第 8 章   基本構成


この章では、Identity Server を最初に導入するときに通常実装する構成について説明します。

この章には次のトピックがあります。

• ドメイン間のシングルサインオンコンポーネント

• 同じ Directory Server に対する複数の Identity Server インスタンスのインストール

• ディレクトリレプリケーションと高可用性のサポート

ドメイン間のシングルサインオンコンポーネント

---

Identity Server の重要な機能であるドメイン間のシングルサインオン (CDSSO) 機能により、あるドメインで 1 回認証されたら、再認証なしでその他のドメインでアプリケーションを使用できます。次の 2 つの主要なコンポーネントが Identity Server に追加されて、ドメイン間のシングルサインオンを実装します。

• ドメイン間コントローラ: シングルサインオン (SSO) 情報が存在しない場合、コントローラは認証サービスに要求をリダイレクトします。存在する場合は、照会文字列に SSO 情報を付加して、CDSSO コンポーネントに要求をリダイレクトします。このコントローラは、Identity Server サービスをインストールすると自動的にインストールされます。このコントローラのデフォルト URL は次のとおりです。

  http://IS_host:IS_port/URI/cdcservlet

• CDSSO コンポーネント: CDSSO コンポーネントは、主に、このコンポーネントが配備されたドメインの cookie の設定に使用されます。CDSSO コンポーネントは、関連 DNS ドメインとは別にインストールされます。

CDSSO のインストール

---

ドメイン間のシングルサインオンを有効にするには、次の順序に従います。

1. Identity Server 管理およびポリシーサービスをインストールします。

   必要に応じて、第 4 章「新しい Directory Server を使用するインストール」または第 5 章「既存の Directory Server を使用する Identity Server のインストール」に記載されている手順を使用します。

2. すべての関連 DNS ドメインに CDSSO コンポーネントをインストールします。手順については、この章の「GUI を使用した CDSSO コンポーネントのインストール」または「コマンド行からの CDSSO コンポーネントのインストール」を参照してください。

3. 関連 DNS ドメインにインストールされた CDSSO コンポーネントを設定します。

   手順については、「CDSSO コンポーネントを設定するには」を参照してください。

4. オプションで、CDSSO コンポーネントと連携して機能するように Identity Server Web エージェントを設定します。

   手順については、「CDSSO コンポーネントと連携するように Identity Server Web エージェントを設定するには」を参照してください。

GUI を使用した CDSSO コンポーネントのインストール

Identity Server インストールプログラムを使用して CDSSO コンポーネントをインストールできます。インストールプログラムを実行するには、root 権限が必要です。

---

注	このコンピュータの別のディレクトリに CDSSO がインストールされていないことを確認します。次のコマンドを使用して、既存のインスタンスを確認できます。 pkginfo | grep SUNWamcds

---

CDSSO コンポーネントをインストールするには、次の手順に従います。

1. 製品 CD から CDSSO をインストールする場合は、ソフトウェアをインストールするシステムのドライブに製品 CD を挿入します。

   製品をダウンロードした場合は、次のコマンドを使って製品バイナリファイルを解凍します。

   gunzip -dc binaryfile.tar.gz | tar -xvof -

   この場合、binaryfile をダウンロードした製品バイナリの名前に置き換える必要があります。

2. 別の端末ウィンドウを開き、xhost + と入力してマシンのアクセス制御を無効にします。

3. アプリケーションウィンドウで、次のコマンドのどちらかを使用して DISPLAY 変数を設定します。

   csh または tcsh を使用している場合、次のように入力します。

   setenv DISPLAY nila.Siroe.COM:0.0

   sh、ksh、または bash を使用している場合、次のように入力します。

   export DISPLAY=nila.Siroe.COM:0.0

   この場合、nila はインストールプログラムを実行しているマシンです。

4. setup プログラムを実行します。このプログラムは、製品 CD の /cdrom/idserv_60 ディレクトリにあります。製品バイナリをダウンロードした場合、このプログラムはバイナリファイルを展開したディレクトリにあります。

   コマンド行に ./setup と入力します。インストールプログラムが起動し、開始パネルが開きます。

5. ライセンス契約を確認して同意します。

6. 「インストール / アンインストールされるコンポーネント」パネルで、「Sun ONE Identity Server ドメイン間シングルサインオンコンポーネント」だけを選択します。

図 8-1    「インストール / アンインストールされるコンポーネント」パネル

7. 「次へ」をクリックし、「既存の Web Server」パネルで次の情報を入力します。

図 8-2    「既存の Web Server」パネル

既存の Web Server を使用しますか: 既存の Sun ONE Web Server を使用する場合は、「はい」をクリックします。

Identity Server に付属の Sun ONE Web Server をインストールする場合は、「いいえ」をクリックします。

8. 「次へ」をクリックします。上の手順で「いいえ」を選択した場合は、次の情報を入力して、Identity Server 付属の Sun ONE Web Server をインストールし、設定します。「はい」を選択した場合は、この手順を省略して次に進みます。

図 8-3    「Sun ONE Web Server 情報」パネル

管理者: Web Server を設定する管理者としてのユーザ名を入力します。フィールドに表示されるデフォルト名を上書きすることができます。

ポート: Web Server が使用するポート番号を入力します。フィールドに表示されるデフォルトのポート番号を上書きすることができます。

パスワード: 管理者としてのユーザパスワードを入力します。

パスワードの確認: 確認のためにもう一度パスワードを入力します。

サーバを実行するユーザ: Web Server を実行するユーザアカウントを入力します。
(例: nobody)

サーバを実行するグループ: 上述したユーザが属するグループを入力します。
(例: nobody)

9. 「次へ」をクリックし、「CDSSO Web Server の情報」パネルで、次の情報を指定して「次へ」をクリックします。

図 8-4    「CDSSO Web Server の情報」パネル

ホスト名: 参加 DNS ドメインを管理するコンピュータの完全指定のドメイン名を入力します。

インスタンスディレクトリ: Web Server がインストールされているディレクトリの完全パスおよび Web Server のインスタンス名を入力します。このフィールドは、前の手順で既存の Web Server の使用を選択した場合にのみ有効です。

Web Server ポート: 上で指定した Web Server のポート番号を入力します。

CDSSO 配置 URI: URI (Universal Resource Identifier) は、CDSSO コンポーネントが使用する HTML ページの格納場所を示します。URI 接頭辞を入力します。デフォルトは、/amcdsso です。

10. 「次へ」をクリックし、「Sun ONE Identity Server サービス情報」パネルで次の情報を入力します。

図 8-5    「Sun ONE Identity Server Sun ONE Identity Server サービス情報」パネル

Sun ONE Identity Server サービスホスト: Sun ONE Identity Server 管理およびポリシーサービスがインストールされているコンピュータシステムの完全指定名を入力します。

Sun ONE Identity Server サービスポート: Sun ONE Identity Server サービスを実行する Web Server のポート番号を入力します。

サービス配備 URI: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、Sun ONE Identity Server サービスに関連付けられた HTML ページやほかの Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。Identity Server のインストール時に指定した URI 接頭辞を入力してください。デフォルトは、/amserver です。

11. 「現在選択されている設定」パネルで、入力した設定情報を確認します。変更が必要な場合は、「戻る」をクリックします。変更の必要がない場合は、「次へ」をクリックして処理を続行します。

12. 「インストールの準備完了」パネルで、インストール情報を確認します。変更が必要な場合は、「戻る」をクリックします。それ以外の場合は、「今すぐインストール」をクリックしてインストールを開始します。

13. 「インストールの要約」パネルで、「詳細」をクリックして、インストール中に処理された設定情報の詳細を確認します。「閉じる」をクリックしてプログラムを終了します。

コマンド行からの CDSSO コンポーネントのインストール

Identity Server インストールプログラムのコマンド行バージョンを使用して CDSSO をインストールすることもできます。インストールプログラムを実行するには、root 権限が必要です。

コマンド行から CDSSO コンポーネントをインストールするには、次の手順に従います。

1. nodisplay モードで setup プログラムを実行します。このプログラムは、製品 CD の /cdrom/Idserv_60 ディレクトリにあります。製品バイナリをダウンロードした場合、このプログラムはバイナリファイルを展開したディレクトリにあります。

   コマンド行から ./setup -nodisplay と入力します。

   Windows 上でインストールする場合は、次のコマンドを使用します。

   java am -nodisplay

2. 画面に表示される手順を確認します。インストーラが示すさまざまなプロンプトに対する応答方法の説明が表示されます。手順を確認したら、Enter を押してソフトウェアライセンス契約を確認します。インストールのどの段階でも、< を入力して前のプロンプトに戻ることができます。また、! を入力してインストールプログラムを終了することができます。

3. ライセンス契約を確認し、y (Yes) と入力してライセンス契約に同意します。

4. 画面に示された手順を確認し、インストーラが示すさまざまなプロンプトに対する応答方法を理解します。手順を確認したら、Enter を押してソフトウェアライセンス契約を確認します。

5. ライセンス契約を確認し、yes と入力してライセンス契約に同意します。

6. 次のプロンプトで、Identity Server をインストールするディレクトリを指定します。

   Sun ONE Identity Server コンポーネントは、次のディレクトリにインストール されます。そのディレクトリは、"インストールディレクトリ" と呼ばれます。この ディレクトリを使用するには、Enter キーだけを押します。別のディレクトリを使用 するには、そのディレクトリの完全パスを入力した後に Enter キーを押します。    Sun ONE Identity Server コンポーネントをインストールするディレクトリ [/opt] {"<"戻る, "!" 終了}:

7. Enter を押して、コンポーネントをデフォルトディレクトリにインストールします。別のディレクトリにインストールする場合は、そのディレクトリへの絶対パスを入力して Enter を押します。そのディレクトリに対するアクセス権が存在することを確認します。

8. 次のプロンプトで、4 を入力します。

   インストールするコンポーネントを次の中から選択してください。インストールする コンポーネントの番号を入力し、Enter キーを押してください。 1. Sun ONE Identity Server 管理サービスとポリシーサービス 2. Sun ONE Identity Server 管理コンソールのみ 3. 既存の Directory Server を設定 4. Sun ONE Identity Server ドメイン間シングルサインオンコンポーネント 5. 連合管理用の共通ドメインサービス    コンポーネントを選択し ENTER キーを押します [1] {"<" 戻る, "!" 終了} 4

9. 次のプロンプトで、使用する Web Server を指定します。

   既存の Web Server    既存の Web Server を使用しますか [no] {"<" 戻る, "!" 終了}

   既存の Web Server を使用しますか [no]: 既存の Web Server を使用する場合は、yes を入力して Enter を押します。Sun ONE Identity Server に付属の Sun ONE Web Server をインストールする場合は、Enter を押します。

10. 新しい Sun ONE Web Server をインストールし、設定する場合は、次の情報を入力します。既存の Web Server を選択した場合は、この手順を省略して次に進みます。

    Sun ONE Web Server 情報 管理者 [admin] {"<" 戻る, "!" 終了}: ポート [58888] {"<" 戻る, "!" 終了}: パスワード: パスワードの確認: サーバを実行するユーザ [nobody] {"<" 戻る, "!" 終了}: サーバを実行するグループ [nobody] {"<" 戻る, "!" 終了}:

    管理者 [admin]: Sun ONE Web Server のサーバ管理者としてのユーザ名を入力します。Enter を押して、デフォルトのユーザ ID (admin) を選択します。

    ポート [58888]: Identity Server サービスを実行する Web Server のポート番号を入力します。デフォルトのポート番号は 58088 です。デフォルトのポート番号を選択する場合は Enter を押します。

    パスワード: Web Server 管理者のパスワードを入力します。パスワードの指定には 8 文字以上必要です。

    パスワードの確認: 確認のためにもう一度 Web Server 管理者パスワードを入力します。

    サーバを実行するユーザ [nobody]: Web Server を実行するユーザアカウントを入力します。Enter を押して、デフォルトユーザ nobody を選択します。デフォルト名を使用する場合は、Enter を押します。

    サーバを実行するグループ [nobody]: 上述したユーザが属するグループを入力します。例: nobody など。デフォルト名を使用する場合は、Enter を押します。

11. 次の情報を入力して、CDSSO Web Server を設定します。

    CDSSO Web Server の情報 CDSSO が実行する Web サーバについて情報を入力してください    ホスト名 [nila.Siroe.COM] {"<" 戻る, "!" 終了}    インスタンスディレクトリ: /opt/SUNWam/servers/https-nila.Siroe.COM    Web Server ポート [80] {"<" 戻る, "!" 終了}    CDSSO 配備 URI [amcdsso] {"<" 戻る, "!" 終了}:

    ホスト名: Web Server を管理するコンピュータの完全指定のドメイン名を入力します。

    インスタンスディレクトリ: CDSSO Web Server をインストールするディレクトリの完全パスおよび Web Server のインスタンス名を入力します。新しく Web Server をインストールすると、インストールプログラムによりデフォルトのディレクトリとインスタンス名が表示されます。デフォルトをそのまま使用するか、あるいは別のインスタンスディレクトリを入力することができます。ただし、前の手順で既存の CDSSO Web Server を指定するよう選択した場合は、ここでその Web Server へのパスを入力する必要があります。

    Web Server ポート: 上で指定した Web Server のポート番号を入力します。

    CDSSO 配備 URI: URI (Universal Resource Identifier) は、CDSSO コンポーネントが使用する HTML ページの格納場所を示します。URI 接頭辞を入力します。デフォルトは、/amcdsso です。

12. 次の情報を入力して、Identity Server サービスを設定します。

    Sun ONE Identity Server サービス情報    Sun ONE Identity Server サービスホスト [seine.Sesta.COM] {"<" 戻る, "!" 終了}:    Sun ONE Identity Server サービスポート [58080] {"<" 戻る, "!" 終了}:    サービス配備 URI [amserver] {"<" 戻る, "!" 終了}:

    Sun ONE Identity Server サービスホスト: Sun ONE Identity Server 管理およびポリシーサービスがインストールされているコンピュータシステムの完全指定名を入力します。

    Sun ONE Identity Server サービスポート: Sun ONE Identity Server サービスを実行する Web Server のポート番号を入力します。

    サービス配備 URI: Web Server は、URI (Universal Resource Identifier) 接頭辞の指定に従って、Sun ONE Identity Server サービスに関連付けられた HTML ページやほかの Web アプリケーション固有の情報 (クラス、jar などに関する情報) を検索します。Identity Server のインストール時に指定した URI 接頭辞を入力してください。デフォルトは、/amserver です。

13. 次のプロンプトで、1 を入力してインストールを開始します。

    ディスク容量を調べています ....

    次のコンポーネントがインストールされます: プロダクト: Sun ONE Identity Server 場所: /opt サイズ: 85.83 KB -------------------------------- Sun ONE Web Server Sun ONE Identity Server ドメイン間シングルサインオン リソースパッケージ インストールの準備完了 1. 今すぐインストール 2. 開始 3. 終了    上のオプションを 1 つ選択してください [1] {"<" 戻る, "!" 終了}

CDSSO コンポーネントを設定するには

1. インストールされた CDSSO コンポーネントの AMConfig.properties ファイルを編集します。このファイルは IS_root/SUNWam/web-apps/cdsso/WEB-INF/lib ディレクトリにあります。

   com.iplanet.services.cdsso.CDCURL プロパティを、Identity Server サービスを実行中のドメイン間コントローラサービスの URL に設定します。次に例を示します。

   com.iplanet.services.cdsso.CDCURL = http(s)://IS_host:IS_port/services/cdcservlet

2. インストールされた CDSSO コンポーネントの CDSSO.properties ファイルを編集します。このファイルは IS_root/SUNWam/web-apps/cdsso/WEB-INF/classes ディレクトリにあります。

   com.iplanet.services.cdsso.cookieDomain プロパティを、CDSSO コンポーネントを管理するドメイン名に設定します。次に例を示します。

   com.iplanet.services.cdsso.cookieDomain = .sales.com

   CDSSO コンポーネントは、sales.com ドメインで管理されます。

   com.iplanet.services.cdsso.cookieDomain プロパティは、cookie が設定される CDSSO コンポーネントが実行されているドメイン名のリストを指定します。プロパティフィールドを空白のままにすると、cookie ドメインは CDSSO コンポーネントの管理ドメインであるとみなされます。cookie ドメインは 1 個ずつコンマ (,) で区切ります。

CDSSO コンポーネントと連携するように Identity Server Web エージェントを設定するには

リモート Web サーバにインストールされた Identity Server エージェントを構成して、DNS 参加ドメインにインストールされた CDSSO コンポーネントと連携するように設定できます。

1. エージェントの AMAgent.properties ファイルを編集します。エージェントのドメインのドメイン間シングルサインオンサービス URL を指すように com.sun.am.policy.agents.url.loginURL のプロパティを変更します。次に例を示します。

   com.sun.am.policy.agents.url.loginURL = http://CDSSO_host:CDSSO_port/CDSSO_URI/cdsso

   この場合、loginURL は CDSSO コンポーネントの URL です。

2. 適用されていないエージェントのリストに CDSSO URL を追加します。

同じ Directory Server に対する複数の Identity Server インスタンスのインストール

---

パフォーマンスの向上、ディレクトリのレプリケーション、またはエージェントのフェイルオーバのために、Identity Server の複数のインスタンスをこの Directory Server にインストールできます。初めて Identity Server インストールプログラムを実行するときは、通常 Sun ONE Identity Server ポリシーおよび管理サービスをインストールします。このオプションを使用すると、自動的に Directory Server がインストールされます。これがマスター Directory Server になります。同じマスターディレクトリに複数の Identity Server をインストールする場合は、ammultiserverinstall スクリプトを実行してください。

図 8-6 では、単一の Directory Server にインストールされた 2 つの Identity Server インスタンスを示します。

図 8-6    単一の Directory Server にインストールされた 2 つの Identity Server インスタンス

同じ Directory Server に複数の Identity Server インスタンスをインストールするには

複数の Identity Server インスタンスを作成およびインストールするには、ルートアクセス権が必要です。

1. 次のディレクトリに移動します。

   cd IS_root/SUNWam/bin

2. コマンド行に次のコマンドを入力します。

   ./ammultiserverinstall instance_name port_number

   この場合、instance_name はこれから作成する新しい Identity Server インスタンス、port_number はそのポート番号です。

   新しいインスタンスをインストールすると、次のファイルおよびディレクトリが作成されます。

   • 新しい amserver スクリプトファイル:

   /IS_root/SUNWam/bin/amserver.instance_name

   • 新しい AMConfig.properties ファイル:

   /IS_root/SUNWam/lib/AMConfig-instance_name.properties

   • 新しい Web サーバインスタンスディレクトリ:

   /IS_root/SUNWam/servers/https-instance_name

Identity Server インスタンスの起動

• 単一の Identity Server インスタンスを起動するには、次のコマンドを入力します。

  ./amserver.instance_name start

• すべての Identity Server インスタンスを起動するには、次のコマンドを入力します。

  ./amserver startall

Identity Server インスタンスの停止

• 単一の Identity Server インスタンスを停止するには、次のコマンドを入力します。

  ./amserver.instance_name stop

• すべての Identity Server インスタンスを停止するには、次のコマンドを入力します。

  ./amserver stopall

Identity Server インスタンスの削除

• Identity Server インスタンスを削除するには、次のコマンドを入力します。

  ./amserver delete instance_name

ディレクトリレプリケーションと高可用性のサポート

---

レプリケートされたサーバ間の負荷均衡とユーザに近いレプリケートされたサーバの検索が、企業のサーバの性能と応答時間を向上させる 2 つの方法です。Identity Server の導入でディレクトリレプリケーションアグリーメントを実装して、Identity Server サーバとサービスの可用性と性能を高めることができます。シングルサプライヤ構成またはマルチサプライヤ構成で Identity Server ディレクトリサーバをセットアップできます。また、iPlanet Directory Access Router などの負荷均衡アプリケーションを設定して Identity Server と連携できます。

レプリケーションに関する検討事項

Identity Server をインストールする前に、レプリケーション用のディレクトリサーバを設定します。これにより、サプライヤとコンシューマのデータベースが始めから同期され、レフェラルや更新が正しく行われていることを確認できます。情報は、各 Identity Server データベースで同じである必要があります。

レプリケーション用の Identity Server をインストールする場合は、Directory Server の各インスタンスおよび Identity Server の各インスタンスに、以下の項目に同じ値を指定してください。

• ディレクトリマネージャ

• ディレクトリマネージャのパスワード

• Directory Server の管理者 ID

• サーバ管理者のパスワード

• ベース接尾辞

• デフォルトの組織

Identity Server の導入でディレクトリレプリケーションを実装できない場合もあります。たとえば、認証サーバのホスト名や IP アドレスが同じでなければならない場合などです。この場合、地理的に離れているレプリケートされた Identity Server サーバは使用できません。リモートサーバは、それぞれの LAN に対してだけローカルなサーバに対して認証を実行できません。

Directory Server のレプリケーションの計画と実装に関する総合的な情報については、Sun ONE Directory Server の『導入ガイド』および『インストールガイド』を参照してください。これらのガイドは、インターネット上の次のアドレスでアクセスできます。

http://docs.sun.com/db/prod/s1dirsrv

ディレクトリレプリケーションをサポートするための Identity Server の設定

シングルサプライヤまたはマルチサプライヤのレプリケーションと連携するように Identity Server を設定できます。この節で示されているそれぞれの構成で同じ手順に従います。このマニュアルの「ディレクトリレプリケーションと連携するように Identity Server を設定するには」を参照してください。

図 8-7 は、コンシューマが読み取り専用のデータベースであるシングルサプライヤ構成を示しています。書き込み操作の要求は、サプライヤデータベースに対して照会されます。この設定は、作業負荷を複数のディレクトリに分散することにより、サーバの性能をある程度向上させます。

図 8-7    シングルサプライヤレプリケーション

図 8-8 は、Identity Server の複数のインスタンスを使用するマルチサプライヤ構成を示しています。この構成では、フェイルオーバ保護と高可用性が提供されるため、サーバの性能がさらに向上します。

図 8-8    マルチマスターレプリケーション (MMR) とも呼ばれるマルチサプライヤ構成

図 8-9 は、iPlanet Access Router を含むマルチサプライヤ構成を示しています。この構成は、Identity Server がサポートするフェイルオーバ、高可用性、および負荷均衡の管理を最大限に活用しています。

図 8-9    負荷均衡処理を行うマルチサプライヤレプリケーション

ディレクトリレプリケーションと連携するように Identity Server を設定するには

次の手順に従って、Identity Server ディレクトリツリーのルートレベル、つまり最上位レベルでレプリケーションを設定します。この手順に従って、デフォルトの組織のレベルでレプリケーションを設定することもできます。

1. サプライヤとコンシューマの Directory Server (バージョン 5.1) をインストールします。手順については、Directory Server の『インストールガイド』を参照してください。

2. サプライヤとコンシューマの Directory Server 間でレプリケーションアグリーメントを設定してから、ディレクトリのレフェラルや更新が正しく行われていることを確認します。手順については、Directory Server の『管理者ガイド』を参照してください。

3. 5.1 より前の既存の Directory Server のユーザデータを持つ Identity Server を使用する場合は、次の処理に進む前に、ユーザデータを移行して、ディレクトリ情報ツリー (DIT) を変更する必要があります。このマニュアルの第 5 章「既存の Directory Server を使用する Identity Server のインストール」に記載されている詳細手順に従います。手順 5 に進んでください。

4. 初めて Identity Server および Directory Server を導入する場合、または既存のユーザデータを Identity Server で使用する予定でない場合は、Identity Server インストールプログラムを実行して Identity Server 管理およびポリシーサービスをインストールします。

   インストール中に、既存の Directory Server を使用するかどうかを尋ねられます。「はい」と答え、手順 1 でインストールしたサプライヤ Directory Server のホスト名とポート番号を指定します。

   詳しい手順については、第 5 章の「既存の Directory Server を使用する Identity Server のインストール」を参照してください。

5. Identity Server 管理およびポリシーサービスがインストールされているサーバで、次のファイルを変更します。

   IS_root/SUNWam/lib/AMConfig.properties

   1. 手順 1 でインストールしたコンシューマ Directory Server のホスト名とポート番号を反映するように次のプロパティを変更します。
      • com.iplanet.am.directory.host

      • com.iplanet.am.directory.port

   2. 次のプロパティを変更します。
      • replica.enabled=true

      • com.iplanet.am.replica.retries

        要求されたエントリが見つからない場合は、Identity Server が同じ要求を繰り返す回数を指定します。

      • com.iplanet.am.replica.delay.between.retries

        Identity Server が許可する再試行間隔をミリ秒単位で指定します。

6. 有効にした各 Identity Server 認証モジュールで、手順 1 でインストールしたコンシューマディレクトリを指定する必要があります。この手順では、LDAP 認証モジュールを例として使用しています。
   1. Identity Server コンソールの「表示」フィールドで、「サービス管理」を選択します。

   2. 「サービス名」列の「認証」で、設定し直す必要があるモジュールを探します。「プロパティ」列で、設定し直す必要のあるモジュールに対応する矢印をクリックします。

   3. 右側の区画に、「LDAP サーバとポート」という名前のフィールドが 2 つあります。
      • 「LDAP サーバとポート」 という名前の最初のフィールドで、プライマリ (コンシューマ) Directory Server のホスト名とポート番号を入力します。
        例: consumer1.madisonparc.com:389

      • 「LDAP サーバとポート」という名前の 2 番目のフィールドで、セカンダリ (サプライヤ) ディレクトリのホスト名とポート番号を入力します。
        例: supplier1.madisonparc.com:399

   4. 「実行」をクリックします。

7. 次の IS_root/SUNWam/config/ums/serverconfig.xml で、手順 1 でインストールしたコンシューマディレクトリのホスト名とポート番号を指定します。次に例を示します。

   <iPlanetDataAccessLayer>

   <ServerGroup name="default" minConnPool="1"

   maxConnPool="10">

   <Server name="Server1"

   host="consumer1.madisonparc.com" port="389"

   type="SIMPLE" />

8. 次のコマンドを使って、Identity Server を再起動します。

   /etc/init.d/amserver start

Identity Server と連携する LDAP 負荷均衡アプリケーションの設定

iPlanet Directory Access Router などの LDAP 負荷均衡アプリケーションを設定して Identity Server と連携させることができます。iPlanet Directory Access Router は、設定された一連のディレクトリサーバ間でダイナミックに LDAP 処理の負荷均衡を行います。1 つ以上のディレクトリサーバが使用できなくなると、負荷が残りのサーバ間でバランスよく分散し直されます。ディレクトリサーバが復旧すると、負荷はバランスよくダイナミックに割り当てし直されます。

図 8-10    負荷均衡管理を行うマルチマスターレプリケーション

LDAP 負荷均衡アプリケーションを使用すると、Identity Server が提供する基本的なレベルを超える高可用性とディレクトリのフェイルオーバ保護が可能になります。たとえば、iPlanet Directory Access Router を設定する際、1 台のサーバが使用できなくなったときに各サーバに分散し直す負荷の割合を指定できます。iPlanet Directory Access Router は要求トラフィックの管理を続行し、すべてのバックエンド LDAP サーバが使用できなくなるとクライアントの照会を拒否し始めます。

これに比べて、Identity Server の高可用性機能は、同じように厳密に設定または管理できません。ただし、iPlanet Directory Access Router などの LDAP 負荷均衡アプリケーションを追加すると、Identity Server はすべての要求をその負荷均衡アプリケーションにシームレスに転送するので全体的な管理が向上します。

負荷均衡アプリケーションのインストールを選択する場合、アプリケーションを認識するように Identity Server を設定する必要があります。

負荷均衡アプリケーションと連携するように Identity Server を設定するには

1. 次の手順を実行する前に、次のことを行う必要があります。
   • レプリケーション用の Directory Server をセットアップします。ディレクトリレプリケーションの総合的な情報と詳しいセットアップ手順については、『Sun ONE Directory Server 管理者ガイド』の「複製処理の管理」を参照してください。

   • LDAP 負荷均衡アプリケーションをインストールおよび設定します。製品に付属のマニュアルに記載されている手順に従ってください。

2. 手順 1 でインストールしたコンシューマ Directory Server のホスト名とポート番号を反映するように、IS_root/SUNWam/lib/AMconfig.properties ファイルの次のプロパティを変更します。
   • com.iplanet.am.directory.host

   • com.iplanet.am.directory.port

3. 有効にした各 Identity Server 認証モジュールで、手順 1 でインストールしたコンシューマディレクトリを指定する必要があります。この手順では、LDAP 認証モジュールを例として使用しています。
   1. Identity Server コンソールの「表示」フィールドで、「サービス管理」を選択します。

   2. 「サービス名」列の「認証」で、設定し直す必要があるモジュールを探します。「プロパティ」列で、設定し直す必要のあるモジュールに対応する矢印をクリックします。

   3. 右側の区画に、「LDAP サーバとポート」という名前のフィールドが 2 つあります。
      • 「LDAP サーバとポート」 という名前の最初のフィールドで、次の形式でプライマリ (コンシューマ) Directory Server のホスト名とポート番号を入力します。

        proxyhostname:port

      • 「LDAP サーバとポート」 という名前の 2 番目のフィールドには、何も入力しません。

   4. 「実行」をクリックします。

4. IS_root/SUNWam/config/ums/serverconfig.xml で、手順 1 でインストールしたコンシューマディレクトリのホスト名とポート番号を指定します。

   次に例を示します。

   <iPlanetDataAccessLayer>

   <ServerGroup name="default" minConnPool="1"

   maxConnPool="10">

   <Server name="Server1"

   host="idar.madisonparc.com" port="389"

   type="SIMPLE" />

5. 次のコマンドを使って、Identity Server を再起動します。

   /etc/init.d/amserver start