15.4 識別情報アプリケーションを実行する環境の準備

識別情報アプリケーションをクラスタ内で実行すると、可用性が高くなるという利点があります。また、識別情報アプリケーションはHTTPのセッションレプリケーションとセッションフェールオーバーをサポートします。つまり、ノードでセッション処理中にノードにエラーが発生した場合、誰も介入しなくても、そのセッションは同じクラスタ内の別のサーバ上で再開されます。

このセクションでは、識別情報アプリケーションと連携して動作するように、クラスタ環境などの環境を準備する方法について説明します。セクション 15.5.2, ガイドによる識別情報アプリケーションインストールプロセスの手順に従って、この章の手順を完了する必要があります。

クラスタ環境の要件の詳細については、セクション 15.1.3, 識別情報アプリケーションのインストールの前提条件と検討事項セクション 15.1.4, 識別情報アプリケーションのシステム要件を参照してください。

15.4.1 パーミッションインデックスの場所の指定

アイデンティティアプリケーションをインストールすると、Tomcatのパーミッションインデックスが作成されます。インデックスの場所を指定しない場合、一時ディレクトリにフォルダが作成されます。次に例を示します。Tomcat上でC:\NetIQ\idm\apps\tomcat\temp\permindexを指定します。

通常は、テスト環境では場所は問題になりません。ただし、運用環境またはステージング環境では、一時ディレクトリにパーミッションインデックスを配置することが好ましくない場合があります。

インデックスの場所を指定するには

  1. Tomcatを停止します。

  2. テキストエディタでism-configuration.propertiesファイルを開きます。

  3. ファイルの末尾に、次のテキストを追加します。

    com.netiq.idm.cis.indexdir = path\permindex

    例:

    com.netiq.idm.cis.indexdir = C:\NetIQ\idm\apps\tomcat\temp\permindex

  4. ファイルを保存して閉じます。

  5. 一時ディレクトリの既存のpermindexフォルダを削除します。

  6. Tomcatを起動します。

15.4.2 クラスタリングのパーミッションインデックスの有効化

このセクションでは、クラスタリングのパーミッションインデックスの有効化手順について説明します。

  1. クラスタの1番目のノードでiManagerにログインし、View Objects (オブジェクトの表示)に移動します。

  2. システムの下で、ユーザアプリケーションドライバを含むドライバセットに移動します。

  3. AppConfig > AppDefs > 環境設定の順に選択します。

  4. XMLData属性を選択し、com.netiq.idm.cis.clusteredプロパティをtrueに設定します。

    次に例を示します。

    <property>

    <key>com.netiq.idm.cis.clustered</key>

    <value>true</value>

    </property>

  5. OKをクリックします。

15.4.3 識別情報アプリケーションを実行するアプリケーションサーバの準備

アイデンティティアプリケーションを実行するTomcatを準備する必要があります。ユーザの便宜を図るために、インストールキットでApache Tomcatが提供されています。クラスタ環境でアプリケーションを使用する方法の詳細については、セクション 15.4.4, 識別情報アプリケーションで使用するクラスタの準備も参照してください。

Identity Managerインストール用の.isoには、Tomcat(およびオプションでPostgreSQL)のインストールプログラムが含まれています。詳細については、セクション 12.2, PostgreSQLとTomcatのインストールを参照してください。

ユーザの便宜を図るためにインストールパッケージで提供されるインストーラのかわりに、ユーザが独自に入手したTomcatインストールプログラムを使用できます。ただし、別のインストールプログラムを使用する場合、Tomcatが識別情報アプリケーションと連携して正常に動作するために追加手順を実行する必要があります。

インストールプロセスを開始する前に、インストールするコンポーネントのバージョンが識別情報アプリケーションのバージョンでサポートされていることを確認します。詳細については、セクション 15.1.3, 識別情報アプリケーションのインストールの前提条件と検討事項を参照してください。

  1. サーバにサービスとしてApache Tomcatをインストールします。

    詳細については、「Tomcat Setup」を参照してください。

  2. Tomcatをインストールしたサーバに次のコンポーネントをインストールします。

    • Java Runtime Environment (JRE): 詳細については、『Java Platform Installation Guide』を参照してください。

    • Apache ActiveMQ: 詳細については、『ActiveMQ』を参照してください。

    • PostgreSQL: 詳細については、「PostgreSQL Manuals」を参照してください。

  3. activemq-all-5.15.2 jarファイルをC:\NetIQ\idm\apps\activemqフォルダにコピーします。

  4. ロギング用に次のファイルをC:\NetIQ\idm\apps\tomcat\binにコピーします。

    • log4j.jar

    • log4j.properties

    • tomcat-juli-adapters.jar

  5. setenv.batファイルに次のプロパティを設定します。

    JAVA_HOME
JRE_HOME
PATH (set Java path)
JAVA_OPTS="-Xms1024m -Xmx1024m"

  6. postgresql-9.4.1212jdbc42.jarファイルをC:\NetIQ\idm\apps\tomcat\binフォルダにコピーします。

  7. (状況によって実行)クラスタ環境で、デフォルトで、クラスタの1番目のノードの\TOMCAT_INSTALLED_HOME\conf\ディレクトリにあるserver.xmlファイルを開き、次の行のコメントを解除します。

    <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>

    クラスタ内のすべてのノードに対してこれを実行します。

    高度なTomcatクラスタリング設定の場合、Apache Tomcatのドキュメントの手順を実行します。

15.4.4 識別情報アプリケーションで使用するクラスタの準備

識別情報アプリケーションはHTTPのセッションレプリケーションとセッションフェールオーバーをサポートします。つまり、ノードでセッション処理中にノードにエラーが発生した場合、そのセッションは中断されることなく、同じクラスタ内の別のサーバ上で再開されます。クラスタに識別情報アプリケーションをインストールする前に、環境を準備する必要があります。

Tomcat環境のクラスタグループの理解

ユーザアプリケーションクラスタグループはUUID名を使用して、ユーザがサーバに追加する他のクラスタグループと競合するリスクを最小限に抑えます。ユーザアプリケーション管理機能を使用して、ユーザアプリケーションクラスタグループの環境設定を変更できます。クラスタ設定の変更がサーバノードで有効になるのは、そのノードを再起動した場合のみです。

クラスタ環境にインストールする場合の前提条件の詳細については、セクション 15.1.3, 識別情報アプリケーションのインストールの前提条件と検討事項を参照してください。

ワークフローエンジンIDのシステムプロパティの設定

クラスタ内で識別情報アプリケーションをホストする各サーバでは、ワークフローエンジンを実行できますクラスタとワークフローエンジンのパフォーマンスを保証するために、クラスタ内のすべてのサーバが同じパーティション名とパーティションUDPグループを使用する必要があります。また、クラスタ内の各サーバを起動する際に一意のワークフローエンジンIDを指定する必要があります。なぜなら、ワークフローエンジンのクラスタリングは、識別情報アプリケーションのキャッシュフレームワークとは独立して動作するからです。

ワークフローエンジンが適切に動作することを保証するには、Tomcatのシステムプロパティを設定する必要があります。

  1. クラスタ内の識別情報アプリケーションサーバごとに、新しいJVMシステムプロパティを作成します。

  2. このシステムプロパティにcom.novell.afw.wf.engine-idという名前を付けます。ここで、engine-idは一意な値です。

クラスタ内の各ユーザアプリケーションでの同じマスタキーの使用

識別情報アプリケーションは、マスタキーを使用して機密データを暗号化します。クラスタ内のすべての識別情報アプリケーションが同じマスタキーを使用する必要があります。このセクションでは、クラスタ内のすべての識別情報アプリケーションが同じマスタキーを使用することを保証する方法について説明します。

マスタキーの作成の詳細については、ステップ 6の「セキュリティ - マスタキー」を参照してください。アイデンティティアプリケーションにおける機密データの暗号化の詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Encrypting Sensitive Identity Applications Data」を参照してください。

  1. クラスタ内の1番目のノードにユーザアプリケーションをインストールします。

  2. インストールプログラムの[セキュリティ - マスタキー]ウィンドウで、識別情報アプリケーションの新しいマスタキーが格納されるmaster-key.txtファイルの場所を書き留めます。デフォルトでは、このファイルはインストールディレクトリにあります。

  3. クラスタ内の他のノードに識別情報アプリケーションをインストールします。

  4. [セキュリティ - マスタキー]ウィンドウではいをクリックして、次へをクリックします。

  5. [マスタキーのインポート]ウィンドウで、ステップ 2で作成したテキストファイルからマスタキーをコピーします。