この項では、グラフィカルユーザインタフェースバージョンのインストーラを使用して、WebSphereアプリケーションサーバにIDMユーザアプリケーションをインストールする方法について説明します。
インストールファイルが含まれるディレクトリに移動します。
次のコマンドを入力して、インストーラを起動します。
java -jar IdmUserApp.jar
ドロップダウンメニューから言語を選択してから、[OK]をクリックします。
使用許諾契約を読み、[
]、[ ]の順にクリックします。インストールウィザードの[イントロダクション]ページを読み、[
]をクリックします。[アプリケーションサーバのプラットフォーム]ウィンドウで、WebSphereアプリケーションサーバプラットフォームを選択します。
[セクション 5.6.3, WARの場所の指定に進みます。
]を選択します。それが終了したらIdentity ManagerユーザアプリケーションのWARファイルがインストーラとは別のディレクトリにある場合は、インストーラによってWARへのパスを入力するようメッセージが表示されます。
WARがデフォルトの場所にある場合は、[
]をクリックできます。または、WARファイルの場所を指定する場合は、[
]をクリックして場所を選択します。[セクション 5.6.4, インストールフォルダの選択に進みます。
]をクリックして、[インストールフォルダ]ページで、ユーザアプリケーションをインストールする場所を選択します。デフォルトの場所を記憶して使用する必要がある場合は、[
]をクリックします。または、インストールファイルの別の場所を選択する場合は、[ ]をクリックして場所を参照します。メモ:WebSphereでは、制限なしのポリシーファイルが適用されたIBM JDKを使用する必要があります。
[
]をクリックして、Javaのルートフォルダを参照します。デフォルトの場所を使用するには、[ ]をクリックします。ユーザアプリケーションのNovell Auditのログ(オプション)を有効にする
次のフィールドに入力します。
[セクション 5.6.8, マスタキーの指定に進みます。
]をクリックし、既存のマスタキーをインポートするか、新しいマスタキーを作成するかを指定します。既存のマスタキーをインポートする理由には、次のようなものがあります。
インストールファイルをステージングシステムから運用システムに移動中で、ステージングシステムで使用したデータベースへのアクセスを保持する場合。
ユーザアプリケーションを最初のクラスタのメンバーにインストールしており、現在はクラスタの次のメンバーにインストールしている場合(同じマスタキーが必要)。
ディスク故障のため、ユーザアプリケーションを復元する必要がある場合。ユーザアプリケーションを再インストールして、以前のインストールで使用したのと同じ暗号化マスタキーを指定する必要があります。 これによって、前に保存した暗号化データにアクセスできます。
[
]クリックして既存のマスタキーをインポートするか、または[ ]をクリックして新しいマスタキーを作成します。[
]をクリックします。インストール手順で、インストールディレクトリにあるmaster-key.txtファイルに暗号化マスタキーが書き込まれます。
[セクション 5.6.9, ユーザアプリケーションの設定までスキップされます。インストールが完了したら、マスタキーを手動で記録する必要があります。[ ]を選択した場合は、ステップ 3に進みます。
]を選択する場合は、既存の暗号化マスタキーのインポートを選択する場合は、該当するキーを切り取ってインストール手順ウィンドウに貼り付けます。
[セクション 5.6.9, ユーザアプリケーションの設定に進みます。
]をクリックし、ユーザアプリケーションをインストールすると、ユーザアプリケーション環境設定パラメータを設定できます。インストールすると、これらのパラメータの多くはconfigupdate.shまたはconfigupdate.batでも編集可能です。例外はパラメータ説明に記述されています。クラスタの場合は、クラスタの各メンバーに同じユーザアプリケーション環境設定パラメータを指定します。
[
]をクリックして、 [ユーザアプリケーション環境設定]ページの1ページ目に移動します。表 5-6で説明されている、基本のユーザアプリケーション環境設定パラメータを設定してから、ステップ 3に進みます。
表 5-6 ユーザアプリケーション環境設定: 基本パラメータ
追加ユーザアプリケーション環境設定パラメータに設定する場合は、[表 5-7は、詳細オプションのパラメータについて説明しています。このステップで説明した追加パラメータを設定しない場合は、スキップしてステップ 4に進みます。
]をクリックします。(スクロールしてパネル全体を表示します。)表表 5-7 ユーザアプリケーション環境設定: すべてのパラメータ
設定のタイプ |
フィールド |
説明 |
---|---|---|
eDirectory接続設定 |
|
必須。 LDAPサーバのホスト名またはIPアドレスを指定します。たとえば、次のようにします。 myLDAPhost |
|
LDAPサーバの非セキュアポートを指定します。たとえば、「389」のように指定してください。 |
|
|
LDAPサーバのセキュアポートを指定します。 たとえば、「636」のように指定してください。 |
|
|
必須。 LDAP管理者の資格情報を指定します。 このユーザは既に存在している必要があります。 ユーザアプリケーションは、このアカウントを使用して識別ボールドへの管理接続を行います。 この値は、マスタキーに基づいて暗号化されます。 |
|
|
必須。 LDAP管理者パスワードを指定します。 このパスワードは、マスタキーに基づいて暗号化されます。 |
|
|
ログインしていないユーザに、LDAPパブリック匿名アカウントへのアクセスを許可します。 |
|
|
ログインしていないユーザに、許可されたポートレットへのアクセスを許可します。 このユーザアカウントは、識別ボールトにすでに存在している必要があります。[LDAPゲスト]を有効にするには、[ ]の選択を解除する必要があります。[ゲストユーザ]を無効にするには、[ ]を選択します。 |
|
|
LDAPゲストパスワードを指定します。 |
|
|
このオプションを選択すると、管理者アカウントを使用したすべての通信でセキュアなソケットを使用する必要があります(このオプションを使用すると、パフォーマンスに深刻な悪影響を及ぼすことがあります)。 |
|
|
このオプションを選択すると、ログインユーザのアカウントを使用したすべての通信でセキュアなソケットを使用する必要があります(このオプションを使用すると、パフォーマンスに深刻な悪影響を及ぼすことがあります)。 |
|
eDirectory DN |
|
必須。 ルートコンテナのLDAP識別名を指定します。 これは、ディレクトリ抽象化層で検索ルートが指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。 |
|
必須。 ユーザアプリケーションドライバの識別名を指定します。 たとえば、ドライバがUserApplicationDriverでドライバセットの名前がmyDriverSetであり、ドライバセットがo=myCompanyのコンテキストにある場合は、次の値を入力します。 cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
必須。 指定されたユーザアプリケーションのユーザコンテナについての管理タスクを実行する権限のある、識別ボールト内の既存のユーザ。 このユーザは、ユーザアプリケーションの[ ]タブを使用してポータルを管理できます。ユーザアプリケーション管理者が、iManager、Novell Designer for identity Manager、またはユーザアプリケーション([IDMユーザアプリケーション: 管理ガイドを参照してください。 ]タブ)に公開されているワークフロー管理タスクに参加する場合は、この管理者に、ユーザアプリケーションドライバに含まれるオブジェクトインスタンスに対する適切なトラスティ権限を与える必要があります。詳細は、ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの ページを使用する必要があります。 |
|
|
この役割はIdentity Manager 3.5.1のプロビジョニングバージョンで使用可能です。プロビジョニングアプリケーション管理者は、ユーザアプリケーションの[ ]タブで使用可能なプロビジョニングワークフロー機能を管理します。このユーザは、プロビジョニングアプリケーション管理者に指定される前に、識別ボールトに存在する必要があります。ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの ページを使用する必要があります。 |
|
メタディレクトリユーザID |
|
必須。 ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。 これにより、ユーザおよびグループの検索スコープが定義されます。 このコンテナ内(およびその下)のユーザが、ユーザアプリケーションにログインできます。 重要:ユーザがワークフローを実行できるようにする場合は、ユーザアプリケーションドライバの設定中に指定したユーザアプリケーション管理者は、このコンテナ内に存在する点に注意してください。 |
|
LDAPユーザオブジェクトクラス(通常はinetOrgPerson)。 |
|
|
ユーザのログイン名を表すLDAP属性(たとえばCN)。 |
|
|
ユーザまたはグループをルックアップする際にIDとして使用するLDAP属性これはログイン属性と同じではありません。ログイン属性はログイン中にのみ使用し、ユーザおよびグループの検索中には使用しません。 |
|
|
オプション。ユーザのグループメンバーシップを表すLDAP属性です。 この名前にはスペースを使用しないでください。 |
|
メタディレクトリユーザグループ |
|
必須。 グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。 ディレクトリ抽象化レイヤ内のエンティティ定義で使用します。 |
|
LDAPオブジェクトクラス(通常はgroupofNames)。 |
|
|
ユーザのグループメンバーシップを表す属性です。 この名前にはスペースを使用しないでください。 |
|
|
ダイナミックグループを使用する場合は、このオプションを選択します。 |
|
|
LDAPダイナミックグループオブジェクトクラス(通常はdynamicGroup)。 |
|
eDirectory証明書 |
|
必須。 アプリケーションサーバが実行に使用しているのJREのキーストア(cacerts)ファイルへのフルパスを指定するか、小さなブラウザボタンをクリックしてcacertsファイルに移動します。 ユーザアプリケーションのインストールによって、キーストアファイルが変更されます。 LinuxまたはSolarisでは、ユーザにはこのファイルへの書き込み許可が必要です。 |
|
必須。 cacertsのパスワードを指定します。 デフォルトは、「changeit」です。 |
|
プライベートキーストア |
|
プライベートキーストアには、ユーザアプリケーションのプライベートキーおよび証明書が含まれます。予約済み。 入力しない場合は、このパスはデフォルトで/jre/lib/security/cacertsになります。 |
|
このパスワードは、別のパスワードを指定するまではchangeitです。このパスワードは、マスタキーに基づいて暗号化されます。 |
|
|
この別名は、別の別名を指定するまではnovellIDMUserAppです。 |
|
|
このパスワードは、別のパスワードを指定するまではnove1lIDMです。このパスワードは、マスタキーに基づいて暗号化されます。 |
|
トラステッドキーストア |
|
トラステッドキーストアには、有効なデジタル署名に使用するすべてのトラステッド署名者の証明書が含まれます。入力しない場合は、ユーザアプリケーションはシステムプロパティjavax.net.ssl.trustStoreからパスを取得します。パスがそこではない場合は、jre/lib/security/cacertsだと推測されます。 |
|
このフィールドを入力しない場合は、ユーザアプリケーションはシステムプロパティjavax.net.ssl.trustStorePasswordからパスワードを取得します。値がそこではない場合は、が使用されます。このパスワードは、マスタキーに基づいて暗号化されます。 |
|
Novell Auditデジタル署名および証明書キー |
|
Novell Auditデジタル署名キーおよび証明書が含まれます。 |
|
|
デジタル署名証明書が表示されます。 |
|
|
デジタル署名秘密鍵が表示されます。このキーは、マスタキーに基づいて暗号化されます。 |
iChain設定 |
|
このオプションが選択されている場合は、ユーザアプリケーションによってユーザアプリケーションおよびiChainまたはNovell Access Managerの同時ログアウトがサポートされます。Novell Access Managerにログアウト時にクッキーがあるかどうかがチェックされ、クッキーが存在する場合は、ユーザをICSログアウトページに再ルーティングします。 |
|
iChainまたはNovell Access ManagerログアウトページへのURLは、iChainまたはNovell Access Managerが期待するURLがホスト名である場所です。ICSログが有効な場合は、ユーザはユーザアプリケーションからログアウトし、ユーザはこのページを再ルーティングします。 |
|
電子メール |
|
Identity Managerユーザアプリケーションをホストしているアプリケーションサーバを指定します。 たとえば、次のようにします。 myapplication serverServer この値は、電子メールテンプレートの$HOST$トークンと置き換えられます。 作成されるurlは、プロビジョニング要求タスクと承認通知へのリンクです。 |
|
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PORT$トークンの置き換えに使用されます。 |
|
|
プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PORT$トークンの置き換えに使用します。 |
|
|
非セキュアプロトコル、HTTPを参照してください。プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PROTOCOL$トークンの置き換えに使用します。 |
|
|
セキュアプロトコル、HTTPを参照してください。プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PROTOCOL$トークンの置き換えに使用されます。 |
|
|
プロビジョニング電子メール内のユーザからの電子メールを指定します。 |
|
|
プロビジョニング電子メールを使用しているSMTP電子メールホストを指定します。 これは、IPアドレスまたはDNS名が可能です。 |
|
パスワード管理 |
|
|
|
この機能によって、外部の[パスワードを忘れた場合のWar]にある[パスワードを忘れた場合]ページと、外部の[パスワードを忘れた場合のWAR]がWebサービスを経由してユーザアプリケーションを呼び戻すのに使用するURLを指定できます。 [ ]を選択する場合は、[ ]および[ ]に値を指定する必要があります。[/jsps/pwdmgt/ForgotPassword.jsf(最初はhttp(s)プロトコルなし)。 これは、ユーザを、外部WARではなく、ユーザアプリケーションに組み込まれた[パスワードを忘れた場合]機能にリダイレクトします。 ]を選択しない場合は、デフォルトの内部パスワード管理機能が使用されます。 |
|
|
このURLは[パスワードを忘れた場合]機能ページを指します。 外部または内部のパスワード管理WARにあるForgotPassword.jsfファイルを指定します。 |
|
|
|
外部のパスワード管理WARを使用している場合は、外部の[パスワード管理WAR]がWebサービス、たとえばhttps:// idmhost:sslport/idm を経由してユーザアプリケーションを呼び戻すのに使用するパスを指定します。 |
その他 |
|
アプリケーションセッションのタイムアウト。 |
|
クライアントインストールがOn-Line Certificate Status Protocol (OCSP)を使用する場合は、Uniform Resource Identifier (URI)を指定します。たとえば、フォーマットはhttp://host:port/ocspLocalです。OCSP URIによって、トラステッド証明書オンラインの状態は更新されます。 |
|
|
許可環境設定ファイルの完全修飾名。 |
|
|
|
|
|
|
|
コンテナオブジェクト |
|
使用する各コンテナオブジェクトタイプを選択します。 |
|
地域、国、部門、組織、およびドメインの規格コンテナから選択します。iManager内で自分のコンテナを定義でき、これを[ ]の下に追加できます。 |
|
|
コンテナオブジェクトタイプに関連する属性タイプ名をリストします。 |
|
|
コンテナとして使用できる識別ボールトからオブジェクトクラスのLDAP名を指定します。 コンテナの詳細については、『Novell iManager 2.6 Administration Guide』を参照してください。 |
|
|
コンテナオブジェクトの属性名を指定します。 |
設定で環境設定を完了したら、[セクション 5.6.10, 選択内容の確認とインストールに進みます。
]をクリックして、[インストール前の概要]ページを読んで、インストールパラメータの選択を確認します。
必要に応じて、[
]を使用して前のインストールページに戻り、インストールパラメータを変更します。ユーザアプリケーション環境設定ページでは値は保存されないので、インストール時に前のページを再指定したら、ユーザアプリケーション環境設定値を再入力する必要があります。
インストールおよび環境設定パラメータに問題がなければ、[インストール前の概要]ページに戻り、[セクション 5.6.11, ログファイルの表示に進みます。
]をクリックします。エラーが発生せずにインストールが完了した場合は、セクション 5.6.12, ユーザアプリケーション環境設定ファイルとJVMシステムプロパティの追加に進みます。
インストールでエラーまたは警告が発生した場合は、次のようなログファイルを確認して、問題を判断してください。
Identity_Manager_User_Application_InstallLog.logには、基本的なインストールタスクの結果が格納されています。
Novell-Custom-Install.logには、インストール中に行ったユーザアプリケーション環境設定についての情報があります。
ユーザアプリケーションのインストールディレクトリから、sys-configuration-xmldata.xmlファイルを、WebSphereサーバをホストしているマシン上のディレクトリ(例: /UserAppConfigFiles)にコピーします。ユーザアプリケーションのインストールディレクトリとは、ユーザアプリケーションをインストールしたディレクトリです。
JVMシステムプロパティで、sys-configuration-xmldata.xmlファイルのパスを設定します。これを行うには、WebSphere管理コンソールに管理者ユーザとしてログインしてください。
左側のパネルから、
の順に移動します。サーバリストでサーバ名(例: server1)をクリックします。
右側の設定リストで、[
]の下にある[ ]に移動します。リンクを展開して、[
]を選択します。[
]リストの下にある[ ]を選択します。[JVM]ページの[
]という見出しの下にある[ ]を選択します。[
]をクリックして、新しいJVMシステムプロパティを追加します。[extend.local.config.dirを指定します。
]には、[sys-configuration-xmldata.xmlファイルをコピーしたディレクトリ(/UserAppConfigFilesなど)を指定します。
]には、[path to sys-configuration-xmldata.xmlなど)を指定します。
]には、プロパティの説明([
]をクリックしてプロパティを保存します。[
]をクリックして、別の新しいJVMシステムプロパティを追加します。[idmuserapp.logging.config.dirを指定します。
]には、[sys-configuration-xmldata.xmlファイルをコピーしたディレクトリ(/UserAppConfigFilesなど)を指定します。
]には、[path to sys-configuration-xmldata.xmlなど)を指定します。
]には、プロパティの説明([
]をクリックしてプロパティを保存します。メモ:idmuserapp-logging.xmlファイルは、このディレクトリに存在する必要はありません。このファイルは、ログ環境設定を変更すると作成されます。
ユーザアプリケーションのインストール中に、eDirectoryルート認証局の証明書が、ユーザアプリケーションをインストールするディレクトリにエクスポートされます。これらの証明書を、WebSphereサーバをホストするマシンにコピーします。
証明書をWebSphereのキーストアにインポートします。この作業は、WebSphereの管理者コンソール(WebSphere管理者コンソールを使用した証明書のインポート)またはコマンドライン(コマンドラインを使用した証明書のインポート)を使って実行できます。
証明書をインポートしたら、セクション 5.6.14, IDM WARファイルの展開に進みます。
WebSphere管理者コンソールに管理者ユーザとしてログインします。
左側のパネルから、
の順に移動します。右側の設定リストで、[
]の下にある[ ]に移動します。[
](または使用している認証ストア)を選択します。右側の[
]の下にある[ ]を選択します。[
]をクリックします。エイリアス名と証明書ファイルのフルパスを入力します。
ドロップダウンでデータタイプを[
]に変更します。をクリックします。これで、署名者証明書リストに証明書が表示されます。
WebSphereサーバをホストするマシンのコマンドラインから鍵ツールを実行して、WebSphereキーストアに証明書をインポートします。
メモ:WebSphereの鍵ツールを使用しないと、この手順は有効ではありません。また、ストアタイプがPKCS12であることを確認してください。
WebSphereの鍵ツールは/IBM/WebSphere/AppServer/java/binにあります。
keytool -import -trustcacerts -file servercert.der -alias myserveralias -keystore trust.p12 -storetype PKCS12
システム上に複数のtrust.p12ファイルがある場合は、ファイルへのフルパスを指定しなければならないことがあります。
WebSphere管理者コンソールに管理者ユーザとしてログインします。
左側のパネルから、
の順に移動します。IDM Warファイルの場所を参照します(IDM WARファイルはユーザアプリケーションのインストール中に設定されます。このファイルは、ユーザアプリケーションのインストール時に指定したユーザアプリケーションのインストールディレクトリにあります)。
アプリケーションのコンテキストルートを入力します(例: IDMProv)。これはURLのパスになります。
[
]が選択されていることを確認し、[ ]をクリックして[ ]ページに移動します。このページのデフォルト値をそのまま使用し、[
]をクリックして[ ]画面に移動します。このページの項目はすべてデフォルトのままにして、[
]をクリックして[ ]ページに移動します。認証方法では、[MyServerNode01/MyAliasなど)を選択します。
]チェックボックスをオンにします。続いて、[ ]ドロップダウンで、先に作成したエイリアス(認証設定の下の表で、展開するモジュールを検索します。[Target Resource JNDI Name]というタイトルのカラムの下で、参照ボタンをクリックしてJNDI名を指定します。これによりリソースのリストが表示されます。先に作成したデータソースを選択して[ ]ボタンをクリックし、[Map resource references to resources]ページに戻ります(例: MyDataSource)。
[
]を選択して、[ ]ページに移動します。このページの項目はすべてデフォルトのままにし、[
]をクリックして[ ]ページに移動します。[
]をクリックして展開を完了します。展開が完了したら、[
]をクリックして変更内容を保存します。WebSphere管理者コンソールに管理者ユーザとしてログインします。
左側のナビゲーションパネルで、
の順に移動します。起動するアプリケーションの横にあるチェックボックスをオンにし、[
]をクリックします。起動すると、[
]カラムに緑色の矢印が表示されます。展開中に指定したコンテキストを使用してポータルにアクセスします。
WebSphere上のWebコンテナのデフォルトポートは9080です。または、セキュアポートの場合は9443です。URLのフォーマットは次のとおりです。
http:// <server>:9080/IDMProv