4.3.1 統合ユーザ管理フレームワークの実行環境の設定
統合ユーザ管理フレームワークがディレクトリサーバまたはDBにアクセスしてユーザ認証するための設定をします。手順を次に示します。
- JAASコンフィグレーションファイルの設定
- 統合ユーザ管理フレームワークのコンフィグレーションファイルの設定
- VM起動のプロパティの設定
- uastartupファイルのデプロイ
- <この項の構成>
- (1) JAASコンフィグレーションファイルの設定
- (2) 統合ユーザ管理フレームワークのコンフィグレーションファイルの設定
- (3) VM起動のプロパティの設定
- (4) uastartupファイルのデプロイ
(1) JAASコンフィグレーションファイルの設定
JAASを使用したユーザ管理に必要な,JAASのコンフィグレーションファイル(jaas.conf)を設定します。
jaas.confファイルは,次に示すディレクトリに格納されています。
- 格納ディレクトリ
- {Cosminexusインストールディレクトリ}¥manager¥config
JAASのコンフィグレーションファイルでは,アプリケーション名にuCosminexus Portal Frameworkのログインモジュール名を指定します。
ログインモジュール名に「Portal」を使用した例を次に示します。
- ユーザ認証にディレクトリサーバを使用する場合
Portal{
com.cosminexus.admin.auth.login.WebPasswordLoginModule required
com.cosminexus.admin.auth.realm="RealmA"
com.cosminexus.admin.auth.ldap.r="0"
com.cosminexus.admin.auth.ldap.w="1"
;
};
- ユーザ認証にDBを使用する場合
Portal{
com.cosminexus.admin.auth.login.WebPasswordJDBCLoginModule required
com.cosminexus.admin.auth.realm="Portal"
com.cosminexus.admin.auth.jdbc.r="0"
;
};
ユーザ認証にDBを使用する場合は,プロパティファイル(PortalResources.properties)の以下のプロパティを削除するかloginidに設定してください。なお,プロパティファイル(PortalResources.properties)は次に示すディレクトリに格納されています。
- 格納ディレクトリ
- {設定ファイル格納ディレクトリ}¥conf
- 設定プロパティ
- jp.co.hitachi.soft.portal.services.repository.uservalue=loginid
- 注意
- ユーザ認証で使用するディレクトリサーバにActive Directoryを使用する場合は,ログインモジュールにWebPasswordLDAPLoginModuleを使用します。詳細は,マニュアル「Cosminexus アプリケーションサーバ V8 機能解説 拡張編」,またはマニュアル「Cosminexus V9 アプリケーションサーバ 機能解説 拡張編」を参照してください。
(2) 統合ユーザ管理フレームワークのコンフィグレーションファイルの設定
JAASを使用したユーザ管理に必要な,統合ユーザ管理フレームワークのコンフィグレーションファイル(ua.conf)を設定します。
ua.confファイルは,次に示すディレクトリに格納されています。
- 格納ディレクトリ
- {Cosminexusインストールディレクトリ}¥manager¥config
統合ユーザ管理フレームワークのコンフィグレーションファイルは,幾つかの項目に分かれています。ディレクトリサーバまたはDBの設定とユーザ管理情報用リポジトリへのアクセス情報の定義の設定をしてください。また,統合ユーザ管理フレームワークが提供しているシングルサインオンを使用しない場合は,シングルサインオン用の定義項目の設定をすべて無効にします。ディレクトリサーバまたはDBについて設定する内容とユーザ情報リポジトリへのアクセス情報の定義について設定する内容を次に説明します。
(a) ディレクトリサーバを使用する場合
LDAP0参照用およびLDAP1~3更新用の項目に次の設定をします。なお,ここでは,LDAP0参照用の項目と記載例を示します。LDAP1~3更新用の項目を設定する際には,項目名末尾の0を1~3に置き換えてお読みください。
また,ディレクトリサーバとしてActive Directoryを使用する場合の注意事項については,マニュアル「Cosminexus アプリケーションサーバ V8 機能解説 拡張編」,またはマニュアル「Cosminexus V9 アプリケーションサーバ 機能解説 拡張編」を参照してください。
- java.naming.provider.url.0=
- 使用しているディレクトリサーバのURLを指定します。必ず指定してください。
- 例:java.naming.provider.url.0=ldap://localhost:389
- java.naming.security.principal.0=
- ディレクトリサーバにアクセスできるバインドDNを指定します。必ず指定してください。バインドDNには,ベースDN下のユーザエントリおよびその属性にすべての権限を持つユーザを指定します。バインドDNは,ディレクトリサーバのユーザエントリを登録・参照・変更・削除する際に使用します。
- 例:java.naming.security.principal.0=cn=Directory Manager
- java.naming.security.credentials.0=
- バインドDNに対応するパスワードを指定します。必ず指定してください。
- 例:java.naming.security.credentials.0=password
- com.cosminexus.admin.auth.ldap.basedn.0=
- ユーザエントリのベースDNを指定します。必ず指定してください。
- 例:com.cosminexus.admin.auth.ldap.basedn.0=ou=users, o=company
- com.cosminexus.admin.auth.ldap.attr.userid.0=
- ユーザのログインIDを表す属性名を文字列で指定します。必ず指定してください。
- 例:com.cosminexus.admin.auth.ldap.attr.userid.0=uid
- com.cosminexus.admin.auth.ldap.search.userrdn.0=
- ディレクトリサーバのユーザエントリ(RDN)を検索する必要があるかどうかをtrueまたはfalseで指定します。ユーザのログインIDを表す属性名とユーザエントリ(RDN)が異なる場合は,trueを指定します。
- 例:com.cosminexus.admin.auth.ldap.search.userrdn.0=false
- com.cosminexus.admin.auth.ldap.search.scope.0=
- ディレクトリサーバのユーザエントリ(RDN)を検索する必要がある場合は設定します。ログイン時にベースDNから1階層下のエントリだけを検索する場合は,onelevelを指定します。すべての下層のエントリを検索する場合は,subtreeを指定します。
- 例:com.cosminexus.admin.auth.ldap.search.scope.0=onelevel
- com.cosminexus.admin.auth.ldap.attr.password.0=
- ユーザのパスワードを表す属性名を指定します。
- 例:com.cosminexus.admin.auth.ldap.attr.password.0=userPassword
- com.cosminexus.admin.auth.ldap.password.encrypt.0=
- パスワードの形式を指定します。指定できる形式は,次のとおりです。
- sha1:SHA-1形式
- none:平文
- md5:MD5形式
- ここで指定する形式とご利用のディレクトリサーバの暗号化方式は必ず一致させてください。特に,Sun Java System Directory Serverは標準の暗号化方式としてSSHA形式を採用していますが,uCosminexus Portal FrameworkではSSHA形式をサポートしていません。このため,Sun Java System Directory Serverをご使用になる場合は,Sun Java System Directory Server側の暗号化方式をSHA-1形式などに変更してください。
- 例:com.cosminexus.admin.auth.ldap.password.encrypt.0=sha1
(b) DBを使用する場合
JDBC0参照用の項目に次の設定をします。
- com.cosminexus.admin.auth.jdbc.driver.0=
- DBに接続するJDBCドライバを指定します。なお,この項目を指定する場合は,VM起動のオプション定義ファイル(usrconf.cfg)にJDBCドライバのクラスパスを追加してください。
- 例:com.cosminexus.admin.auth.jdbc.driver.0=com.microsoft.sqlserver.jdbc.SQLServerDriver
- 注意
- この設定は,uCosminexus Portal Frameworkから接続する場合にのみ有効な設定です。
- com.cosminexus.admin.auth.jdbc.conn.url.0=
- 使用しているDBのURLを指定します。必ず指定してください。
- 例:com.cosminexus.admin.auth.jdbc.conn.url.0=jdbc:hitachi:dbplib://DB=HiRDB,DBID=22200,DBHOST=localhost
- com.cosminexus.admin.auth.jdbc.conn.user.0=
- 代理で接続するデータベースユーザを指定します。必ず指定してください。
- 例:com.cosminexus.admin.auth.jdbc.conn.user.0="root"
- com.cosminexus.admin.auth.jdbc.conn.password.0=
- 代理で接続するデータベースユーザのパスワードを指定します。必ず指定してください。
- 例:com.cosminexus.admin.auth.jdbc.conn.password.0="root"
- com.cosminexus.admin.auth.jdbc.sql.0=SELECT PASSWORD FROM USER_TBL WHERE USERID = ?
- パスワードを検索するためのSQLのSELECT文を指定します。斜体部分に,それぞれ次の値を指定します。必ず指定してください。
- PASSWORD:パスワードが格納されている列のカラム名
- USER_TBL:ユーザ管理のための情報が格納されているテーブル名
- USERID:ログインIDが格納されている列のカラム名
- 例:com.cosminexus.admin.auth.jdbc.sql.0=SELECT PASSWORD FROM HPTLUSER WHERE USERID = ?
- com.cosminexus.admin.auth.jdbc.password.encrypt.0=
- パスワードの形式を指定します。指定できる形式は,次のとおりです。
- sha1:SHA-1形式
- none:平文
- md5:MD5形式
- ここで指定する形式とご利用のDBの暗号化方式は必ず一致させてください。
- 例:com.cosminexus.admin.auth.jdbc.password.encrypt.0=sha1
(c) ユーザ情報リポジトリへのアクセス情報の定義
運用管理者が運用管理ポートレットでユーザ情報の管理を行う場合に必要な設定です。次の定義を追記してください。なお,ユーザ情報リポジトリとしてDBを使用する場合はこの設定は不要です。
- com.cosminexus.admin.auth.api.repository.ldap.config.<jp.co.hitachi.soft.portal.services.repository.spi.CosminexusRepositoryModule.write>=1
- また,この設定を行う場合はPortalResouces.propertiesファイルのjp.co.hitachi.soft.portal.services.repository.spi.CosminexusRepositoryModule.writeプロパティを設定する必要があります。プロパティファイル(PortalResources.properties)については「10.1.1(12)ユーザ情報リポジトリへのアクセス情報の定義」を参照してください。
(3) VM起動のプロパティの設定
usrconf.propertiesファイルにプロパティを追加します。
usrconf.propertiesファイルの格納ディレクトリは次のディレクトリに格納されています。
{Cosminexusインストールディレクトリ}¥CC¥server¥usrconf¥ejb¥{サーバ名称}
usrconf.propertiesファイルに次に示すプロパティを追加します。
- 追加するプロパティ
java.security.auth.login.config=={Cosminexusインストールディレクトリ}/manager/config/jaas.conf
com.cosminexus.admin.auth.config={Cosminexusインストールディレクトリ}/manager/config/ua.conf
(4) uastartupファイルのデプロイ
uastartupファイルとは,Cosminexusの統合ユーザ管理機能を使用するために必要なファイルです。
uastartupファイルをWebコンテナにデプロイします。uastartup.earをデプロイしてください。
- デプロイ方法については,マニュアル「Cosminexus アプリケーションサーバ V8 機能解説 基本・開発編(コンテナ共通機能)」,またはマニュアル「Cosminexus V9 アプリケーションサーバ 機能解説 基本・開発編(コンテナ共通機能)」のファイルのデプロイについての説明を参照してください。
uastartup.earの格納ディレクトリを次に示します。
- 格納ディレクトリ
- {Cosminexusインストールディレクトリ}¥manager¥config