Hatena::ブログ(Diary)

end0tknrのkipple - web写経開発 RSSフィード

2014-11-24

OpenAM + openLDAPによる シングル・サイン・オン(SSO)環境の構築 入門? 2

OpenAM + openLDAPによる シングル・サイン・オン(SSO)環境の構築 入門? 1 - end0tknrのkipple - web写経開発

先程のエントリに続き、今回は、OpenAMのWeb Agent(SP?)を導入します

Web Agent のinstall

Web Agent = SP (Service Provider)の理解でいいのかな? まぁ、インストール自体は簡単なんですけど

$ cd /home/endo/local
$ wget https://backstage.forgerock.com/downloads/enterprise/openam/webagents/stable/3.3.3/Apache-v2.2-Linux-32-Agent-3.3.3.zip
$ unzip Apache-v2.2-Linux-32-Agent-3.3.3.zip
$ cd web_agents/apache22_agent/bin

##インストーラがapacheの設定( httpd.conf)を書換える為、一度、apacheを停止します
$ /home/endo/local/apache22_2/bin/apachectl stop

$ vi /home/endo/local/web_agents/apache22_agent/bin/password.txt
##前回のエントリで入力した
##ポリシーエージェント(UrlAccessAgent)に対応するパスワードを登録して下さい

$ ./agentadmin --install
  :
-----------------------------------------------
SUMMARY OF YOUR RESPONSES
-----------------------------------------------
Apache Server Config Directory : /home/endo/local/apache22_2/conf
OpenAM server URL : http://colinux.a4.jp:8080/openam11_0_0
Agent URL : http://colinux.a4.jp:8081
Agent Profile name : colinux_a4_jp_8081
Agent Profile Password file name :
/home/endo/local/web_agents/apache22_agent/bin/password.txt
  :
$

「./agentadmin --install」の実行により

/home/endo/local/web_agents/apache22_agent 以下に「Agent_001」というdirができたり、httpd.conf に次の1行が追加され、OpenAMの認証配下に入ります

include /home/endo/local/web_agents/apache22_agent/Agent_001/config/dsame.conf

OpenAM IdPへのWeb Agent (SP?)の登録

OpenAM IdPへのWeb Agent (SP?)の登録は、OpenAM IdP の画面から行います。

私の場合、次のurlhttp://colinux.a4.jp:8080/openam11_0_0

「アクセス制御」タブ > 「/(最上位のレルム)」リンク >「エージェント」タブ の順に画面遷移し、「Web エージェント」欄の「新規」からwebエージェントを登録します。

※「新規」クリック直後は、OpenAMの管理者であるamAdminとパスワードが表示されると思いますが、Agentの名前とパスワードを入力して下さい

f:id:end0tknr:20141124225755p:image

f:id:end0tknr:20141124225756p:image

一般欄にあるSSO のみモードは「有効」にチェックを入れないと、ユーザ認証を通ってもwebアプリが403でアクセスできなくなりました。

認証を必要するurlの設定

まず「エージェント」→「Web」→「$エージェント名のリンク」から、「アプリケーション」タブを選択して下さい。

その画面の「適用されないURL処理」において、品証を必要とするURLを入力し、「適用されないURLの反転=ON」にすることで、必要なページのみ認証されます

f:id:end0tknr:20150306121639p:image

ユーザデータストアの登録

web agentのインストールが完了しましたので、前回、後回しにしていたユーザデータストアをここで登録します。

「データストア」タブ から「新規」ボタンをクリックし、必要な内容を登録します。

openLDAPの場合、「汎用LDAP v3」を選択

f:id:end0tknr:20141124225758p:image

f:id:end0tknr:20141124225757p:image

ユーザデータストア登録の2番目の画面のキャプチャは一部しか貼っていませんが、私の場合、次の内容をデフォルトから変更しました

LDAP サーバー colinux.a4.jp:389 追加
LDAP バインド DN cn=Manager,dc=my-domain,dc=com
LDAP バインドパスワードないしょ
LDAP 組織 DN ou=People,dc=my-domain,dc=com
LDAP ユーザー検索フィルタ(objectclass=inetorgperson) → 空白

f:id:end0tknr:20141124225800p:image

問題なく設定されている場合、「アクセス制御」タブ > 「/(最上位のレルム)」リンク > 「対象」タブで画面遷移すると、ldapに登録されているユーザが一覧表示されます

f:id:end0tknr:20141124225759p:image

TODO - 次回、機会があれば

HTTPヘッダに任意のldap属性を追加したい

OpenAMの標準機能で画面から設定できそうですが

uid x passwd , mail x passwd でログイン

こちらも、OpenAMの標準機能で画面から設定できそうですが...

はてなユーザーのみコメントできます。はてなへログインもしくは新規登録をおこなってください。

トラックバック - http://d.hatena.ne.jp/end0tknr/20141124/1416837929
リンク元