2009年 1月 08日 木曜日

本日の作業の備忘録として書き残しておきます。

使った環境は以下のとおり。

• machineA: Web Server 7.0 上に Access Manager 7.1 を配備済み。
  
• machineB: Tomcat 5.5 上に Web アプリケーション /community を配備済み。
  このアプリケーションをプロテクトして、特定のユーザーにのみアクセスを許可する。
  

1. machineA 上で、Access Manager にログインし、エージェントプロファイルを作成。
   

   
   
   名前：agent
   
   パスワード:password
   
   

   
   
2. machineB 上で、あとで行うエージェントのインストール用に、パスワードファイルを作成。
   

   
   
   # echo "password" > /tmp/passwd.txt
   
   

   
   
3. J2EE Agent for Tomcat 5.5 をダウンロードし、machineB にインストール。
   

   
   
   # pkgadd -d . SUNWamtc
   
   # cd /opt/j2ee_agents/am_tomcat_agent/bin
   
   # ./agentadmin --install
   
   （デフォルト以外の値を入力した箇所のみ記載。）
   
   Enter the Tomcat Server Config Directory Path
   
   [/opt/jakarta-tomcat-5.5.9/conf]: /usr/home/wrldsrvr/apache-tomcat-5.5.17/conf
   
   Access Manager Services Host: machineA
   
   Enter the Agent Host name: machineB
   
   Enter the $CATALINA_HOME environment variable: /usr/home/wrldsrvr/apache-tomcat-5.5.17
   
   Enter the port number for Application Server instance [80]: 8080
   
   Enter the Agent Profile name: agent
   
   Enter the path to the password file: /tmp/passwd.txt
   
   

   
   
4. エージェントのインストールがおわったら、agent_00*/config/AMAgent.properties を編集する。
   

   
   
   プロテクトの対象外となるパスを指定。
   
   com.sun.identity.agents.config.notenforced.uri[0] = /ws/*
   
   
   
   フィルタモードは、URL_POLICY にする。(以下の行を追加）
   
   com.sun.identity.agents.config.filter.mode[community]=URL_POLICY
   
   

   
   
5. /opt/j2ee_agents/am_tomcat_agent/etc/agentapp.war を Tomcat に配備する。
   
6. Tomcat を再起動する。
   
7. Access Manager にログインし、「allowedusers」というグループを作成し、
   アプリケーションへのアクセスを許可するユーザーを登録する。（例えば、user01 を登録しておく）
   
8. 次の条件でポリシーを作成する。
   

   
   
   リソース：http://machineB/community/*
   
   対象：Access Manager アイデンティティー対象　グループ「allowedusers」
   
   

   
   
9. この状態で、http://machineB/community/* にアクセスすると、http://machineA/amserver/UI/Login にリダイレクトされるので、user01 でログインすると、http://machineB/community/* へアクセスできる。このとき、他のユーザーアカウントでログインすると 403 error でアプリケーションへのアクセスは拒否される。Access Manager でのログインに失敗した場合もアプリケーションへのアクセスはできない。

   かなり簡易的ではあるが、これでアプリケーションへのアクセスをポリシーで制御できる。