18.6 クラスタリング用のOSPとSSPRの設定

Identity Managerは、Tomcatクラスタ環境のSSPR設定をサポートします。

18.6.1 クラスタリングをサポートするためのSSPRの設定

クラスタの1番目のノードでSSPR情報を更新するには、/opt/netiq/idm/apps/configupdate/configupdate.shから設定ユーティリティを起動します。

表示されるウィンドウで、SSOクライアント > Self Service Password Resetをクリックし、クライアントIDパスワード、およびOSP Auth redirect URL (OSP認証リダイレクトURL)パラメータの値を入力します。

18.6.2 クラスタノード上でのタスクの設定

クラスタノード上で次の設定タスクを実行します。

  1. SSPR IPアドレスで[パスワードを忘れた場合]リンクを更新するには、1番目のノードでユーザアプリケーションにログインし、管理 > パスワードを忘れた場合をクリックします。

    SSPR設定の詳細については、パスワードを忘れた場合の管理の設定を参照してください。

  2. [パスワードの変更]リンクを変更するには、分散環境またはクラスタ化環境におけるダッシュボードのSSPRリンクの更新を参照してください。

  3. [パスワードを忘れた場合]および[パスワードの変更]リンクがクラスタの他のノードのSSPR IPアドレスで更新されていることを確認します。

    メモ:[パスワードの変更]および[パスワードを忘れた場合]リンクがすでにSSPR IPアドレスで更新されている場合、変更は必要ありません。

  4. 1番目のノードで、Tomcatを終了し、次のコマンドを使用してロードバランササーバのDNS名を指定して、新しいosp.jksファイルを生成します。

    /opt/netiq/common/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <password> -keypass <password> -alias osp -validity 1800 -dname "cn=<loadbalancer IP/DNS>"

    例: /opt/netiq/common/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"

    メモ:キーパスワードがOSPインストール中に入力したパスワードと同じであることを確認します。または、これをキーストアパスワードを含む設定更新ユーティリティを使用して変更することもできます。

  5. (状況に応じて実行) osp.jksファイルが変更で更新されているかどうかを確認するには、次のコマンドを実行します。

    /opt/netiq/common/jre/bin/keytool -list -v -keystore osp.jks -storepass changeit

  6. /opt/netiq/idm/apps/osp_/にある元のosp.jksファイルのバックアップをとり、新しいosp.jksファイルをこの場所にコピーします。新しいosp.jksファイルがステップ 4に作成されました。

  7. 1番目のノードからクラスタ内のユーザアプリケーションノードのすべてに/opt/netiq/idm/apps/ospにある新しいosp.jksファイルをコピーします。

  8. 1番目のノードで設定ユーティリティを起動し、[ランディングページへのURLリンク]や[OAuthリダイレクトURL]などのURL設定のすべてを[SSOクライアント]タブのロードバランサDNS名に変更します。

    1. 設定ユーティリティで変更を保存します。

    2. クラスタの他のすべてのノードにこの変更を反映させるには、1番目のノードから、他のユーザアプリケーションノードのすべてに/TOMCAT_INSTALLED_HOME/confにあるism-configuration propertiesファイルをコピーします。

      メモ:1番目のノードから、クラスタ内の他のノードにism.propertiesファイルをコピーしています。ユーザアプリケーションのインストール中にカスタムインストールパスを指定した場合は、参照パスがクラスタノードで設定更新ユーティリティを使用して修正されていることを確認します。

      このシナリオでは、OSPとユーザアプリケーションの両方が同じサーバにインストールされます。したがって、同じDNS名がリダイレクトURLに使用されます。

      OSPおよびユーザアプリケーションが別のサーバにインストールされている場合は、OSP URLをロードバランサを参照する異なるDNS名に変更します。OSPがインストールされるすべてのサーバに対してこれを実行します。これにより、すべてのOSP要求がOSPクラスタDNS名にロードバランサを介してディスパッチされます。これには、OSPノードに別のクラスタがある必要があります。

  9. /TOMCAT_INSTALLED_HOME/bin/ ディレクトリのsetenv.shファイルで次のアクションを実行します。

    1. mcast_addr バインディングが成功するためには、JGroupでpreferIPv4Stackプロパティがtrueに設定されている必要があります。これを実行するには、すべてのノードのsetenv.shファイルにJVMプロパティ「-Djava.net.preferIPv4Stack=true」を追加します。

    2. 1番目のノードのsetenv.shファイルに「-Dcom.novell.afw.wf.Engine-id=Engine」を追加します。

      エンジン名は固有である必要があります。1番目のノードのインストール中に指定された名前を提供します。名前が指定されてない場合、デフォルト名は「エンジン」です。

      同様に、クラスタ内の他のノードに固有のエンジン名を追加します。たとえば、2番目のノードの場合、エンジン名はEngine2にできます。