Hatena::ブログ(Diary)

end0tknrのkipple - web写経開発 RSSフィード

2014-11-24

OpenAM + openLDAPによる シングル・サイン・オン(SSO)環境の構築 入門? 1

colinux環境へのopenldap install - ポイントは BerkeleyDB - end0tknrのkipple - web写経開発

今回は、前回構築したopenLDAPに対し、統合ユーザ認証を行うOpenAMを適用します

参考

詳細なインストール方法は、次のurlが参考になりますので、ここではポイントだけ記載しておきます。

http://openstandia.jp/oss_info/openam/

http://codezine.jp/article/detail/6319

OpenAMの入手

http://forgerock.com/products/open-identity-stack/openam/

2014/11現在、最新のOpenAMは、ver.11.0.2ですが、このverは subscription only となっていた為、ver.11.0.0のwarファイルを利用することにしました

$ wget https://backstage.forgerock.com/downloads/enterprise/openam/openam11/11.0.0/OpenAM-11.0.0.war

OpenAMのinstall

warファイルを配備し、tomcat再起動するだけです

$ su -
# /etc/rc.d/init.d/tomcat stop
# cp /tmp/OpenAM-11.0.0.war /usr/local/tomcat/webapps/openam11_0_0.war
# /etc/rc.d/init.d/tomcat start

tomcatのinstall手順は省略しています

OpenAMの初期設定

OpenAMの初期設定は、tomcat起動後、ブラウザで行いますが、私の環境では、次のurlへアクセスします。

http://colinux.a4.jp:8080/openam11_0_0

最初の画面では「新しい設定の作成」を選択

f:id:end0tknr:20141124212744p:image

OpenAMのroot (amadmin)のパスワード設定

f:id:end0tknr:20141124212746p:image

OpenAMのサーバ設定

f:id:end0tknr:20141124213431p:image

サーバURLは、初期表示の「http://colinux.a4.jp:8080」を「http://colinux.a4.jp:8080/openam11_0_0」とすることで、この欄とCookieドメインの右側にチェックマークが表示されました。

※設定ディレクトリは、OpenAM自身の設定ですが、私の場合、デフォルトの「/root/openam11_0_0」のままとしました

OpenAMの設定データストア

先程の /root/openam11_0_0 以下に構築されるOpenAMの設定のことかと思いますが、初期表示のままとしました

f:id:end0tknr:20141124212747p:image

OpenAMのユーザデータストア設定 - openLDAPの該当項目なし?

「データストアタイプ=汎用LDAP v3」を選択したいとこですが、選択にない為、最低限、次の画面に進める条件を入力しました。

※ユーザデータストアは、OpenAMの初期設定完了後でも可能です

f:id:end0tknr:20141124212748p:image

※ルートサフィックスログインID、パスワードは、以前、私のcolinux環境にopenLDAPをinstallした際の値です

colinux環境へのopenldap install - ポイントは BerkeleyDB - end0tknrのkipple - web写経開発

OpenAMのサイト設定 - ロードバランサによる負荷分散

今回は単なるお試しなので、初期表示の内容のまま(ロードバランサ=なし)としました

f:id:end0tknr:20141124212749p:image

OpenAMのエージェントユーザ(SP ?)のパスワード

デフォルト ポリシーエージェント(UrlAccessAgent)は、SP?がOpenAM IdPへ接続する際のパスワードのようです。

f:id:end0tknr:20141124213432p:image

設定作成の実行

OpenAM サーバ(IdP)の初期表示は、ひと区切りです。まだ続きますが、このエントリが長くなってきたので、続きは別に記載します

f:id:end0tknr:20141124213433p:image

はてなユーザーのみコメントできます。はてなへログインもしくは新規登録をおこなってください。

リンク元