OpenSSO のアクセス保護設定 (その 1): Policy Agent 2.2 for Sun Java System Web Server 6.1 のインストール
(Translate to English)Wednesday Sep 20, 2006
つづいて, 前回インストールした Web Server にポリシー・エージェントをインストールしてみる. まずは Web Server と同様の手順で, Sun Java System Access Manager Policy Agent 2.2 for Sun Java System Web Server 6.1 (以下ポリシー・エージェント) のインストール・パッケージをダウンロード.
今回は Policy Agent for Sun Java System Web Server 6.1, English (SJSWebServer_6.1_agent_2.2_solaris_sparc.tar.gz) をダウンロード.
展開後のパッケージはこんな感じ:
# ls AgentLicense.properties AgentResources.properties LICENSE.TXT README.TXT SUNWames6 agent_SunOS_es6.class libpasswd.so locale setup
インストーラを起動.
# ./setup
Launching installer...
You are running the Installation/Uninstallation program for the Sun Java(tm)
System Access Manager Policy Agent.
(いろいろメッセージが出力されるけど, ここでは省略. 以下同様)
Have you read, and do you accept, all of the terms of the preceding Software
License Agreement [no] {"<" 戻る, "!;" 終了}? yes
Install the Sun Java(tm) System Access Manager Policy Agent in this
directory [/opt] {"<" 戻る, "!;" 終了}: /opt/agents (← インストール先)
重要な項目は大きくわけてふたつ. まずひとつめは, ポリシー・エージェントのインストール先である Web Server インスタンスの情報.
Enter information about the server instance this agent will protect.
Host Name [] {"<" 戻る, "!;" 終了}: sw-23.japan.sun.com (← Web Server のホスト名)
Web Server Instance Directory [] {"<" 戻る, "!;" 終了}: /opt/SUNWwbsvr/https-sw-23 (← Web Server の設定ファイル等のあるディレクトリ)
Web Server Port [80] {"<" 戻る, "!;" 終了}: 80 (← Web Server のポート番号)
Web Server Protocol [http] {"<" 戻る, "!;" 終了}: http (← Web Server のプロトコル)
Agent Deployment URI [/amagent] {"<" 戻る, "!;" 終了}: /amagent (← OpenSSO から Web Server にアクセス (セッション情報の変化などを通知) するときの URI)
もうひとつは, このポリシー・エージェントが信頼する OpenSSO のインスタンスに関する情報.
Enter the Sun Java(tm) System; Access Manager Information for this Agent.
Primary Server Host [] {"<" 戻る, "!;" 終了}: sw-21.japan.sun.com (← OpenSSO のホスト名)
Primary Server Port [58080] {"<" 戻る, "!;" 終了}: 28080 (← OpenSSO のポート番号)
Primary Server Protocol [http] {"<" 戻る, "!;" 終了}: http (← OpenSSO のプロトコル)
Primary Server Deployment URI [/amserver] {"<" 戻る, "!;" 終了}: /opensso (← OpenSSO サーバの URI)
Primary Console Deployment URI [/amconsole] {"<" 戻る, "!;" 終了}: /opensso (← OpenSSO コンソールの URI)
Failover Server Host [] {"<" 戻る, "!;" 終了}: (enter)
Agent-Access Manager Shared Secret: agentpassword (← OpenSSO と通信する際に使うパスワード. これについてはまたのちほど)
Re-enter Shared Secret: agentpassword
あとはとくに難しいところはなく, そのまま直観的にキーを押下.
Press "Enter" when you are ready to continue. {"<" 戻る, "!;" 終了} (enter)
Ready to Install
1. Install Now
2. Start Over
3. Exit Installation
What next [1] {"<" 戻る, "!;" 終了}? 1
Enter the number corresponding to the desired selection for more
information, or enter 2 to continue [2] {"!;" 終了}: 2
#
これでポリシー・エージェントが Web Server にインストールされた. Web Server を再起動し, ポリシー・エージェントを有効にする.
# /opt/SUNWwbsvr/https-sw-23/stop server has been shutdown # /opt/SUNWwbsvr/https-sw-23/start Sun ONE Web Server 6.1SP6 B05/07/2006 12:33 info: CORE5076: Using [Java HotSpot(TM) Server VM, Version 1.4.2_04] from [Sun Microsystems Inc.] info: WEB0100: Loading web module in virtual server [https-sw-23] at [/search] info: HTTP3072: [LS ls1] http://sw-23:80 ready to accept requests startup: server started successfully #
この状態でポリシー・エージェント入りの Web Server, すなわち今回の環境では http://sw-23.japan.sun.com へアクセスすると, どのような挙動を示すだろうか?
- そのままトップ・ページのコンテンツが表示される
- アクセスを拒否される
- 認証を求められる
回答は 3. 正確には, http://sw-23.japan.sun.com に接続すると, Web Server に入っているポリシー・エージェントが Web ブラウザを OpenSSO (http://sw-21.japan.sun.com:28080/opensso) にリダイレクトする. そしてその OpenSSO が, ログイン・ページを生成・表示する.
ここで管理者の ID とパスワード, すなわち amadmin / password を入力すると, ひとまず認証は成功する. しかしそのあと出てくるページ (Web Server, ここでは http://sw-23.japan.sun.com) は Forbidden...
これはなぜかというと, まだ OpenSSO 側にやるべきことが最低ふたつあるから:
- Web Server にインストールしたポリシー・エージェントの登録
- Web Server へのアクセスに関するポリシーの定義
ということで, 次回はこれらの設定を施してみる.
|
|
|
|
Tags: configuration identitymanagement opensso
すみません, いま手元に環境がなくて試すことができないのですが, Ushimaru さんのところで...