4.3.1 統合ユーザ管理フレームワークの実行環境の設定

統合ユーザ管理フレームワークがディレクトリサーバまたはDBにアクセスしてユーザ認証するための設定をします。手順を次に示します。

  1. JAASコンフィグレーションファイルの設定
  2. 統合ユーザ管理フレームワークのコンフィグレーションファイルの設定
  3. VM起動のプロパティの設定
  4. uastartupファイルのデプロイ
<この項の構成>
(1) JAASコンフィグレーションファイルの設定
(2) 統合ユーザ管理フレームワークのコンフィグレーションファイルの設定
(3) VM起動のプロパティの設定
(4) uastartupファイルのデプロイ

(1) JAASコンフィグレーションファイルの設定

JAASを使用したユーザ管理に必要な,JAASのコンフィグレーションファイル(jaas.conf)を設定します。

jaas.confファイルは,次に示すディレクトリに格納されています。

格納ディレクトリ
{Cosminexusインストールディレクトリ}¥manager¥config

JAASのコンフィグレーションファイルでは,アプリケーション名にuCosminexus Portal Frameworkのログインモジュール名を指定します。

ログインモジュール名に「Portal」を使用した例を次に示します。

ユーザ認証にディレクトリサーバを使用する場合

Portal{
com.cosminexus.admin.auth.login.WebPasswordLoginModule required
   com.cosminexus.admin.auth.realm="RealmA"
   com.cosminexus.admin.auth.ldap.r="0"
   com.cosminexus.admin.auth.ldap.w="1"
   ;
};

ユーザ認証にDBを使用する場合

Portal{
com.cosminexus.admin.auth.login.WebPasswordJDBCLoginModule required
   com.cosminexus.admin.auth.realm="Portal"
   com.cosminexus.admin.auth.jdbc.r="0"
   ;
};

ユーザ認証にDBを使用する場合は,プロパティファイル(PortalResources.properties)の以下のプロパティを削除するかloginidに設定してください。なお,プロパティファイル(PortalResources.properties)は次に示すディレクトリに格納されています。

格納ディレクトリ
{設定ファイル格納ディレクトリ}¥conf
設定プロパティ
jp.co.hitachi.soft.portal.services.repository.uservalue=loginid
注意
ユーザ認証で使用するディレクトリサーバにActive Directoryを使用する場合は,ログインモジュールにWebPasswordLDAPLoginModuleを使用します。詳細は,マニュアル「Cosminexus アプリケーションサーバ V8 機能解説 拡張編」,またはマニュアル「Cosminexus V9 アプリケーションサーバ 機能解説 拡張編」を参照してください。

(2) 統合ユーザ管理フレームワークのコンフィグレーションファイルの設定

JAASを使用したユーザ管理に必要な,統合ユーザ管理フレームワークのコンフィグレーションファイル(ua.conf)を設定します。

ua.confファイルは,次に示すディレクトリに格納されています。

格納ディレクトリ
{Cosminexusインストールディレクトリ}¥manager¥config

統合ユーザ管理フレームワークのコンフィグレーションファイルは,幾つかの項目に分かれています。ディレクトリサーバまたはDBの設定とユーザ管理情報用リポジトリへのアクセス情報の定義の設定をしてください。また,統合ユーザ管理フレームワークが提供しているシングルサインオンを使用しない場合は,シングルサインオン用の定義項目の設定をすべて無効にします。ディレクトリサーバまたはDBについて設定する内容とユーザ情報リポジトリへのアクセス情報の定義について設定する内容を次に説明します。

(a) ディレクトリサーバを使用する場合

LDAP0参照用およびLDAP1~3更新用の項目に次の設定をします。なお,ここでは,LDAP0参照用の項目と記載例を示します。LDAP1~3更新用の項目を設定する際には,項目名末尾の0を1~3に置き換えてお読みください。

また,ディレクトリサーバとしてActive Directoryを使用する場合の注意事項については,マニュアル「Cosminexus アプリケーションサーバ V8 機能解説 拡張編」,またはマニュアル「Cosminexus V9 アプリケーションサーバ 機能解説 拡張編」を参照してください。

java.naming.provider.url.0=
使用しているディレクトリサーバのURLを指定します。必ず指定してください。
例:java.naming.provider.url.0=ldap://localhost:389
java.naming.security.principal.0=
ディレクトリサーバにアクセスできるバインドDNを指定します。必ず指定してください。バインドDNには,ベースDN下のユーザエントリおよびその属性にすべての権限を持つユーザを指定します。バインドDNは,ディレクトリサーバのユーザエントリを登録・参照・変更・削除する際に使用します。
例:java.naming.security.principal.0=cn=Directory Manager
java.naming.security.credentials.0=
バインドDNに対応するパスワードを指定します。必ず指定してください。
例:java.naming.security.credentials.0=password
com.cosminexus.admin.auth.ldap.basedn.0=
ユーザエントリのベースDNを指定します。必ず指定してください。
例:com.cosminexus.admin.auth.ldap.basedn.0=ou=users, o=company
com.cosminexus.admin.auth.ldap.attr.userid.0=
ユーザのログインIDを表す属性名を文字列で指定します。必ず指定してください。
例:com.cosminexus.admin.auth.ldap.attr.userid.0=uid
com.cosminexus.admin.auth.ldap.search.userrdn.0=
ディレクトリサーバのユーザエントリ(RDN)を検索する必要があるかどうかをtrueまたはfalseで指定します。ユーザのログインIDを表す属性名とユーザエントリ(RDN)が異なる場合は,trueを指定します。
例:com.cosminexus.admin.auth.ldap.search.userrdn.0=false
com.cosminexus.admin.auth.ldap.search.scope.0=
ディレクトリサーバのユーザエントリ(RDN)を検索する必要がある場合は設定します。ログイン時にベースDNから1階層下のエントリだけを検索する場合は,onelevelを指定します。すべての下層のエントリを検索する場合は,subtreeを指定します。
例:com.cosminexus.admin.auth.ldap.search.scope.0=onelevel
com.cosminexus.admin.auth.ldap.attr.password.0=
ユーザのパスワードを表す属性名を指定します。
例:com.cosminexus.admin.auth.ldap.attr.password.0=userPassword
com.cosminexus.admin.auth.ldap.password.encrypt.0=
パスワードの形式を指定します。指定できる形式は,次のとおりです。
  • sha1:SHA-1形式
  • none:平文
  • md5:MD5形式
ここで指定する形式とご利用のディレクトリサーバの暗号化方式は必ず一致させてください。特に,Sun Java System Directory Serverは標準の暗号化方式としてSSHA形式を採用していますが,uCosminexus Portal FrameworkではSSHA形式をサポートしていません。このため,Sun Java System Directory Serverをご使用になる場合は,Sun Java System Directory Server側の暗号化方式をSHA-1形式などに変更してください。
例:com.cosminexus.admin.auth.ldap.password.encrypt.0=sha1

(b) DBを使用する場合

JDBC0参照用の項目に次の設定をします。

com.cosminexus.admin.auth.jdbc.driver.0=
DBに接続するJDBCドライバを指定します。なお,この項目を指定する場合は,VM起動のオプション定義ファイル(usrconf.cfg)にJDBCドライバのクラスパスを追加してください。
例:com.cosminexus.admin.auth.jdbc.driver.0=com.microsoft.sqlserver.jdbc.SQLServerDriver
注意
この設定は,uCosminexus Portal Frameworkから接続する場合にのみ有効な設定です。
com.cosminexus.admin.auth.jdbc.conn.url.0=
使用しているDBのURLを指定します。必ず指定してください。
例:com.cosminexus.admin.auth.jdbc.conn.url.0=jdbc:hitachi:dbplib://DB=HiRDB,DBID=22200,DBHOST=localhost
com.cosminexus.admin.auth.jdbc.conn.user.0=
代理で接続するデータベースユーザを指定します。必ず指定してください。
例:com.cosminexus.admin.auth.jdbc.conn.user.0="root"
com.cosminexus.admin.auth.jdbc.conn.password.0=
代理で接続するデータベースユーザのパスワードを指定します。必ず指定してください。
例:com.cosminexus.admin.auth.jdbc.conn.password.0="root"
com.cosminexus.admin.auth.jdbc.sql.0=SELECT PASSWORD FROM USER_TBL WHERE USERID = ?
パスワードを検索するためのSQLのSELECT文を指定します。斜体部分に,それぞれ次の値を指定します。必ず指定してください。
  • PASSWORD:パスワードが格納されている列のカラム名
  • USER_TBL:ユーザ管理のための情報が格納されているテーブル名
  • USERID:ログインIDが格納されている列のカラム名
例:com.cosminexus.admin.auth.jdbc.sql.0=SELECT PASSWORD FROM HPTLUSER WHERE USERID = ?
com.cosminexus.admin.auth.jdbc.password.encrypt.0=
パスワードの形式を指定します。指定できる形式は,次のとおりです。
  • sha1:SHA-1形式
  • none:平文
  • md5:MD5形式
ここで指定する形式とご利用のDBの暗号化方式は必ず一致させてください。
例:com.cosminexus.admin.auth.jdbc.password.encrypt.0=sha1

(c) ユーザ情報リポジトリへのアクセス情報の定義

運用管理者が運用管理ポートレットでユーザ情報の管理を行う場合に必要な設定です。次の定義を追記してください。なお,ユーザ情報リポジトリとしてDBを使用する場合はこの設定は不要です。

com.cosminexus.admin.auth.api.repository.ldap.config.<jp.co.hitachi.soft.portal.services.repository.spi.CosminexusRepositoryModule.write>=1
また,この設定を行う場合はPortalResouces.propertiesファイルのjp.co.hitachi.soft.portal.services.repository.spi.CosminexusRepositoryModule.writeプロパティを設定する必要があります。プロパティファイル(PortalResources.properties)については「10.1.1(12)ユーザ情報リポジトリへのアクセス情報の定義」を参照してください。

(3) VM起動のプロパティの設定

usrconf.propertiesファイルにプロパティを追加します。

usrconf.propertiesファイルの格納ディレクトリは次のディレクトリに格納されています。

{Cosminexusインストールディレクトリ}¥CC¥server¥usrconf¥ejb¥{サーバ名称}

usrconf.propertiesファイルに次に示すプロパティを追加します。

追加するプロパティ

java.security.auth.login.config=={Cosminexusインストールディレクトリ}/manager/config/jaas.conf
com.cosminexus.admin.auth.config={Cosminexusインストールディレクトリ}/manager/config/ua.conf

(4) uastartupファイルのデプロイ

uastartupファイルとは,Cosminexusの統合ユーザ管理機能を使用するために必要なファイルです。

uastartupファイルをWebコンテナにデプロイします。uastartup.earをデプロイしてください。

uastartup.earの格納ディレクトリを次に示します。

格納ディレクトリ
{Cosminexusインストールディレクトリ}¥manager¥config