ついにSunの新しいポータルサーバ、"Sun Glassfish Web Space Server" がリリースされました。アイデンティティ管理製品担当として待ちに待った製品です。アイデンティティ管理とポータルは無関係のように思えますが（ま、無関係と言えば無関係なのですが）シングル・サインオンの要件には比較的高い割合でポータルサイト構築の要件が付いてきます。典型的な例は "リンク集" です。

シングル・サインオンシステムに一度ログインしたら、その後に、「ログインしたユーザがアクセスできるサイトの一覧（リンク集）を表示させたい」というニーズはかなりあります。
そういったこともあり、Sun の旧ポータルソフトウェア製品であるSun Java System Portal ServerはAccess Manager（OpenSSO の前バージョン）を内蔵していますし、他社のシングル・サインオン製品にも "ポータル オプション" 的なものが用意されていたりします。

さて、新しいポータル（なぜかバージョンはいきなり 10 ですが）がプロジェクトのサイトからいつものsun.com/downloadにリンクが張られていて FCS (First Customer Release) 版がダウンロードできるようになっています。私も、前回インストールしてみた時からかなり月日が経っているので、Windows 版をインストールしてみることにします。
# たまにはインストールしながらブログを書いてみます

上記リンクからダウンロードサイトに行き、「GlassFish Web Space Server 10 - Windows」というものをダウンロードします。201.45 MB もあるらしく、私の環境だとダウンロードに 30 分ほどかかりそうです。

やっとダウンロードが終わりました。
ダウンロードした zip を解凍してみると、webspace-readme.txt というファイルがありましたので、この指示に従ってビルドしてみます。

> cd glassfish2

> ..\ant\bin\ant -f setup.xml
Buildfile: setup.xml

get.java.home:

setup.init:

...

BUILD SUCCESSFUL
Total time: 29 seconds

> cd bin

> asadmin.bat start-domain
Starting Domain domain1, please wait.

...

User web applications are available at these URLs:
[http://localhost:8080 https://localhost:8181 ].
Following web-contexts are available:
[/web1  /__wstx-services ].
Standard JMX Clients (like JConsole) can connect to JMXServiceURL:
[service:jmx:rmi:///jndi/rmi://gori:8686/jmxrmi] for domain management purposes.

Domain listens on at least following ports for connections:
[8080 8181 4848 3700 3820 3920 8686 ].
Domain does not support application server clusters and other standalone instances.

今日は記事の紹介です。今月の SDC 連載記事「アイデンティティ管理の基礎と応用」で OpenDS を紹介ています。

OpenDS と OpenSSO は共にアイデンティティ管理系でオープンソースとして提供されているソフトウェアなんですが、（あくまで個人的な感想ですが）どうも OpenDS は OpenSSO に比べて盛り上がりがイマひとつ足りない気がしていました。かく言う私もダウンロードしてちょっと使ってみて終了、というカンジであまり深く触ってはいなかったのですが、先日、某製造業様のところで既存システム環境の話をしていて、「Identity Manager で管理する対象は？」というときに、
「ディレクトリがあります。Directory Server じゃなくて OpenDS なんですけど問題ないですよね？」
と言われて
「ええ、もちろんです。（お、OpenDS !? もう実際に使ってるんだ !）」
というようなことがあり、私ももっと勉強しなくては、と思い、改めて記事にまとめることにしました。

改めて使ってみると、OpenDS 1.2 から管理 GUI が追加されたこともあって、とっつきやすくなっています。Directory Server が 5.2 から 6.0 にバージョンアップされたタイミングで、高機能化したものの、ウェブベースの管理 GUI になったり、インストールも選択肢が増えたため紛らわしくなってしまったところもあったのですが、そういうことを考えると OpenDS は Directory Server 5.x 代のシンプルさを備えているカンジです。

ロードマップ上は頻繁にバージョンアップ＆機能追加が行われる予定になっているので楽しみな限りです。

今日、OpenDS プロジェクトの方で新しいバージョン 1.2.0 が正式リリースされました。 1.2.0 では様々な改良が加えられていますが、大きな変更点は opensolaris への組み込み対応と、Control Panel の追加です。

opensolaris への対応という意味では、Native LDAP 用のディレクトリとして正式に利用することができるようになっています。Native LDAP で必要なスキーマもデフォルトで組み込まれるようになりました。

そして、Control Panel の追加は、多くの OpenDS ユーザが待ち望んでいた点だと思います。Control Panel によって、サーバのステータス表示、エントリやスキーマ、インデックスの管理、バックアップ/リストア等といった操作が実行できます。ウェブベースではなく、専用のクライアントアプリケーションであるため、Sun Java System Directory Server 5.x 代で定評のあったSun Java System Server Consoleのような直感的な設定 / 管理が可能です。

Sun Identity Manager が 8.0.0.4 というバージョンから、レポジトリとして MySQL をサポートするようになってからしばらく経過し、今となっては既に、その次の 8.0 Patch 5 がリリースされてしまっているわけですが、実は MySQL としてサポートされているバージョンは、無償でダウンロードして利用できる、いわゆる Community Edition ではなく、有償版の Enterprise Edition になります。

補足：通常の Community Edition や MySQL Enterprise Server 5.0.60 SP1 以外のバージョンはサポートされません

Enterprise Edition ということで、お金を払う代わりに Sun のサポートが付いてくるわけですが、それと共に、MySQL の監視 兼 SQL クエリ分析 が可能な Enterprise Monitor という製品が利用できる、という得点が付いてきます。

MySQL サーバの監視だけでなく、SQL クエリの分析も行う場合は「サービスエージェント」と呼ばれるモジュールが MySQL サーバプロセスの前面に介在する形になるのですが（これは監視対象の MySQL プロセスが稼動するホスト上にインストールする必要があります）、このオーバーヘッドはかなり少ないため、データベースとしてのパフォーマンスにあまり影響を与えないのが特長です。

通常、Identity Manager は直接 MySQL サーバプロセスと通信しますが、Enterprise Monitor のクエリ分析機能（Query Analyzer）を利用する場合は、サービスエージェントと通信することになります。このサービスはデフォルト 4040 ポートで LISTEN します。

一方、サービスエージェントは「サービスマネージャ」と呼ばれる Tomcat 上で稼動するアプリケーション（これが Enterprise Monitor の本体です）と "会話" することで、MySQL プロセス、サーバのシステム情報（CPU 使用率、OS 種別、メモリ使用率、ディスク等など）の情報を送信し、さらに Identity Manager が投げた SQL クエリの内容や要した時間、回数なども伝えます。

さて、早速インストールしてみたいと思います。ここで、最近、購入した VAIO type P が登場です。

1. MySQL 5.0.60 SP1 Enterprise Edition 等をダウンロードしてインストール

2. アプリケーションサーバと共に Identity Manager をインストール

3. Identity Manager のデータベースセットアップスクリプトを MySQL に流す

4. MySQL Enterprise Monitor をインストール

5. MySQL Enterprise Monitor Agent を MySQL サーバと同一 OS 上にインストール

6. lh setup コマンドで Identity Manager のレポジトリを Agent に向ける

7. すべてのサービスを起動

全部見れる上に時間がかかった処理や処理数なんかもわかります。

じっと眺めていると目がクラクラしてきますが、VAIO type P でも全部まとめてサクサク動きます。

# あなたも Identity Manager と MySQL Enterprise Monitor をジーンズのポケットに入れてみませんか？

今日、ふと"OpenSSO Community Day - NYC - March 17 2009" なるイベントをやる、という話が少し前に流れていたのを思い出し、何気なくイベントの情報が載った Wiki を見ていたら、"Suggested topics" という中に "MySQL plugin for user datastore" という項目がありました。

私もまだトピックの内容は知りませんが、ようやく OpenSSO のユーザレポジトリとして MySQL が使えるようになりそうな雰囲気です。
これまででも OpenSSO で MySQL を使った認証はできていたんですが、MySQL のユーザ情報を使って認証はできても、結局 OpenSSO が自分自身でアクセス権を付与するユーザを識別するためのユーザ DB が必要だったので、MySQL を使って認証を行う場合はユーザ情報の二重管理が必要でした。

過去に、ユーザデータストアとして HSQLDB を使えるようにするための Plug-in を開発しているページがあったのは読んでいたので、HSQL でやるんだったら MySQL でやって欲しかったなぁ、なんて勝手に思っていたのですが、ようやくそれが半ばオフィシャルな形で実現しそうです。これが実現すると、MySQL 認証の時に、ユーザ情報の二重管理が不要になるだけでなく、OpenSSO のユーザ管理画面で直接 MySQL 内のユーザ情報を管理できるようになるので、そういった点からも管理性が高まりますね。
（でも、この話も単なる推測なので違っていたらお騒がせしてすみません、ということで；）

ちなみに今はユーザデータストアとしては Sun Directory Server, Microsoft Active Directory, Tivoli Directory Server の３種類が正式にサポートされています。