりです。
JMS と JNDI を有効にするために、次のファイルが Tomcat の common/lib ディレクトリにコピーされました。
管理オブジェクトの作成と格納
ここでは、次の管理オブジェクトの作成および格納手順について説明します。この手順はシナリオ例が正しく機能するために必要です。
管理オブジェクトは LDAP ディレクトリ内またはファイル内に格納できます。ファイルを使用する場合、ファイルのすべてのインスタンスが同じである必要があります。
最初に、LDAP ディレクトリに管理オブジェクトを格納することについて説明します。ファイルに管理オブジェクトを格納する手順については、こちらに進んでください。
LDAP ディレクトリへの管理オブジェクトの格納
PasswordSync と JMS リスナーは、LDAP ディレクトリに格納されている管理オブジェクトを使用するように設定できます。図 11-14 は、この処理を示しています。PasswordSync サーブレットと JMS リスナーアダプタはどちらも、メッセージを送受信するために、LDAP ディレクトリから接続ファクトリとデスティネーション設定を取得する必要があります。
図 11-14 LDAP ディレクトリからの接続ファクトリおよびデスティネーションオブジェクトの取得
ここでは、Message Queue コマンド行ツール (imqobjmgr) を使用して、LDAP ディレクトリに管理オブジェクトを格納する方法について説明します。
接続ファクトリオブジェクトの格納
Message Queue コマンド行ツール (imqobjmgr) を開き、コード例 11-1 のコマンドを入力して接続ファクトリオブジェクトを格納します。
コード例 11-1 の imqAddressList では、JMS サーバー/ブローカのホスト名 (gwenig.coopsrc.com)、ポート (7676)、およびアクセスの方法 (jms) を定義しています。
デスティネーションオブジェクトの格納
Message Queue コマンド行ツール (imqobjmgr) を開き、コード例 11-2 のコマンドを入力してデスティネーションオブジェクトを格納します。
コード例 11-2 デスティネーションオブジェクトの格納
#> ./imqobjmgr add -l "cn=mytestDestination"
-j "java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory"
-j "java.naming.provider.url=ldap://gwenig.coopsrc.com:389/ou=sunmq,dc=coopsrc,dc=com"
-j "java.naming.security.principal=cn=directory manager"
-j "java.naming.security.credentials=password"
-j "java.naming.security.authentication=simple"
-t q
-o "imqDestinationName=mytestDestination"
Adding a Queue object with the following attributes:
imqDestinationDescription [Destination Description] A Description for the Destination Object imqDestinationName [Destination Name] mytestDestination
Using the following lookup name:
cn=mytestDestination
The object's read-only state: false
To the object store specified by:
java.naming.factory.initial com.sun.jndi.ldap.LdapCtxFactory
java.naming.provider.url ldap://gwenig.coopsrc.com:389/
ou=sunmq,dc=coopsrc,dc=com
java.naming.security.authentication simple
java.naming.security.credentials netscape
java.naming.security.principal cn=directory managerObject successfully added.
LDAP サーバーに管理オブジェクトを格納することについての節はこれで終了です。ファイルに管理オブジェクトを格納する方法について説明する次の節をスキップし、「このシナリオに対する JMS リスナーアダプタの設定」の節に進んでください。
ファイルへの管理オブジェクトの格納
PasswordSync と JMS リスナーは、ファイルに格納されている管理オブジェクトを使用するように設定できます。管理オブジェクトを LDAP サーバーに格納する予定 (こちら) でなければ、この節の手順に従ってください。
接続ファクトリオブジェクトの格納
Message Queue コマンド行ツール (imqobjmgr) を開き、コード例 11-3 のコマンドを入力して接続ファクトリオブジェクトを格納し、ルックアップ名を指定します。
コード例 11-3 接続ファクトリオブジェクトの格納とルックアップ名の指定
#> ./imqobjmgr add -l "mytestFactory" -j "java.naming.factory.initial=
com.sun.jndi.fscontext.RefFSContextFactory"-j "java.naming.provider.url=file:///home/gael/tmp" -t qf -o "imqAddressList=mq://gwenig.coopsrc.com:7676/jms"
Adding a Queue Connection Factory object with the following attributes:
imqAckOnAcknowledge [Message Service Acknowledgement of Client Acknowledgements]
...
imqSetJMSXUserID [Enable JMSXUserID Message Property] false
Using the following lookup name:
mytestFactory
The object's read-only state: false
To the object store specified by:java.naming.factory.initial com.sun.jndi.fscontext.RefFSContextFactory
java.naming.provider.url file:///home/gael/tmpObject successfully added.
To specify a destination:
#> ./imqobjmgr add -l "mytestQueue" -j "java.naming.factory.initial=com.sun.jndi.fscontext.RefFSContextFactory"
-j "java.naming.provider.url=file:///home/gael/tmp" -t q -o "imqDestinationName=myTestQueue"
Adding a Queue object with the following attributes:
imqDestinationDescription [Destination Description] A Description for the Destination Object imqDestinationName [Destination Name] myTestQueue
Using the following lookup name:
mytestQueue
The object's read-only state: false
To the object store specified by:
java.naming.factory.initial com.sun.jndi.fscontext.RefFSContextFactory java.naming.provider.url file:///home/gael/tmp
Object successfully added.
ブローカでのデスティネーションの作成
Sun Message Queue ブローカでは、デフォルトでキューデスティネーションの自動作成が有効になっています (config.properties を参照。ただし、imq.autocreate.queue のデフォルト値は true)。
キューデスティネーションが自動的に作成されない場合、コード例 11-4 に示すコマンドを使用して、ブローカ上でデスティネーションオブジェクトを作成する必要があります (ただし、myTestQueue はデスティネーション)。
コード例 11-4 ブローカでのデスティネーションオブジェクトの作成
name (Queue name):
#> cd /opt/sun/mq/bin
#>./imqcmd create dst -t q -n mytestQueue
Username: <admin>
Password: <admin>
Creating a destination with the following attributes:
Destination Name mytestQueue
Destination Type Queue
On the broker specified by:
-------------------------
Host Primary Port
-------------------------
localhost 7676
Successfully created the destination.
ディレクトリまたはファイルに管理オブジェクトを格納できます。
このシナリオに対する JMS リスナーアダプタの設定
アプリケーションサーバーで JMS リスナーアダプタを設定します。「JMS リスナーアダプタの追加と設定」の手順に従ってください。
Active Sync の設定
次に、同期のために JMS リスナーを設定します。Active Sync は、JMS を使用する場合は必要ですが、直接接続の場合は使用されません。
同期のために JMS リスナーを設定するには、次の手順に従います。
- 管理者インタフェースで、メニューから「リソース」をクリックします。
- 「リソースリスト」で、「JMS リスナー」チェックボックスを選択します。
- 「リソースアクション」リストで、「同期ポリシーの編集」を選択します。
JMS リスナーリソースの同期について編集するページが開きます (図 11-15)。
図 11-15 JMS リスナーの Active Sync の設定
- 「共通設定」の下で、「プロキシ管理者」を見つけ、pwsyncadmin を選択します。(この管理者は、空のフォームと関連付けられています。)
- 「共通設定」の下で、「処理規則」を見つけ、リストから「Synchronize User Password」を選択します。デフォルトのユーザーパスワード同期ワークフローは、JMS リスナーアダプタから送られてくる個々のリクエストを受け取って、ChangeUserPassword ビューアをチェックアウトしてから、ChangeUserPassword ビューアに再度チェックインします。
- 「ログファイルパス」ボックスで、アクティブログとアーカイブされるログのファイルを作成するディレクトリへのパスを指定します。
- デバッグ目的であれば、「ログレベル」を 4 に設定し、詳細なログを生成します。
- 「保存」をクリックします。
設定のテストWindows 側の設定のデバッグに、Windows PasswordSync 設定アプリケーションを使用できます。
PasswordSync 設定をテストするには、次の手順に従います。
- まだ実行されていない場合、PasswordSync 設定アプリケーションを開始します。
デフォルトでは、設定アプリケーションは「Program Files」>「Sun Identity Manager PasswordSync」 >「Configuration」でインストールされます。
- PasswordSync 設定ダイアログが表示されたら、「テスト」ボタンをクリックします。
- JMS を使用している場合は、テスト接続ダイアログ (図 11-16) が表示され、テスト接続が正しく行われたかどうかを示すメッセージが示されます。
図 11-16 テスト接続ダイアログ
- 「閉じる」をクリックしてテスト接続ダイアログを閉じます。
- 「OK」をクリックして、PasswordSync 設定ダイアログを閉じます。
続いて、JMS リスナーアダプタがデバッグモードで実行し、図 11-17 と同様のデバッグ情報をファイルに生成します。
図 11-17 デバッグ情報ファイル
PasswordSync についてのよくある質問Java Messaging Service なしで PasswordSync を実装することはできますか。
はい。ただし、この場合、JMS を使用したパスワード変更イベントの追跡を行えなくなります。
JMS なしで PasswordSync を実装するには、次のフラグを指定して設定アプリケーションを実行します。
Configure.exe -direct
-direct フラグを指定すると、設定アプリケーションは「User」タブを表示します。
JMS なしで PasswordSync を実装する場合、JMS リスナーアダプタを作成する必要はありません。したがって、「アプリケーションサーバーへの PasswordSync の配備」で説明した手順を省くようにしてください。通知を設定したい場合、ユーザーパスワード変更ワークフローを変更する必要がある場合があります。
注
-direct フラグを指定せずに、引き続き設定アプリケーションを実行する場合は、PasswordSync で JMS が設定されている必要があります。-direct フラグを指定してアプリケーションを再実行すると、ふたたび、JMS を使わずに PasswordSync を使用できます。
PasswordSync は、カスタムパスワードポリシーを施行するために使われるほかの Windows パスワードフィルタと組み合わせて使用できますか。
はい。PasswordSync はほかの _WINDOWS_ パスワードフィルタと組み合わせて使用できます。ただし PasswordSync は、レジストリの「Notification Package」エントリの値で列挙されるパスワードフィルタのうち最後のフィルタである必要があります。
次のレジストリパスを使用する必要があります。
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥Lsa¥Notification Packages (種類 REG_MULTI_SZ の値)
デフォルトでは、インストーラは Identity Manager のパスワードインターセプトをリストの最後に置きますが、インストール後にカスタムのパスワードフィルタをインストールした場合、lhpwic を「Notification Packages」リストの最後に移動する必要があります。
PasswordSync はほかの Identity Manager パスワードポリシーと組み合わせて使用できます。Identity Manager サーバーの側でポリシーがチェックされるとき、パスワード同期をほかのリソースにプッシュするために、すべてのリソースのパスワードポリシーが基準を満たす必要があります。結果として、Windows のネイティブパスワードポリシーの制約度を、Identity Manager で定義される最も制約的なパスワードポリシーと同じくらいにすることが推奨されます。
PasswordSync サーブレットを、Identity Manager と異なるアプリケーションサーバー上にインストールできますか。
はい。PasswordSync サーブレットは、JMS アプリケーションが必要とするすべての JAR ファイルに加えて、spml.jar および idmcommon.jar の各 JAR ファイルを必要とします。
PasswordSync サービスは lh サーバーにクリアテキストでパスワードを送信しますか。
Sun では PasswordSync を SSL 上で実行することを推奨しますが、すべての重要なデータは Identity Manager サーバーに送信される前に暗号化されます。
詳細については、「SSL に関する PasswordSync の設定」を参照してください。
パスワード変更の結果、com.waveset.exception.ItemNotLocked が発生することがありますが、それはどうしてですか。
PasswordSync を有効にすると、(ユーザーインタフェースから開始されたものも含めた) パスワード変更の結果としてリソース上でパスワード変更が発生し、それによってリソースが Identity Manager と通信するからです。
passwordSyncThreshold ワークフロー変数が正しく設定されている場合、Identity Manager はユーザーオブジェクトを検証し、パスワード変更が処理済みかどうかを判定します。しかしながら、ユーザーまたは管理者が同じユーザーに対して同時に別のパスワード変更を行う場合、ユーザーオブジェクトがロックされている可能性があります。
