このセクションでは、識別情報アプリケーションのインストール後にTomcat環境を更新する方法について説明します。
識別情報アプリケーションは、JGroupsを使用してキャッシュを実装します。環境設定によっては、mcast_addrのバインディングが確実に成功するように、preferIPv4Stackプロパティをtrueに設定するようにJGroupsが要求します。
このオプションが設定されていない場合、次のエラーが発生する可能性があります。
[10/1/09 16:11:22:147 EDT] 0000000d UDP W org.jgroups.util.Util createMulticastSocket could not bind to /228.8.8.8 (IPv4 address); make sure your mcast_addr is of the same type as the IP stack (IPv4 or IPv6).
次のエラーも発生する可能性があります。
[3/21/12 10:04:32:470 EDT] 00000024 UDP E org.jgroups.protocols.TP down
failed sending message to null (131 bytes)
java.lang.Exception: dest=/228.8.8.8:45654 (134 bytes)
at org.jgroups.protocols.UDP._send(UDP.java:353)
パラメータjava.net.preferIPv4Stack=trueは、たとえばextend.local.config.dirのようなその他のシステムプロパティと同じ方法で設定できるシステムプロパティです。
ほとんどのロードバランサは、HTTPサーバが稼働しおよびリスンしているかどうかを判断するためのヘルスチェック機能を提供します。ユーザアプリケーションには、ロードバランサにHTTPヘルスチェックを設定するために使用できるURLが含まれます。URLは次のとおりです。
http://<NodeIP>:port/IDMProv/jsps/healthcheck.jsp
REST APIにより、ユーザアプリケーションのヘルスに関する情報を取得できます。 APIは、現在実行中のスレッド、メモリ消費、キャッシュ、およびクラスタ情報についてシステムにアクセスし、GET操作を使用して情報を返します。
メモリの情報(JVMおよびシステムメモリ): システムメモリ、JVMによって消費されるメモリなどのメモリ関連の情報を読み込みます。
次に例を示します。
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/memoryinfo
スレッドの情報: CPU集約型スレッドに関する情報を読み込み、CPUの高負荷の原因となるトップスレッドのリストを返します。
次に例を示します。
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo
JVMのスレッドのスタックトレースにアクセスするには、スタックパラメータをTrueに設定します。
次に例を示します。
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo?stack=true
JVMのスレッド数を指定するには、thread-countパラメータの値を指定します。
次に例を示します。
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo?thread-count=1
キャッシュの情報: ユーザアプリケーションのキャッシュ情報を読み込みます。
次に例を示します。
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/cacheinfo
クラスタの情報: クラスタ関連の情報を読み込みます。
次に例を示します。
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/clusterinfo
メモ:REST APIを使用して、ユーザアプリケーションヘルス統計を表示するには、セキュリティ管理者である必要があります。
アイデンティティアプリケーションをインストールまたはアップグレードした後で、Identity Managerダッシュボードでユーザをソートするために使用する各属性の複合インデックスを手動で作成します。eDirectoryインストールパスにあるndsindexユーティリティを使用して複合インデックスを作成できます。複合インデックスに$記号を使用して区切られる複数の属性を指定できます。複合インデックスに必要な基本属性を以下に示します。
Surname,Given Name
Given Name,Surname
cn,Surname
Title,Surname
Telephone Number,Surname
Internet Email Address,Surname
L,Surname
OU,Surname
次のコマンドは、ndsindexユーティリティを使用して複合インデックスを作成できます。
ndsindex add [-h <hostname>] [-p <port>] -D <admin DN> -W|[-w <password>] -s <eDirectory Server DN> [<indexName1>, <indexName2>.....]
たとえば、Title (役職)に基づいてユーザをソートするには、次のコマンドを実行します。
ndsindex add -h <hostname> -p <ldap port> -D <admin DN> -w <admin passwd> -s <eDirectory Server DN> Title-SN;Title$Surname;value
変換エクスポートユーティリティを使用して複合インデックスを作成することもできます。
インデックスを作成するには、LDIFファイルを使用する必要があります。LDIFファイルがインポートされた後で、リンバをトリガすることでインデックス作成アクティビティを起動します。そうでない場合は、リンバが自動的にトリガされるときにインデックスが作成されます。
タイトル属性でユーザをソートするための複合インデックスを作成するLDIFファイルの例:
dn: cn=osg-nw5-7, o=Novell
changetype: modify
add: indexDefinition
indexDefinition: 0$sntitleindex$0$0$0$1$Title$surname
詳細については、『NetIQ eDirectory管理ガイド』の「LDIFファイル」を参照してください。
デフォルトでは、Identity Applicationsインストーラは非セキュア接続(http)を設定します。特定の条件下では、非セキュア接続を使用すると、クライアントが開始したIdentity ApplicationsサーバとのSSL再ネゴーシエーションが原因で、Identity Managerがサービス拒否攻撃にさらされる可能性が高まります。この問題を回避するため、<tomcat-install-directory>\bin\setenv.batファイルのCATALINA_OPTSエントリに次のフラグを追加します。
"-Djdk.tls.rejectClientInitiatedRenegotiation=true"