18.3 インストール手順

このセクションでは、Tomcatに識別情報アプリケーションの新しいインスタンスをインストールし、それをクラスタリング用に設定するための段階的な手順を説明します。

  1. Identity Managerエンジンをインストールします。運用レベルの展開については、別のサーバ上にIdentity Managerエンジンをインストールすることをお勧めします。

  2. Identity Applicationsのデータベースをインストールします。Identity ApplicationsとともにインストールされるPostgreSQLデータベースを使用できます。ただし、別のサーバにデータベースをインストールすることをお勧めします。

  3. Node1には、Identity Applicationsをインストールして設定します。

    設定時には、次のことを確認してください。

    • 新しいデータベースオプションを選択する

    • 固有のワークフローエンジンIDを提供する。たとえば、Node1です。

    • クラスタ内のすべてのユーザアプリケーションノードで使用可能なデータベースjarファイルがある。PostgreSQLの場合、postgresql-9.4.1212.jar/opt/netiq/idm/postgresにあります。

    Identity Applicationsは、マスタキーを使用して機密データを暗号化します。インストールプログラムは、Identity Applicationsの設定中に新しいマスタキーを作成します。クラスタ内で、ユーザアプリケーションのクラスタリングでは、ユーザアプリケーションのすべてのインスタンスが同じマスタキーを使用する必要があります。マスタキーは、/opt/netiq/idm/apps/tomcat/conf/ディレクトリにあるism-configuration.propertiesファイルのcom.novell.idm.masterkeyプロパティの下に格納されます。

  4. Node2に、Identity Applicationsをインストールして設定します。

    設定時には、次のことを確認してください。

    • 既存のデータベースオプションを選択する。

    • 固有のワークフローエンジンIDを提供する。たとえば、Node2です。

    • クラスタ内のすべてのユーザアプリケーションノードで使用可能なデータベースjarファイルがある。PostgreSQLの場合、postgresql-9.4.1212.jar/opt/netiq/idm/postgresにあります。

    Node2のユーザアプリケーション設定を完了した後で、Node1のism-configuration.propertiesからのマスタキー値をコピーし、Node 2のism-configuration.propertiesに格納されている対応するマスタキー値を置き換えます。マスタキーはism-configuration.properties (/opt/netiq/idm/apps/tomcat/conf/)のcom.novell.idm.masterkeyプロパティの下に格納されます。

  5. ロードバランササーバで、Identity Applicationsポート番号を使用したロードバランサの一方のインスタンスと、すべてのクラスタノード用のフォームレンダラポート番号を使用したロードバランサの他方のインスタンスを起動します。次に例を示します。

    • ./balance 8543 apps1-au.edu.in:8543 ! apps2-au.edu.in:8543

    • .·/balance 8600 apps1-au.edu.in:8600 ! apps2-au.edu.in:8600

  6. 別のコンピュータにSSPRをインストールします。

    SSPRインストールが完了したら、SSPR (https://<IP>:<port>/sspr/private/config/editor)を起動し、ログインします。Configuration Editor (環境設定エディタ) > 設定 > セキュリティ > Web Security (Webセキュリティ) > Redirect Whitelist (ホワイトリストをリダイレクト)をクリックします。

    1. Add value (値の追加)をクリックし、次のURLを指定します。

      https://<dns of the failover>:<port>/osp

    2. 変更内容を保存します。

    3. SSPR設定ページで、設定 > Single Sign On (SSO) Client (シングルサインオン(SSO)クライアント) > OAuthの順にクリックし、IPアドレスを、ロードバランソフトウェアがインストールされているサーバのDNS名に置き換えることによって、OAuthログインURLOAuthコード解決サービスURL、およびOAuthプロファイルサービスURLリンクを変更します。

    4. 設定 > アプリケーション > アプリケーションをクリックし、ロードバランサソフトウェアがインストールされているサーバのDNS名でIPアドレスを置き換えて、フォワードURL、およびログアウトURLを更新します。SSPRがインストールされているサーバ/システムのIPアドレスまたはホスト名を指定して、サイトURLを更新します。

    5. Node1上のSSPR情報を更新するには、/opt/netiq/idm/apps/configupdate/にある設定ユーティリティを起動します。

      ./configupdate.sh

      メモ:configudate.shファイルは、configupdateディレクトリからのみ実行してください。カスタムの場所からconfigupdate.shを実行すると失敗します。

    6. SSOクライアント>セルフサービスパスワードリセットの順にクリックし、クライアントIDパスワード、およびOSP Auth redirect URL (OSP認証リダイレクトURL)パラメータの値を入力します。詳細については、セルフサービスパスワードリセットを参照してください。

    メモ:これらのパラメータの値がNode2で更新されていることを確認します。

  7. Node1で、Tomcatを終了し、次のコマンドを使用して、ロードバランササーバのDNS名を指定して、新しいosp.jksファイルを生成します。

    /opt/netiq/common/jre/bin/keytool -genkey -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <password> -keypass <password> -alias osp -validity 1800 -dname "cn=<loadbalancer IP/DNS>"

    例: /opt/netiq/common/jre/bin/keytool -genkey -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"

    メモ:キーパスワードがOSPインストール中に入力したパスワードと同じであることを確認します。または、これをキーストアパスワードを含む設定更新ユーティリティを使用して変更することもできます。

  8. (状況に応じて実行) osp.jksファイルが変更で更新されているかどうかを確認するには、次のコマンドを実行します。

    /opt/netiq/common/jre/bin/keytool -list -v -keystore osp.jks -storepass changeit

  9. /opt/netiq/idm/apps/osp/にある元のosp.jksファイルのバックアップをとり、新しいosp.jksファイルをこの場所にコピーします。

  10. Node1からクラスタの他のユーザアプリケーションノードに/opt/netiq/idm/apps/osp/にある新しいosp.jksファイルをコピーします。

  11. 各クラスタノード上で、

    1. /opt/netiq/idm/apps/sitesディレクトリに移動して、ServiceRegistry.jsonファイルを編集し、ロードバランサ詳細を追加します。

      {"serviceRegisteries":[{"serviceID":"IDM","restUrl":"https://<DNS of the load balancer>:8543/IDMProv"}]}

    2. /opt/netiq/idm/apps/sites/ディレクトリに移動して、config.iniファイルを編集し、ロードバランサDNSとポート番号を追加します。

      OSPIssuerUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/oauth2
OSPRedirectUrl=https://<DNS of the load balancer>:8600/forms/oauth.html
ClientID=forms
OSPLogoutUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/app/logout

  12. Node1で設定ユーティリティを起動し、[ランディングページへのURLリンク]や[OAuthリダイレクトURL]などのURL設定のすべてを[SSOクライアント]タブのロードバランサDNS名に変更します。

    1. 設定ユーティリティで変更を保存します。変更についてism-configuration propertiesファイルを確認し、URLがNode 1 DNSおよびポートを依然としてポイントしている場合は変更します。

    2. クラスタの他のすべてのノードでこの変更を反映させるには、Node1からクラスタ内の他のユーザアプリケーションノードに、/TOMCAT_INSTALLED_HOME/confにあるism-configuration propertiesファイルをコピーします。

      メモ:

      • Node1から、クラスタ内の他のノードにism-configuration.propertiesファイルをコピーしました。ユーザアプリケーションインストール中にカスタムインストールパスを指定した場合は、参照パスがクラスタノードの設定更新ユーティリティを使用して修正されていることを確認します。

      • あるノードから別のノードにism-configuration.propertiesファイルをコピーした後、そのファイルにnovlua:novlua許可があることを確認してください。

      • このシナリオでは、OSPとユーザアプリケーションのどちらも同じサーバにインストールされます。したがって、同じDNS名がURLをリダイレクトするために使用されます。

      • OSPおよびユーザアプリケーションが別のサーバにインストールされている場合は、OSP URLをロードバランサを参照する異なるDNS名に変更します。OSPがインストールされるすべてのサーバに対してこれを実行します。これを行うと、すべてのOSP要求がロードバランサを介してOSPクラスタDNS名にディスパッチされます。これには、OSPノードに別のクラスタがある必要があります。

  13. novlua許可をosp.jksファイルに割り当てます。

    chown novlua:novlua osp.jks

  14. /TOMCAT_INSTALLED_HOME/bin/ディレクトリにあるsetenv.shファイルで次のアクションを実行します。

    1. mcast_addrバインディングが成功するためには、JGroupでpreferIPv4Stackプロパティがtrueに設定されている必要があります。これを実行するには、すべてのノードのsetenv.shファイルにJVMプロパティ「-Djava.net.preferIPv4Stack=true」を追加します。

    2. Node1のsetenv.shファイルに-Dcom.novell.afw.wf.Engine-id=Engine1を追加します。同様に、クラスタ内の各ノードに固有のエンジン名を追加します。たとえば、Node2の場合、Engine2として既存の名前を追加できます。

  15. ユーザアプリケーションでクラスタリングを有効にします。

    1. Node1でTomcatを起動します。

      他のサーバを起動しないでください。

    2. ユーザアプリケーション管理者としてユーザアプリケーションにログインします。

    3. 環境設定 > キャッシングとクラスタオプションをクリックします。

      ユーザアプリケーションに[キャッシュマネージャー]ページが表示されます。

    4. クラスタキャッシュ環境設定をクリックし、有効なクラスタプロパティに対してTrueを選択します。

    5. 保存をクリックします。

    6. Tomcatを再起動します。

    メモ:[Enable Local settings (ローカル設定を有効化)]を選択している場合は、クラスタ内の各サーバについてこの手順を繰り返します。

    ユーザアプリケーションクラスタは、デフォルトUDPを使用してノード間のキャッシュ同期にJGroupsを使用します。TCPを使用するようにこのプロトコルを変更する場合は、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Configuring User Application Caching to use TCP」を参照してください。

  16. クラスタリングのパーミッションインデックスを有効にします。

    1. IDVaultでiManagerにログインし、View Objects (オブジェクトの表示)に移動します。

    2. システムの下で、ユーザアプリケーションドライバを含むドライバセットに移動します。

    3. AppConfig > AppDefs > 環境設定の順に選択します。

    4. XMLData属性を選択し、com.netiq.idm.cis.clusteredプロパティをtrueに設定します。

      次に例を示します。

      <property>

      <key>com.netiq.idm.cis.clustered</key>

      <value>true</value>

      </property>

    5. OKをクリックします。

    6. 適用>OKの順にクリックします。

  17. Tomcatクラスタを有効にします。

    Tomcat server.xml ファイルを/TOMCAT_INSTALLED_HOME/conf/から開き、すべてのクラスタノード上でこのファイルのこの行をコメント解除します。

    <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>

    高度なTomcatクラスタリング設定の場合、https://tomcat.apache.org/tomcat-8.5-doc/cluster-howto.htmlの手順を実行します。

  18. すべてのノードでTomcatを再起動します。

  19. クラスタリング用のユーザアプリケーションドラバを設定します。

    クラスタで、ユーザアプリケーションドライバは、クラスタのロードバランサのDNS名を使用するように設定する必要があります。ユーザアプリケーションドライバは、iManagerを使って環境設定します。

    1. Identity Managerエンジンを管理するiManagerにログインします。

    2. iManagerのナビゲーションフレームにあるIdentity Managerノードをクリックします。

    3. Identity Managerの概要をクリックします。

    4. ユーザアプリケーションドライバおよび役割とリソースサービスドライバを含むドライバセットのIdentity Managerの概要を表示するには、検索ページを使用します。

    5. ドライバアイコンの右上隅にある円形のステータスインジケータをクリックします。

      ドライバの起動と停止、およびドライバのプロパティの編集に関するコマンドが含まれたメニューが表示されます。

    6. プロパティの編集を選択します。

    7. [ドライバパラメータ]セクションで、ホストをロードバランサのホスト名またはIPアドレスに変更します。

    8. OKをクリックします。

    9. ドライバを再起動します。

  20. 役割とリソースのサービスドライバのURLを変更するには、19aから19fまでの手順を繰り返し、ドライバ環境設定をクリックして、ユーザアプリケーションのURLをロードバランサDNS名で更新します。

  21. セッションの粘着度がユーザアプリケーションノード用にロードバランサソフトウェアで作成したクラスタに対して有効になっていることを確認します。

  22. Identity Managerダッシュボード上でのクライアント環境設定詳細については、『NetIQ Identity Manager - Administrator’s Guide to the Identity Applications』の「Configuring Client Settings Mode」を参照してください。