このセクションでは、Tomcatに識別情報アプリケーションの新しいインスタンスをインストールし、それをクラスタリング用に設定するための段階的な手順を説明します。
Identity Managerエンジンをインストールします。詳しい手順については、インストール手順を参照してください。運用レベルの展開については、別のサーバ上にIdentity Managerエンジンをインストールすることをお勧めします。
識別情報アプリケーションの次のドライバを作成し、展開します。
ユーザアプリケーションドライバ
役割とリソースサービスドライバ
Novelでは、次のIdentity Managerコンポーネントをインストールします。
ユーザアプリケーション
インストールプロセス中に、以下を設定します。
Tomcatをアプリケーションサーバとして選択します。
PostgreSQLをデータベースプラットフォームとして選択します。
メモ:Identity Manager 4.8がサポートするデータベースのすべてを使用できます。
後続のページに必要なデータベースの詳細を提供します。
PostgreSQLサーバからクラスタ内のすべてのユーザアプリケーションノードにデータベースドライバjarファイルpostgresql-9.4.1212.jarをコピーします。
メモ:OracleやSQL Serverなどの他のIdentity Manager 4.8がサポートするデータベースを使用している場合は、データベースをインストールしているサーバからクラスタ内のすべてのユーザアプリケーションノードに各ドライバのjarファイルをコピーしていることを確認します。詳細については、識別情報アプリケーションのデータベースの設定を参照してください。
コピーされたデータベースドライバjarファイルを参照して選択します。
2つのデータベースまたは既存のデータベース詳細ページで、新しいデータベースオプションを選択します。
[Identity Manager Configuration (Identity Manager設定)]ページで、ワークフローエンジンIDフィールドに固有の名前を入力します。たとえば、Engine1 for Node1などの固有の名前を使用できます。
新しいマスタキーを作成するには、[Security – Master Key (セキュリティ - マスタキー)]ページで、いいえを選択します。
識別情報アプリケーションは、マスタキーを使用して機密データを暗号化します。これはクラスタ内の識別情報アプリケーションの最初のインスタンスであるため、いいえを選択して、新しいマスタキーを作成するようにインストールプログラムに指示する必要があります。クラスタ内で、ユーザアプリケーションのクラスタリングでは、ユーザアプリケーションのすべてのインスタンスが同じマスタキーを使用する必要があります。同じマスタキーが使用されるようにするには、これらのインスタンスの設定中にはいを選択して既存のキーをインポートします。
Node2では、次のアクションを実行します。
便利なインストーラを使用してTomcatをインストールします(インストールプロセス中にTomcatのみを選択します)。
OSPをインストールします。
インストールプロセス中に、[認証の詳細]ページでIdentity Managerエンジン(eDirectory)サーバのIPアドレスとポート番号を入力します。
ユーザアプリケーションをインストールします。
インストールプロセス中に、以下を設定します。
Tomcatをアプリケーションサーバとして選択します。
PostgreSQLをデータベースプラットフォームとして選択します。
メモ:Identity Manager 4.8がサポートするデータベースのすべてを使用できます。
インストール手順の後続のページで必要なデータベースの詳細を提供します。
データベースドライバjarファイルpostgresql-9.4.1212.jarをPostgreSQLサーバからNode2にコピーします。
メモ:OracleやSQL Serverなどの他のIdentity Manager 4.8がサポートするデータベースを使用している場合は、データベースをインストールしているサーバからクラスタ内のすべてのユーザアプリケーションノードに各ドライバのjarファイルをコピーしていることを確認します。
コピーされたデータベースドライバjarファイルを参照して選択します。
新しいデータベースまたは既存のデータベースの詳細ページで、既存のデータベースオプションを選択します。
[Identity Manager Configuration (Identity Manager設定)]ページで、ワークフローエンジンIDフィールドに固有の名前を入力します。たとえば、Engine2 for Node2などの固有の名前を使用できます。
[Security – Master Key (セキュリティ - マスタキー)]ページで新しいマスタキーを作成するには、はいを選択します。
ユーザアプリケーションのクラスタリングでは、ユーザアプリケーションのすべてのインスタンスが同じマスタキーを使用する必要があります。同じマスタキーが使用されていることを確認するには、はいを選択して既存のキーをインポートします。このキーは、Node1でユーザアプリケーションの最初のインスタンスがインストールされたときに作成されます。
Node1のC:\NetIQ\IDM\apps\tomcat\confにあるism-configurationプロパティファイルからマスタキーを取得できます。マスタキーを含むパラメータは、com.novell.idm.masterkeyです。
インストールをクリックして、インストールを完了します。
メモ:識別情報アプリケーションのインストールの詳細については、インストール手順を参照してください。
ロードバランササーバで、Identity Applicationsポート番号を使用したロードバランサの一方のインスタンスと、すべてのクラスタノード用のフォームレンダラポート番号を使用したロードバランサの他方のインスタンスを起動します。次に例を示します。
./balance 8543 apps1-au.edu.in:8543 ! apps2-au.edu.in:8543
.·/balance 8600 apps1-au.edu.in:8600 ! apps2-au.edu.in:8600
別のコンピュータにSSPRをインストールします。
インストールする前に、次の設定のメモを作成して、インストールプロセス中にそれを指定します。
Tomcatをインストールします。インストール手順については、手順4aを参照してください。
SSPRをインストールします。
SSPRインストール中に、次のアクションを実行します。
アプリケーションサーバの接続ページで、Connect to external authentication server (外部認証サーバへの接続)を選択し、ロードバランサがインストールされているサーバのDNS名を入力します。
[認証の詳細]ページで、Identity ManagerエンジンサーバのIPアドレスとポートを入力します。CA証明書のパスワードはchangeitです。
SSPRインストールが完了したら、SSPR (https://<IP>:<port>/sspr/private/config/ConfigEditor)を起動し、ログインします。Configuration Editor (環境設定エディタ) > 設定 > セキュリティ> Redirect Whitelist (ホワイトリストをリダイレクト)をクリックします。.
Add value (値の追加)をクリックし、次のURLを指定します。
https:<dns of the failover><port>/osp
変更内容を保存します。
SSPRの設定ページで、設定 > OAuth SSOをクリックし、ロードバランサソフトウェアがインストールされているサーバのDNS名でIPアドレスを置き換えて、OSPリンクを変更します。
設定 > アプリケーションをクリックし、ロードバランサソフトウェアがインストールされているサーバのDNS名でIPアドレスを置き換えて、フォワードおよびログアウトURLを更新します。
Node1上のSSPR情報を更新するには、C:\NetIQ\idm\apps\UserApplication\configupdate.batにある設定ユーティリティを起動します。
表示されるウィンドウで、SSOクライアント > Self Service Password Resetをクリックし、クライアントID、パスワード、およびOSP Auth redirect URL (OSP認証リダイレクトURL)パラメータの値を入力します。
メモ:これらのパラメータの値がNode2で更新されていることを確認します。
クラスタノード上で次の設定タスクを実行します。
すべてのクラスタノードのTomcatを再起動します。
[パスワードの変更]リンクを変更するには、分散環境またはクラスタ化環境におけるダッシュボードのSSPRリンクの更新を参照してください。
[パスワードを忘れた場合]および[パスワードの変更]リンクがNode2のSSPR IPアドレスで更新されていることを確認します。
メモ:[パスワードの変更]および[パスワードを忘れた場合]リンクがすでにSSPR IPアドレスで更新されている場合、変更は必要ありません。
Node1で、Tomcatを終了し、次のコマンドを使用して、ロードバランササーバのDNS名を指定して、新しいosp.jksファイルを生成します。
C:\NetIQ\Common\JRE\bin\keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <password> -keypass <password> -alias osp -validity 1800 -dname "cn=<loadbalancer IP/DNS>"
例: C:NetIQ\idm\apps\jre\bin\ -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"
メモ:キーパスワードがOSPインストール中に入力したパスワードと同じであることを確認します。または、これをキーストアパスワードを含む設定更新ユーティリティを使用して変更することもできます。
(状況に応じて実行) osp.jksファイルが変更で更新されているかどうかを確認するには、次のコマンドを実行します。
C:\NetIQ\Common\JRE\bin\keytool -list -v -keystore osp.jks -storepass changeit
C:\NetIQ\idm\apps\osp\にある元のosp.jksファイルのバックアップをとり、新しいosp.jksファイルをこの場所にコピーします。新しいosp.jksファイルは、手順 8で作成されています。
配置されている新しいosp.jksファイルをNode1からクラスタの他のユーザアプリケーションノードにコピーします。
各クラスタノード上で、
C:\netiq\idm\apps\sitesディレクトリに移動して、ServiceRegistry.jsonファイルを編集し、ロードバランサ詳細を追加します。
{"serviceRegisteries":[{"serviceID":"IDM","restUrl":"https://<DNS of the load balancer>:8543/IDMProv"}]}
C:\netiq\idm\apps\sites\ディレクトリに移動して、config.iniファイルを編集し、ロードバランサDNSとポート番号を追加します。
OSPIssuerUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/oauth2 OSPRedirectUrl=https://<DNS of the load balancer>:8600/forms/oauth.html ClientID=forms OSPLogoutUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/app/logout
Node1で設定ユーティリティを起動し、[ランディングページへのURLリンク]や[OAuthリダイレクトURL]などのURL設定のすべてを[SSOクライアント]タブのロードバランサDNS名に変更します。
設定ユーティリティで変更を保存します。変更についてism-configuration propertiesファイルを確認し、URLがNode 1 DNSおよびポートを依然としてポイントしている場合は変更します。
クラスタの他のすべてのノードでこの変更を反映させるには、Node1からクラスタ内の他のユーザアプリケーションノードに、C:\NetIQ\IDM\apps\tomcat\confにあるism-configuration propertiesファイルをコピーします。
メモ:Node1から、クラスタ内の他のノードにism.propertiesファイルをコピーしました。ユーザアプリケーションインストール中にカスタムインストールパスを指定した場合は、参照パスがクラスタノードの設定更新ユーティリティを使用して修正されていることを確認します。
このシナリオでは、OSPとユーザアプリケーションのどちらも同じサーバにインストールされます。したがって、同じDNS名がURLをリダイレクトするために使用されます。
OSPおよびユーザアプリケーションが別のサーバにインストールされている場合は、OSP URLをロードバランサを参照する異なるDNS名に変更します。OSPがインストールされるすべてのサーバに対してこれを実行します。これを行うと、すべてのOSP要求がロードバランサを介してOSPクラスタDNS名にディスパッチされます。これには、OSPノードに別のクラスタがある必要があります。
/TOMCAT_INSTALLED_HOME/bin/ディレクトリにあるsetenv.shファイルで次のアクションを実行します。
mcast_addrバインディングが成功するためには、JGroupでpreferIPv4Stackプロパティがtrueに設定されている必要があります。これを実行するには、すべてのノードのsetenv.shファイルにJVMプロパティ「-Djava.net.preferIPv4Stack=true」を追加します。
Node1のsetenv.shファイルに「-Dcom.novell.afw.wf.Engine-id=Engine1」を追加します。同様に、クラスタ内の各ノードに固有のエンジン名を追加します。たとえば、Node2の場合、Engine2として既存の名前を追加できます。
ユーザアプリケーションでクラスタリングを有効にします。
Node1でTomcatを起動します。
他のサーバを起動しないでください。
ユーザアプリケーション管理者としてユーザアプリケーションにログインします。
環境設定 > キャッシングとクラスタオプションをクリックします。
ユーザアプリケーションに[キャッシュマネージャー]ページが表示されます。
クラスタキャッシュ環境設定をクリックし、有効なクラスタプロパティに対してTrueを選択します。
保存をクリックします。
Tomcatを再起動します。
メモ:[Enable Local settings (ローカル設定を有効化)]を選択している場合は、クラスタ内の各サーバについてこの手順を繰り返します。
ユーザアプリケーションクラスタは、デフォルトUDPを使用してノード間のキャッシュ同期にJGroupsを使用します。TCPを使用するようにこのプロトコルを変更する場合は、Configuring User Application to use TCPを参照してください。
クラスタリングのパーミッションインデックスを有効にします。詳細については、クラスタリングのパーミッションインデックスの有効化を参照してください。
Tomcatクラスタを有効にします。
Tomcat server.xml ファイルを/TOMCAT_INSTALLED_HOME/conf/から開き、すべてのクラスタノード上でこのファイルのこの行をコメント解除します。
<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
高度なTomcatクラスタリング設定の場合、ApacheマニュアルのWebサイトの手順を実行します。
すべてのノードでTomcatを再起動します。
クラスタリング用のユーザアプリケーションドラバを設定します。
クラスタ化された環境で、ユーザアプリケーションの複数のインスタンスとともに単一のユーザアプリケーションドライバを使用できます。ドライバには、アプリケーション固有のさまざまな情報(例: ワークフロー環境設定情報、クラスタ情報)が保持されています。ドライバはクラスタのディスパッチャまたはロードバランサのホスト名またはIPアドレスを使用するように設定する必要があります。
アイデンティティボールトを管理するiManagerのインスタンスにログインします。
ナビゲーションフレームで、Identity Managerを選択します。
Identity Managerの概要を選択します。
ユーザアプリケーションドライバのドライバセットを含むIdentity Managerの概要を表示するには、検索ページを使用します。
ドライバアイコンの右上隅にある円形のステータスインジケータをクリックします。
プロパティの編集を選択します。
ドライバパラメータで、ホストをロードバランサのホスト名またはIPアドレスに変更します。
OKをクリックします。
ドライバを再起動します。
役割とリソースのサービスドライバのURLを変更するには、19aから19fまでの手順を繰り返し、ドライバ環境設定をクリックして、ユーザアプリケーションのURLをロードバランサDNS名で更新します。
セッションの粘着度がユーザアプリケーションノード用にロードバランサソフトウェアで作成したクラスタに対して有効になっていることを確認します。
ほとんどのロードバランサは、HTTPサーバが稼働およびリスンしているかどうかを判断するためのヘルスチェック機能を提供します。ユーザアプリケーションには、ロードバランサにHTTPヘルスチェックを設定するために使用できるURLが含まれます。URLは次のとおりです。
http://<NodeIP>:port/IDMProv/jsps/healthcheck.jsp