このセクションでは、Tomcatに識別情報アプリケーションの新しいインスタンスをインストールし、それをクラスタリング用に設定するための段階的な手順を説明します。
Identity Manager 4.6エンジンをインストールします。詳しい手順については、セクション 7.0, 識別ボールトのインストールの計画を参照してください。運用レベルの展開については、別のサーバ上にIdentity Managerエンジンをインストールすることをお勧めします。
便利なインストーラを使用して、PostgreSQLをインストールします。
Identity Managerは、SLES 11 SP4上のPostgreSQL 9.4.10およびその他のサポートされるプラットフォーム上のPostgreSQL 9.6.1をサポートしています。
詳しい手順については、セクション 28.0, PostgreSQLとTomcatのインストールを参照してください。運用レベルの展開については、別のサーバ上にPostgreSQLをインストールすることをお勧めします。
識別情報アプリケーションの次のドライバを作成し、展開します。
ユーザアプリケーションドライバ
役割とリソースサービスドライバ
詳しい手順については、セクション 38.0, 識別情報アプリケーション用のドライバの作成と展開を参照してください。
Novelでは、次のIdentity Managerコンポーネントをインストールします。
Tomcat
便利なコントローラを使用してTomcatをインストールし、インストールプロセス中にTomcatのみを選択します。詳しい手順については、セクション 28.0, PostgreSQLとTomcatのインストールを参照してください。
OSP
OSPのインストールの詳細については、セクション 32.0, Identity Manager用パスワード管理のインストールを参照してください。
インストールプロセス中に、[認証の詳細]ページでIdentity Managerエンジン(eDirectory)サーバのIPアドレスとポート番号を入力します。
ユーザアプリケーション
インストールプロセス中に、以下を設定します。
Tomcatをアプリケーションサーバとして選択します。
PostgreSQLをデータベースプラットフォームとして選択します。
メモ:Identity Manager 4.6がサポートするデータベースのすべてを使用できます。
後続のページに必要なデータベースの詳細を提供します。
PostgreSQLサーバからクラスタ内のすべてのユーザアプリケーションノードにデータベースドライバファイルpostgresql-9.4.1212-.jdbc42.jarをコピーします。
メモ:OracleやSQL Serverなどの他のがサポートするデータベースを使用している場合は、データベースをインストールしているサーバからクラスタ内のすべてのユーザアプリケーションノードに各ドライバのjarファイルをコピーしていることを確認します。詳細については、セクション 35.0, 識別情報アプリケーションのデータベースの設定を参照してください。
コピーされたデータベースドライバjarファイルを参照して選択します。
2つのデータベースまたは既存のデータベース詳細ページで、新しいデータベースオプションを選択します。
[dentity Manager Configuration (Identity Manager設定)]ページで、ワークフローエンジンIDフィールドに固有の名前を入力します。たとえば、Engine1 for Node1などの固有の名前を使用できます。
新しいマスタキーを作成するには、[Security – Master Key (セキュリティ - マスタキー)]ページで、いいえを選択します。
識別情報アプリケーションは、マスタキーを使用して機密データを暗号化します。これはクラスタ内の識別情報アプリケーションの最初のインスタンスであるため、いいえを選択して、新しいマスタキーを作成するようにインストールプログラムに指示する必要があります。クラスタ内で、ユーザアプリケーションのクラスタリングでは、ユーザアプリケーションのすべてのインスタンスが同じマスタキーを使用する必要があります。同じマスタキーが使用されるようにするには、これらのインスタンスの設定中にはいを選択して既存のキーをインポートします。
メモ:ユーザアプリケーションのインストールについての詳細な手順および情報については、セクション 37.0, 識別情報アプリケーションのインストールを参照してください。.
Node2では、次のアクションを実行します。
便利なインストーラを使用してTomcatをインストールします(インストールプロセス中にTomcatのみを選択します)。
詳しい手順については、セクション 28.0, PostgreSQLとTomcatのインストールを参照してください。
OSPをインストールします。
OSPのインストールの詳細については、セクション 32.0, Identity Manager用パスワード管理のインストールを参照してください。.
インストールプロセス中に、[認証の詳細]ページでIdentity Managerエンジン(eDirectory)サーバのIPアドレスとポート番号を入力します。
ユーザアプリケーションをインストールします。
インストールプロセス中に、以下を設定します。
Tomcatをアプリケーションサーバとして選択します。
PostgreSQLをデータベースプラットフォームとして選択します。
メモ:サポートされているすべてのデータべ―スを使用します。
インストール手順の後続のページで必要なデータベースの詳細を提供します。
postgresql-9.4.1212jdbc42.jarデータベースドライバjarファイルをPostgreSQLサーバからNode2にコピーします。
メモ:OracleやSQL Serverなどの他のIdentity Manager 4.5.1がサポートするデータベースを使用している場合は、データベースをインストールしているサーバからクラスタ内のすべてのユーザアプリケーションノードに各ドライバのjarファイルをコピーしていることを確認します。詳細については、セクション 35.0, 識別情報アプリケーションのデータベースの設定を参照してください。
コピーされたデータベースドライバjarファイルを参照して選択します。
新しいデータベースまたは既存のデータベースの詳細ページで、既存のデータベースオプションを選択します。
[dentity Manager Configuration (Identity Manager設定)]ページで、ワークフローエンジンIDフィールドに固有の名前を入力します。たとえば、Engine2 for Node2などの固有の名前を使用できます。
[Security – Master Key (セキュリティ - マスタキー)]ページで新しいマスタキーを作成するには、はいを選択します。
ユーザアプリケーションのクラスタリングでは、ユーザアプリケーションのすべてのインスタンスが同じマスタキーを使用する必要があります。同じマスタキーが使用されていることを確認するには、はいを選択して既存のキーをインポートします。このキーは、Node1でユーザアプリケーションの最初のインスタンスがインストールされたときに作成されます。
Node1の/TOMCAT_INSTALLED_HOME/conf/ にあるism-configurationプロパティファイルからマスタキーを取得できます。マスタキーを含むパラメータは、com.novell.idm.masterkeyです。
インストールをクリックして、インストールを完了します。
メモ:ユーザアプリケーションのインストールの詳細については、セクション 37.0, 識別情報アプリケーションのインストールを参照してください。
別のコンピュータにSSPRをインストールします。
インストールする前に、次の設定のメモを作成して、インストールプロセス中にそれを指定します。
Tomcatをインストールします。 インストール手順については、手順4aを参照してください。
SSPRをインストールします。
SSPRインストール中に、次のアクションを実行します。
アプリケーションサーバの接続ページで、Connect to external authentication server (外部認証サーバへの接続)を選択し、ロードバランサがインストールされているサーバのDNS名を入力します。
[認証の詳細]ページで、Identity ManagerエンジンサーバのIPアドレスとポートを入力します。CA証明書のパスワードは「changeit」です。
SSPRインストールが完了したら、Tomcatを開始して、SSPR (http://<IP>:<port>/sspr/private/config/ConfigEditor)を起動し、ログインします。Configuration Editor (環境設定エディタ) > 設定 > セキュリティ> Redirect Whitelist (ホワイトリストをリダイレクト)をクリックします。.
Add value (値の追加)をクリックし、次のURLを指定します。
OSP: http://<dns of the failover><port>/osp
変更内容を保存します。
SSPRの設定ページで、設定 > OAuth SSOをクリックし、ロードバランサソフトウェアがインストールされているサーバのDNS名でIPアドレスを置き換えて、OSPリンクを変更します。
設定 > アプリケーションをクリックし、ロードバランサソフトウェアがインストールされているサーバのDNS名でIPアドレスを置き換えて、フォワードおよびログアウトURLを更新します。
Node1上のSSPR情報を更新するには、/opt/netiq/idm/apps/UserApplication/configupdate.shにある設定ユーティリティを起動します。
表示されるウィンドウで、SSOクライアント > Self Service Password Resetをクリックし、クライアントID、パスワード、およびOSP Auth redirect URL (OSP認証リダイレクトURL)パラメータの値を入力します。
メモ:これらのパラメータの値がNode2で更新されていることを確認します。
クラスタノード上で次の設定タスクを実行します。
すべてのクラスタノードのTomcatを再起動します。
SSPR IPアドレスで[パスワードを忘れた場合]リンクを更新するには、Node1でユーザアプリケーションにログインし、管理 > パスワードを忘れた場合をクリックします。
SSPR設定の詳細については、セクション 39.6, パスワードを忘れた場合の管理の設定を参照してください。
[パスワードの変更]リンクを変更するには、セクション 39.6.4, 分散環境またはクラスタ化環境におけるダッシュボードのSSPRリンクの更新を参照してください。
[パスワードを忘れた場合]および[パスワードの変更]リンクがNode2のSSPR IPアドレスで更新されていることを確認します。
メモ:[パスワードの変更]および[パスワードを忘れた場合]リンクがすでにSSPR IPアドレスで更新されている場合、変更は必要ありません。
Node1で、Tomcatを終了し、次のコマンドを使用して、ロードバランササーバのDNS名を指定して、新しいosp.jksファイルを生成します。
/opt/netiq/idm/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <password> -keypass <password> -alias osp -validity 1800 -dname "cn=<loadbalancer IP/DNS>"
例: /opt/netiq/idm/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"
メモ:キーパスワードがOSPインストール中に入力したパスワードと同じであることを確認します。または、これをキーストアパスワードを含む設定更新ユーティリティを使用して変更することもできます。
(状況に応じて実行) osp.jksファイルが変更で更新されているかどうかを確認するには、次のコマンドを実行します。
/opt/netiq/idm/jre/bin/keytool -list -v -keystore osp.jks -storepass changeit
/opt/netiq/idm/apps/osp_sspr/osp/にある元のosp.jksファイルのバックアップをとり、新しいosp.jksファイルをこの場所にコピーします。新しいosp.jksファイルは、手順 8で作成されています。
Node1からクラスタの他のユーザアプリケーションノードに/opt/netiq/idm/apps/osp_sspr/osp/にある新しいosp.jksファイルをコピーします。
Node1で設定ユーティリティを起動し、[ランディングページへのURLリンク]や[OAuthリダイレクトURL]などのURL設定のすべてを[SSOクライアント]タブのロードバランサDNS名に変更します。
設定ユーティリティで変更を保存します。
クラスタの他のすべてのノードでこの変更を反映させるには、Node1から、クラスタ内の他のユーザアプリケーションノードに/TOMCAT_INSTALLED_HOME/confにある ism-configuration propertiesプロパティファイルをコピーします。
メモ:Node1から、クラスタ内の他のノードにism.propertiesファイルをコピーしました。ユーザアプリケーションインストール中にカスタムインストールパスを指定した場合は、参照パスがクラスタノードの設定更新ユーティリティを使用して修正されていることを確認します。
このシナリオでは、OSPとユーザアプリケーションのどちらも同じサーバにインストールされます。したがって、同じDNS名がURLをリダイレクトするために使用されます。
OSPおよびユーザアプリケーションが別のサーバにインストールされている場合は、OSP URLをロードバランサを参照する異なるDNS名に変更します。OSPがインストールされるすべてのサーバに対してこれを実行します。これを行うと、すべてのOSP要求がロードバランサを介してOSPクラスタDNS名にディスパッチされます。これには、OSPノードに別のクラスタがある必要があります。
/TOMCAT_INSTALLED_HOME/bin/ディレクトリにあるsetenv.shファイルで次のアクションを実行します。
mcast_addr バインディングが成功するためには、JGroupでpreferIPv4Stackプロパティがtrueに設定されている必要があります。これを実行するには、すべてのノードのsetenv.shファイルにJVMプロパティ「-Djava.net.preferIPv4Stack=true」を追加します。
Node1のsetenv.shファイルに「-Dcom.novell.afw.wf.Engine-id=Engine1」を追加します。同様に、クラスタ内の各ノードに固有のエンジン名を追加します。たとえば、Node2の場合、Engine2として既存の名前を追加できます。
ユーザアプリケーションでクラスタリングを有効にします。
Node1でTomcatを起動します。
他のサーバを起動しないでください。
ユーザアプリケーション管理者としてユーザアプリケーションにログインします。
[Administration]タブをクリックします。
ユーザアプリケーションに、アプリケーション環境設定ポータルが表示されます。
[キャッシング]をクリックします。
ユーザアプリケーションに[キャッシュマネージャー]ページが表示されます。
[有効なクラスタ]プロパティで、[True]を選択します。
[保存]をクリックします。
Tomcatを再起動します。
メモ:[Enable Local settings (ローカル設定を有効化)]を選択している場合は、クラスタ内の各サーバについてこの手順を繰り返します。
ユーザアプリケーションクラスタは、デフォルトUDPを使用してノード間のキャッシュ同期にJGroupsを使用します。TCPを使用するようにこのプロトコルを変更する場合は、Configuring User Application to use TCPを参照してください。
クラスタリングのパーミッションインデックスを有効にします。
Node1でiManagerにログインし、View Objects (オブジェクトの表示)に移動します。
システムの下で、ユーザアプリケーションドライバを含むドライバセットに移動します。
AppConfig > AppDefs > 環境設定の順に選択します。
XMLData属性を選択し、com.netiq.idm.cis.clusteredプロパティをtrueに設定します。
次に例を示します。
<property>
<key>com.netiq.idm.cis.clustered</key>
<value>true</value>
</property>
[OK]をクリックします。
Tomcatクラスタを有効にします。
Tomcat server.xml ファイルを/TOMCAT_INSTALLED_HOME/conf/から開き、すべてのクラスタノード上でこのファイルのこの行をコメント解除します。
<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
高度なTomcatクラスタリング設定の場合、https://tomcat.apache.org/tomcat-7.0-doc/cluster-howto.htmlの手順を実行します。
すべてのノードでTomcatを再起動します。
クラスタリング用のユーザアプリケーションドラバを設定します。
クラスタで、ユーザアプリケーションドライバは、クラスタのロードバランサのDNS名を使用するように設定する必要があります。ユーザアプリケーションドライバは、iManagerを使って環境設定します。
Identity Managerエンジンを管理するiManagerにログインします。
iManagerのナビゲーションフレームにある[Identity Manager]ノードをクリックします。
Identity Managerの概要をクリックします。
ユーザアプリケーションドライバおよび役割とリソースサービスドライバを含むドライバセットのIdentity Managerの概要を表示するには、検索ページを使用します。
ドライバアイコンの右上隅にある円形のステータスインジケータをクリックします。
ドライバの起動と停止、およびドライバのプロパティの編集に関するコマンドが含まれたメニューが表示されます。
プロパティの編集を選択します。
[ドライバパラメータ]セクションで、ホストをディスパッチャのホスト名またはIPアドレスに変更します。
[OK]をクリックします。
ドライバを再起動します。
役割とリソースのサービスドライバのURLを変更するには、18aから18fまでの手順を繰り返し、ドライバ環境設定をクリックして、ユーザアプリケーションのURLをロードバランサDNS名で更新します。
セッションの粘着度がユーザアプリケーションノード用にロードバランサソフトウェアで作成したクラスタに対して有効になっていることを確認します。
Identity Managerダッシュボード上でのクライアント環境設定詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Configuring Client Settings Mode」を参照してください。
ほとんどのロードバランサは、HTTPサーバが稼働およびリスンしているかどうかを判断するためのヘルスチェック機能を提供します。ユーザアプリケーションには、ロードバランサにHTTPヘルスチェックを設定するために使用できるURLが含まれます。URLは次のとおりです。
http://<NodeIP>:port/IDMProv/jsps/healthcheck.jsp