Identity Managerは、Tomcatクラスタ環境のSSPR設定をサポートします。
クラスタの1番目のノードでSSPR情報を更新するには、/opt/netiq/idm/apps/configupdate/configupdate.shから設定ユーティリティを起動します。
表示されるウィンドウで、SSOクライアント > Self Service Password Resetをクリックし、クライアントID、パスワード、およびOSP Auth redirect URL (OSP認証リダイレクトURL)パラメータの値を入力します。
クラスタノード上で次の設定タスクを実行します。
SSPR IPアドレスで[パスワードを忘れた場合]リンクを更新するには、1番目のノードでユーザアプリケーションにログインし、管理 > パスワードを忘れた場合をクリックします。
SSPR設定の詳細については、パスワードを忘れた場合の管理の設定を参照してください。
[パスワードの変更]リンクを変更するには、分散環境またはクラスタ化環境におけるダッシュボードのSSPRリンクの更新を参照してください。
[パスワードを忘れた場合]および[パスワードの変更]リンクがクラスタの他のノードのSSPR IPアドレスで更新されていることを確認します。
メモ:[パスワードの変更]および[パスワードを忘れた場合]リンクがすでにSSPR IPアドレスで更新されている場合、変更は必要ありません。
1番目のノードで、Tomcatを終了し、次のコマンドを使用してロードバランササーバのDNS名を指定して、新しいosp.jksファイルを生成します。
/opt/netiq/common/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <password> -keypass <password> -alias osp -validity 1800 -dname "cn=<loadbalancer IP/DNS>"
例: /opt/netiq/common/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"
メモ:キーパスワードがOSPインストール中に入力したパスワードと同じであることを確認します。または、これをキーストアパスワードを含む設定更新ユーティリティを使用して変更することもできます。
(状況に応じて実行) osp.jksファイルが変更で更新されているかどうかを確認するには、次のコマンドを実行します。
/opt/netiq/common/jre/bin/keytool -list -v -keystore osp.jks -storepass changeit
/opt/netiq/idm/apps/osp_/にある元のosp.jksファイルのバックアップをとり、新しいosp.jksファイルをこの場所にコピーします。新しいosp.jksファイルがステップ 4に作成されました。
1番目のノードからクラスタ内のユーザアプリケーションノードのすべてに/opt/netiq/idm/apps/ospにある新しいosp.jksファイルをコピーします。
1番目のノードで設定ユーティリティを起動し、[ランディングページへのURLリンク]や[OAuthリダイレクトURL]などのURL設定のすべてを[SSOクライアント]タブのロードバランサDNS名に変更します。
設定ユーティリティで変更を保存します。
クラスタの他のすべてのノードにこの変更を反映させるには、1番目のノードから、他のユーザアプリケーションノードのすべてに/TOMCAT_INSTALLED_HOME/confにあるism-configuration propertiesファイルをコピーします。
メモ:1番目のノードから、クラスタ内の他のノードにism.propertiesファイルをコピーしています。ユーザアプリケーションのインストール中にカスタムインストールパスを指定した場合は、参照パスがクラスタノードで設定更新ユーティリティを使用して修正されていることを確認します。
このシナリオでは、OSPとユーザアプリケーションの両方が同じサーバにインストールされます。したがって、同じDNS名がリダイレクトURLに使用されます。
OSPおよびユーザアプリケーションが別のサーバにインストールされている場合は、OSP URLをロードバランサを参照する異なるDNS名に変更します。OSPがインストールされるすべてのサーバに対してこれを実行します。これにより、すべてのOSP要求がOSPクラスタDNS名にロードバランサを介してディスパッチされます。これには、OSPノードに別のクラスタがある必要があります。
/TOMCAT_INSTALLED_HOME/bin/ ディレクトリのsetenv.shファイルで次のアクションを実行します。
mcast_addr バインディングが成功するためには、JGroupでpreferIPv4Stackプロパティがtrueに設定されている必要があります。これを実行するには、すべてのノードのsetenv.shファイルにJVMプロパティ「-Djava.net.preferIPv4Stack=true」を追加します。
1番目のノードのsetenv.shファイルに「-Dcom.novell.afw.wf.Engine-id=Engine」を追加します。
エンジン名は固有である必要があります。1番目のノードのインストール中に指定された名前を提供します。名前が指定されてない場合、デフォルト名は「エンジン」です。
同様に、クラスタ内の他のノードに固有のエンジン名を追加します。たとえば、2番目のノードの場合、エンジン名はEngine2にできます。