Identity Managerは、Tomcatクラスタ環境のSSPR設定をサポートします。
別のコンピュータ上にすでに存在しているSSPRを設定するには、次の手順を実行します。
セクション 31.1, パスワード管理コンポーネントをインストールするためのチェックリストで前提条件とシステム要件を確認します。
セクション 32.1, ウィザードを使用したSelf Service Password Resetのインストールの手順に従って、次の手順がインストールプロセス中に考慮されていることを確認します。
アプリケーションサーバの接続ページで、Connect to external authentication server (外部認証サーバへの接続)を選択し、ロードバランサがインストールされているサーバのDNS名を入力します。
[認証の詳細]ページで、Identity ManagerエンジンサーバのIPアドレスとポートを入力します。CA証明書のパスワードは「changeit」です。
SSPRのインストールを完了した後で、SSL設定を更新します。詳細については、セクション 52.3, セルフサービスパスワードリセットのSSL設定の更新を参照してください。
クラスタの1番目のノードのSSPR情報を更新するには、/opt/netiq/idm/apps/UserApplication/configupdate.shから設定ユーティリティを起動します。
表示されるウィンドウで、SSOクライアント > Self Service Password Resetをクリックし、クライアントID、パスワード、およびOSP Auth redirect URL (OSP認証リダイレクトURL)パラメータの値を入力します。
クラスタノード上で次の設定タスクを実行します。
SSPR IPアドレスで[パスワードを忘れた場合]リンクを更新するには、1番目のノードでユーザアプリケーションにログインし、管理 > パスワードを忘れた場合をクリックします。
SSPR設定の詳細については、セクション 39.6, パスワードを忘れた場合の管理の設定を参照してください。
[パスワードの変更]リンクを変更するには、セクション 39.6.4, 分散環境またはクラスタ化環境におけるダッシュボードのSSPRリンクの更新を参照してください。
[パスワードを忘れた場合]および[パスワードの変更]リンクがクラスタの他のノードのSSPR IPアドレスで更新されていることを確認します。
メモ:[パスワードの変更]および[パスワードを忘れた場合]リンクがすでにSSPR IPアドレスで更新されている場合、変更は必要ありません。
1番目のノードで、Tomcatを終了し、次のコマンドを使用してロードバランササーバのDNS名を指定して、新しいosp.jksファイルを生成します。
/opt/netiq/idm/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <password> -keypass <password> -alias osp -validity 1800 -dname "cn=<loadbalancer IP/DNS>"
例 : /opt/netiq/idm/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"
メモ:キーパスワードがOSPインストール中に入力したパスワードと同じであることを確認します。または、これをキーストアパスワードを含む設定更新ユーティリティを使用して変更することもできます。
(状況に応じて実行) osp.jksファイルが変更で更新されているかどうかを確認するには、次のコマンドを実行します。
/opt/netiq/idm/jre/bin/keytool -list -v -keystore osp.jks -storepass changeit
/opt/netiq/idm/apps/osp_/にある元のosp.jksファイルのバックアップをとり、新しいosp.jksファイルをこの場所にコピーします。新しいosp.jksファイルは、手順3で作成されています。
1番目のノードからクラスタ内のユーザアプリケーションノードのすべてに/opt/netiq/idm/apps/osp/ にある新しいosp.jksファイルをコピーします。
1番目のノードで設定ユーティリティを起動し、[ランディングページへのURLリンク]や[OAuthリダイレクトURL]などのURL設定のすべてを[SSOクライアント]タブのロードバランサDNS名に変更します。
設定ユーティリティで変更を保存します。
クラスタの他のすべてのノードにこの変更を反映させるには、1番目のノードから、他のユーザアプリケーションノードのすべてに/TOMCAT_INSTALLED_HOME/confにあるism-configuration propertiesファイルをコピーします。
メモ:1番目のノードから、クラスタ内の他のノードにism.propertiesファイルをコピーしています。ユーザアプリケーションのインストール中にカスタムインストールパスを指定した場合は、参照パスがクラスタノードで設定更新ユーティリティを使用して修正されていることを確認します。
このシナリオでは、OSPとユーザアプリケーションの両方が同じサーバにインストールされます。したがって、同じDNS名がリダイレクトURLに使用されます。
OSPおよびユーザアプリケーションが別のサーバにインストールされている場合は、OSP URLをロードバランサを参照する異なるDNS名に変更します。OSPがインストールされるすべてのサーバに対してこれを実行します。これにより、すべてのOSP要求がOSPクラスタDNS名にロードバランサを介してディスパッチされます。これには、OSPノードに別のクラスタがある必要があります。
/TOMCAT_INSTALLED_HOME/bin/ ディレクトリのsetenv.shファイルで次のアクションを実行します。
mcast_addr バインディングが成功するためには、JGroupでpreferIPv4Stackプロパティがtrueに設定されている必要があります。 これを実行するには、すべてのノードのsetenv.shファイルにJVMプロパティ「-Djava.net.preferIPv4Stack=true」を追加します。
1番目のノードのsetenv.shファイルに「-Dcom.novell.afw.wf.Engine-id=Engine」を追加します。
エンジン名は固有である必要があります。1番目のノードのインストール中に指定された名前を提供します。名前が指定されてない場合、デフォルト名は「エンジン」です。
同様に、クラスタ内の他のノードに固有のエンジン名を追加します。たとえば、2番目のノードの場合、エンジン名はEngine2にできます。
ユーザアプリケーションでクラスタリングを有効にします。詳細については、ステップ 10を参照してください。
クラスタリングのパーミッションインデックスを有効にします。詳細については、セクション 36.2, クラスタリングのパーミッションインデックスの有効化を参照してください。
Tomcatクラスタを有効にします。詳細については、ステップ 9を参照してください。
すべてのノードでTomcatを再起動します。
クラスタリング用のユーザアプリケーションドラバを設定します。詳細については、セクション 38.2, クラスタリング用のユーザアプリケーションドライバの環境設定を参照してください。