Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
木曜日 5 01, 2008
こんにちは。
今日はGWで電車がすいてましたねー。毎日これだといいのになー。
さて今日も Tech Tips を紹介します。
Active Directory Risk Analysis - kimimasa - wikis.sun.com ということで、Active Directory に対する監査(スキャン)の方法をまとめました。Identity Managerが行なっているのはActive Directory上の不正なアカウント(パスワードがなかったり、変更されてなかったり、ログインが一定期間されていなかったりなどなど)をチェックしてレポートとして見やすい形にまとめるといった作業です。
ADSIを使用したプログラムを書けば、実現可能なことかと思いますが、製品の機能としてインストールしたらすぐに使えるのはなかなかすごいのでは??っと、自社製品ながら思います。
Identity Managerの場合は、Active Directory への接続方法が、LDAP接続を使用するのではなく、gatewayを介した接続となっているので、LDAP接続に比べてより細かい情報を取得できるというのも大きな特徴になっています。(もちろんLDAP接続をすることも可能ではあります。)
Active Directory上のアカウントを簡単に監査(スキャン)したいというお客様はぜひお試しください。
kimimasa's wikiのIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
木曜日 5 01, 2008
こんにちは。
Tech Tips を紹介します。まったく持ってTipsというには程遠いですが、
Identity Manager Installation - kimimasa - wikis.sun.com ということで、Identity Managerのインストールの仕方をまとめました。今回は、Sun Java System Application Server 9.1 と MySQL 5.0 を使っています。Identity Manager は 7.1 です。
ついでなので、
もまとめておきました。
画面キャプチャがたくさんなのでわかりやすいと思います。
参考になればうれしいです。ご意見ありましたらコメントください。
kimimasa's wikiのIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
木曜日 4 17, 2008
こんにちは。
Tech Tips を紹介します。たいしたものではないですが。。
Access Manager Session Setting - Quota Constraints - kimimasa - wikis.sun.com ということで、「Access Manager で1人のユーザにセッションの制限を設定する方法」をまとめてみました。
最近は、モバイル環境での使用や、不正アクセスの防止という観点で、一人のユーザに対するセッション数を制限したいというご要望も受けることがあります。
Access Manager では、Webの管理コンソールから簡単にこの設定を行なうことができます。
参考になれば幸いです。
kimimasa's wikiのAccess Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
火曜日 4 08, 2008
こんにちは。
今日は Tech Tips を紹介します。
PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog ということで、Jonathan Gershaterが Directory Serverで、pwdLastAuthTime という属性(6.0 から新しく加わったパスワード関連の属性で、ユーザが最後に認証した時間を記録します。)を記録するか、記録しないかというパスワードポリシーの設定方法に関して解説してくれています。
Directory Server 6.0 からは、ユーザが最後に認証した時間を記録することができるようになりました。ただ、この属性を記録するように設定するとパフォーマンスに影響がでる場合があります。どんなケースかというと、
- Native LDAP(UNIXの認証をLDAPで行なう)用に Directory Server を利用している。
- Proxyagent を使用して、Directory Server からユーザのDNを取得してから認証を行なうようにしている。
- Directory Server がマルチマスタ構成をとっている。
ような場合です。
で、どういう流れでパフォーマンスに影響がでるかというと、、
- OS の認証のたびに、proxyagent でのBINDがかなりの数行なわれます。
- そうすると、proxyagent のエントリに対して、pwdLastAuthTime属性の値がアップデートされます。
- その情報がレプリケーションされます。
- つまり、認証のたびにLDAPにたいして変更を実施することになってしまいます。
という感じになります。回避策としては、「proxyagent に対しては、pwdLastAuthTime属性を記録しないような設定にする」があります。この方法を
解説しています。
Native LDAPで使用する場合だけでなく、OpenSSO や Access Manager でLDAP認証を行なう場合にも同様のことを考慮してあげたほうがいいですね。構築されるかたは頭の片隅にでも記憶しておいて頂ければと思います。
kimimasa's wikiの
Directory Server Tech Tipsにも追加しておきました。
ではまた。
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
火曜日 1 22, 2008
こんにちは。
Kimimasa's wiki 開設 : kimimasa's blog
で書きましたが、wiki をはじめました。公開できる情報はできるだけ公開していきたいと思っています。
早速、1つ書きました。
Identity Managerで多言語(9カ国語)を扱えるようにする方法です。できるのは分かり切っていますが、実際にはなかなかやらないことだと思います。
参考にして頂けると光栄です。
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
金曜日 11 23, 2007
こんばんは。
まだまだいきます。あ、でも日付変わっちゃったか。。。
さて、本エントリでも、Big Admin日本語ハブのコンテンツを紹介します。
BigAdmin日本語ハブとはBigAdminの日本版になります。
BigAdmin マルチリンガルハブへようこそ。世界中のシステム管理者に役立つ情報をご提供したいと考えています。また、このサイトから、日本語で記事や情報、知識を共有したり投稿したりできるようにする予定です。 このサイトには、英語版 BigAdmin からの翻訳記事をいくつか掲載しています。 Feedback タブを使って、日本語翻訳の品質についてコメントしたり、翻訳してほしい英語版の記事や情報をリストしたり、日本語以外の翻訳してほしい言語をリクエストしたりすることもできます。遠慮なくどしどしコメントをお寄せください。お待ちしております。これからもユーザーおよびコミュニティのみなさまとともに BigAdmin の内容をグローバルに作成し拡張していきたいと思っています。 我々が最も良く知っている言語で知識を共有しましょう!
BigAdmin: Multilingual BigAdmin - 日本語
更新情報の blog もあります。
BigAdmin 日本語通信
Big Admin日本語ハブの中には、
Sun Java Enterprise System 製品のコーナーもあります。
で、本エントリでは、
特集記事:Solaris OS での Sun Java System Identity Manager と RBAC プロファイルの併用
を紹介します。
この記事は
Bigadmin記事:Using Sun Java System Identity Manager With RBAC Profiles in the Solaris OSを日本語に翻訳したものです。内容は、
概要
Sun Java System Identity Manager は Resource Adapter を使用して、Solaris オペレーティングシステムを実行するシステム上でアカウントを作成、変更および削除します。Identity Manager Resource Adapter は、ユーザー管理作業を実行できるアクセス権を持つユーザーを使用して構成する必要があります。Solaris OS 用の Resource Adapter は、root アカウント、sudo ユーティリティー、または「特権」ユーザーアカウントを使用できます。
多くのお客様は、Identity Manager が、root アカウントを持つユーザーを管理することを許可しません。sudo 機能を使用するには、Solaris OS 上でインストールと構成を行う必要があります(sudo は、Sun がサポートしてない Companion CD のユーティリティー)。「プロキシ」または「特権」アカウントを作成することは、特定のユーザーにきめ細かいアクセス権を付与する安全な手段になります。Solaris OS には、個別のユーザーまたは役割に特権コマンドを委任するための組み込みメカニズムがあります。
この記事では、Identity Manager を使用して Solaris OS (リリース 9 および 10) を構成し、特権プロファイルを使用して Solaris OS 用の Identity Manager Resource Adapter を介してユーザーアカウントを作成、変更、および削除する方法について説明します。
特集記事:Solaris OS での Sun Java System Identity Manager と RBAC プロファイルの併用
という感じです。
英語版は2005年のもので少し古いですが、最近、内部統制の強化や、JSOXにおけるIT全般統制の強化という流れの中で、
Identity Managerを使った、OSアカウント管理の話が結構多いので参考になると思い翻訳してもらいました。内容も製品のバージョン依存の部分が少ないのでとても参考になると思います。
Identity ManagerでのOSアカウント管理をご検討の場合にはぜひご一読ください。
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
木曜日 11 22, 2007
こんにちは。どんどん行きます。
一日のエントリ数の自己記録を更新かなー??
次も Big Admin日本語ハブのコンテンツです。
一気に更新があったので、紹介するのも大変です。(でもどれもいいコンテンツなのでがんばって紹介しますー)
BigAdmin日本語ハブとはBigAdminの日本版になります。
BigAdmin マルチリンガルハブへようこそ。世界中のシステム管理者に役立つ情報をご提供したいと考えています。また、このサイトから、日本語で記事や情報、知識を共有したり投稿したりできるようにする予定です。 このサイトには、英語版 BigAdmin からの翻訳記事をいくつか掲載しています。 Feedback タブを使って、日本語翻訳の品質についてコメントしたり、翻訳してほしい英語版の記事や情報をリストしたり、日本語以外の翻訳してほしい言語をリクエストしたりすることもできます。遠慮なくどしどしコメントをお寄せください。お待ちしております。これからもユーザーおよびコミュニティのみなさまとともに BigAdmin の内容をグローバルに作成し拡張していきたいと思っています。 我々が最も良く知っている言語で知識を共有しましょう!
BigAdmin: Multilingual BigAdmin - 日本語
更新情報の blog もあります。
BigAdmin 日本語通信
Big Admin日本語ハブの中には、
Sun Java Enterprise System 製品のコーナーもあります。
今回は、
特集記事: Sun Java System Access Manager 2005Q4 および Sun Java System Access Manager Policy Agent 2.2 を使用したシングルサインオン
を紹介します。
これもまた以前に、
Identity Manager,Access Manager に関するTechArticleのご紹介(Bigadmin):kimimasa's blogとして紹介していますが、
Bigadmin記事:Single Sign-On Using Sun Java System Access Manager 2005Q4 and Sun Java System Access Manager Policy Agent 2.2の翻訳版です。
BigAdmin Feature Article: Single Sign-On Using Sun Java System Access Manager 2005Q4 and Sun Java System Access Manager Policy Agent 2.2
Access Manager をインストールし、Policy Agent 2.2を Sun Java System Web Server,Sun Java System Application Server,Tomcat上にインストールして、SSO(シングルサインオン)を実施するまでの記事です。
Identity Manager,Access Manager に関するTechArticleのご紹介(Bigadmin):kimimasa's blog
日本語になっていますので、実際に試して頂くのにいいと思います。ただ、Access Managerは最新の 7.1 ではなく、2005Q4(7.0) を使っていますのでご注意下さい。
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
月曜日 10 15, 2007
こんにちは。
今日は、BigAdminの新規記事を紹介します。
(BigAdminとは、Sunが提供しているシステム管理者さんの為の技術情報ポータルサイトです。)
The BigAdmin portal is a Web-based, community-driven repository of resources specifically for system administrators -- by sys admins. Keeping in the tradition of bulletin boards, the BigAdmin portal enables users to both receive and post useful information, resources, and tips. The BigAdmin team continually posts useful, cool things that sys admins care about. However, realizing that we can't identify all resources that are available, we also encourage our user community to submit things that they find useful.
BigAdmin FAQ
Sun Java System Directory Server 6.0 as an LDAP Naming Service
ってことで、
Directory Serverを
Solaris 10,Solaris9,Solaris8さらには、RedHat4, AIX5.3 のNamingServiceとして使用する際の方法(Howto)をまとめてあります。簡単にいうと、OSのpasswd,shadowファイルや、NISではなくて、LDAPをOSの認証だったり、ネーミングサービスに使う際のインストールや設定の方法を解説した記事です。
この記事はかなりよいです。(そのかわり、記事のボリュームもかなりのものです。)
Directory Server側の設定方法、OS(ここではLDAPクライアントとなる)側の設定方法のどちらか一方であれば製品ベンダのマニュアルなどで探すことはできますが、その両方がまとめて記述されているのはかなり珍しいと思います。
BigAdminという技術ポータルならではの情報だと思います。
(普通、Sun のサイトに RedHatやAIXの設定方法はのっていないので(笑))
逆に IBMさんやRedHatさんのサイトにも
Directory Serverの設定方法は載っていないけど。。
いろいろ解説したいことろですが。。。多忙につきまずはお知らせまで。。。
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
火曜日 9 04, 2007
こんにちは。
今日は gateway のインストール方法を説明します。
Identity Managerは Agentless のアーキテクチャを採用しているので、たいていの場合は同期対象先(リソースと呼んでいます。)には、Agentモジュールなどをインストールする必要がありません。
しかし、Active Directory や Lotus Domino などをリソース(同期対象)として使用するには、Sun Identity Manager Gateway(以降 gateway)をインストール必要があります。
マニュアルもわかりやすく記述されていますが、画面などがないので今回は画面をつけて説明します。
- 前提:Identity Managerをダウンロードして解凍していある。(今回は Identity Manager 7.1 を利用しました。)
- gateway をインストールするマシンを決定する。(今回は Win2003 Server上にインストールします。)
- インストールするサーバ上にたフォルダを作成します。(今回は C:\idm を作成しました。)
- Identity Managerを解凍したフォルダにある gateway.zipを作成したフォルダにコピーします。
- 解凍します。
- これでインストール(っというか解凍だけですけど)は終了です。
- サービスとして登録します。
- コマンドプロンプトから gateway -iとしてサービスに登録します。
サービスとして登録されますので、コントロールパネルを介してサービスとして起動、停止を行うことができます。(OSの起動時に自動で起動するように設定されます。)
- gatewayの起動と停止 (gateway の起動・停止はコマンドラインまたは、コントロールパネルから行います。ここではコマンドラインでの起動停止を紹介しておきます。)
起動 : gateway.exe をおいたディレクトリで gateway -sとして起動します。
停止 : gateway.exe をおいたディレクトリで gateway -kとして停止します。
ネタ元:
Sun Java System Identity Manager 7.1 インストール >> 第 9 章 Sun Identity Manager Gateway のインストール手順
ご参考になれば幸いです。
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
水曜日 8 29, 2007
こんにちは。
Identity Manager 6.0 日本語版UP~ヘルプ検索機能について~ Hanaki's weblogを見ていて、ふと「マニュアル」も検索してみたいな~と思ったのでやってみました。(Identity Manager7.1でやりました。)
でもhelpTool の使用:Sun Java System Identity Manager 7.1 リリースノート によると(注: この機能は英語版のマニュアルのみを対象としています。)ってことですので、オンラインヘルプは問題ないですが、日本語のマニュアルはサポートされませんのでご注意下さい。
- 前提:Identity Manager 7.1 はダウンロード、インストール済み。Identity Manager 7.1 Language Packo
ダウンロード済み。(idm_l10n_ja_JP.jar も WEB-INF/lib 以下においてある。)
- "D:\Tomcat 5.0\webapps\idm71\help" に移動。
- まずは、オンラインヘルプを検索できるようにしてみます。
D:\Tomcat 5.0\webapps\idm71\help>java -jar "C:\Documents and Settings\kim
i\デスクトップ\tmp\IDM_7-1_L10n_ja\IDM_7-1_L10n_ja\helpTool\helpTool.jar" -d htm
l/help/ja_JP -i ..\WEB-INF\lib\idm_l10n_ja_JP.jar -n index/help -o help_files_help_ja_JP.txt -p index/index.properties [リターン]
Extracted 1164 files.
[28/8/2007:19:31:12] PM Init index/help AWord 2077744344
[28/8/2007:19:31:12] PM Waiting for housekeeper to finish
[28/8/2007:19:31:12] PM Shutdown index/help AWord 2077744344
[28/8/2007:19:31:12] PM Init index/help AWord 645390916
[28/8/2007:19:31:16] MP Partition: 2, 792 documents, 12647 terms.
[28/8/2007:19:31:17] MP Finished dumping: 2 index/help 0.751
[28/8/2007:19:31:17] IS 792 documents, 7.03 MB, 4.62 s, 5483.70 MB/h
[28/8/2007:19:31:17] PM Waiting for housekeeper to finish
[28/8/2007:19:31:17] PM Shutdown index/help AWord 645390916
D:\Tomcat 5.0\webapps\idm71\help>
|
なんかうまくいった感じです。
- 次にマニュアルを検索できるようにしてみます。
といっても、元々のHTML形式の日本語マニュアルは、Language Pack にはついて来ません。
しょうがないので、Identity ManagerのマニュアルからたどってHTML版日本語マニュアルをダウンロードしました。(ダウンロードツールのご使用は自己責任でお願いします。)ついでに文字コードをUTF-8にしておきました。
- D:\Tomcat 5.0\webapps\idm71\doc\HTML に ja_JP ディレクトリを作ってダウンロードしたファイルをおいておきます。
- インデックスを作ります。
D:\Tomcat 5.0\webapps\idm71\help>java -jar "C:\Documents and Settings\kim
i\デスクトップ\tmp\IDM_7-1_L10n_ja\IDM_7-1_L10n_ja\helpTool\helpTool.jar" -d html/docs/ja_JP -i ...\doc\HTML\ja_JP -n index/docs -o manual_files_docs_ja_JP.txt -p index/index.properties [リターン]
Copied 1 files.
Copied 29 files.
Copied 2 files.
Copied 8 files.
Copied 173 files.
Copied 200 files.
Copied 157 files.
Copied 175 files.
Copied 62 files.
Copied 474 files.
[28/8/2007:19:49:21] PM Init index/docs AWord 1113418346
[28/8/2007:19:49:21] PM Waiting for housekeeper to finish
[28/8/2007:19:49:21] PM Shutdown index/docs AWord 1113418346
[28/8/2007:19:49:21] PM Init index/docs AWord 1855324448
[28/8/2007:19:49:25] MP Partition: 2, 119 documents, 51299 terms.
[28/8/2007:19:49:26] MP Finished dumping: 2 index/docs 0.901
[28/8/2007:19:49:26] IS 119 documents, 11.48 MB, 4.99 s, 8283.57 MB/h
[28/8/2007:19:49:26] PM Waiting for housekeeper to finish
[28/8/2007:19:49:27] PM Shutdown index/docs AWord 1855324448
D:\Tomcat 5.0\webapps\idm71\help>
|
できたっぽいです。
- 試してみます。
まずはオンラインヘルプ。
次にマニュアル。
できました。(なんかうれしい。)
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
金曜日 8 17, 2007
こんにちは。
先ほど、先輩から梨を頂きました。今冷蔵庫で冷やしています。おやつに食べるの楽しみです。
さて、今日は「Identity Managerへの複数ログインを禁止する」方法をご説明します。マニュアルには以下のように記述されています。
同時ログインセッションの制限
デフォルトでは、Identity Manager ユーザーは同時ログインセッションを行えます。ただし、System Configuration オブジェクトの security.authn.singleLoginSessionPerApp 設定属性の値を変更すれば、並行セッションをログインアプリケーションごとに 1 つに制限できます。この属性は、管理者インタフェース、ユーザーインタフェース、Identity Manager IDE などのそれぞれのログインアプリケーション名に対応した 1 つの属性を含んだオブジェクトです。この属性の値を true に変更すると、強制的に各ユーザーのログインセッションが 1 つに制限されます。
制限された場合、ユーザーは複数のセッションにログインできますが、最後にログインしたセッションだけがアクティブで有効になります。無効なセッションでアクションを実行すると、ユーザーは自動的にセッションから強制的にログオフされ、セッションが終了します。
Sun Java System Identity Manager 7.1 管理ガイド - 第 10 章 セキュリティー - 同時ログインセッションの制限
では詳しく解説していきます。
- まずは、System Configuration オブジェクトのsecurity.authn.singleLoginSessionPerAppの設定値を変更します。
ログインしてデバックページへ。
- Type が Configuration のオブジェクトをリストします。
- System Configuration オブジェクトを編集します。(とっても大事なファイルなので編集前に export してバックアップしておいて下さい。)
- System Configuration オブジェクトの中のsecurity.authn.singleLoginSessionPerAppの設定場所を探していきます。まずは security
- 次に authn
- 次に、singleLoginSessionPerApp。そして今回は User Interface(一般ユーザがログインして、自分の情報を編集したり、いろいろ申請したり、承認したりするWebGUI画面)の複数ログインを禁止することにします。デフォルトの状態では複数ログインが可能ですので、設定値は false になっています。
- この設定値を true にして、Saveします。
- うまく設定されているか確認していきます。まずは、あらかじめ作成しておいたユーザ logintest でログインします。
- うまくログインできました。
- 次に別のブラウザを使ってユーザ logintest でログインします。
- こちらもうまくログインできました。
- 最初にログインしていただブラウザに戻って、ページを更新するか、どこかをクリックしてみます。
- 1ユーザによる複数のログインセッションが禁止されていることと、セッションが終了されたことを伝えるメッセージが表示され、ログイン画面に戻ります。
実際にこの機能を利用されるかはお客様によって様々だと思いますが、「複数のログインセッションを禁止したい」という要件があった場合にも、上記のように簡単に設定することが可能であるとご理解いただけたと思います。
久々にお知らせではないエントリを書きました。
参考にしていただければ幸いです。
_kimimasa
Translate to English :
(Yahoo!)/
(Google)/
(Microsoft)
|
|
|
|
