(Translate to English)
Wednesday Dec 21, 2005
先日下道さんがぼくや同僚を指して 「濃いエンジニア」 と書いていたけど,
実のところはまったくそんなことない.
「濃い」 というのは, たとえば先々週から blogs.sun.com
にものすごい勢いでエントリを上げている Neil Wilson
のような人に対して使うべき形容詞だ.
Hi. I'm Neil Wilson and I work with Sun's
LDAP Directory Server.
My primary responsibility is writing code, but I spend a lot
of time doing performance analysis and benchmarking, and also
working with customers to help them with deployment advice or
performance issues or whatever problems they might have.
cn=Directory Manager: I've put it off long enough
社内の技術メールリストに数行
Sun Java System (SJS) Directory Server
や
SLAMD
の質問を投稿するとすぐに
Neil から数十行の詳細なフォローアップが返ってきたりして,
前からすごいなーと思っていたんだけど
彼の書いているエントリはまさしくそれと同じレベルの質・量だ.
社内外を問わず,
SJS Directory Server
にかかわっている人は全員必読だと思う.
現時点での彼のエントリをまとめてみた.
- あまり知られていない性能向上テクニックその 1: トランザクションのバッチ処理 (12/07/05)
SJS Directory Server
の書き込み性能を上げるためのパラメータ設定.具体的には
nsslapd-db-transaction-batch-val と
nsslapd-db-logbuf-size.
- あまり知られていない性能向上テクニックその 2: Solaris のチューニング (12/08/05)
固定優先順位 (FX) スケジューリングクラスを設定
(priocntl -s -c FX $$
)
したり,
mtmalloc のかわりに libumem メモリ・マネージャを使う
(LD_LIBRARY_PATH=/usr/lib/lwp;
LD_LIBRARY_PATH_64=/usr/lib/lwp/64; export
LD_LIBRARY_PATH LD_LIBRARY_PATH_64
)
ことによる, Solaris 上での SJS Directory Server の性能向上.
- LDAP 通信を復号化 (12/09/05)
SLAMD のパッケージに含まれている
LDAPDecoder というツールの紹介.
- Directory Server に与えるべきロール (12/10/05)
Solaris RBAC の使い方.
- 自分のルーツ (root) を忘れてしまおう (12/11/05)
RBAC に加えて特権を設定し,
実行環境のセキュリティを向上する方法.
roleadd -d /export/home/dirsrv -m -s /usr/bin/bash -K defaultpriv=basic,net_privaddr,sys_resource,dtrace_proc,dtrace_user,-proc_info,-file_link_any dirsrv
- Directory Server の性能をリアルタイムに監視 (12/13/05)
Directory Server の
LDAP オペレーション状況をリアルタイムに取得するための
DTrace スクリプト.
./dsstat.d <PID>
- 自分の書いたアドバイスに, わたし自身が従うべきだった (12/14/05)
-
Dell PowerEdge 6850,
Sun Fire T2000,
および
Sun Fire V40Z
における
SJS Directory Server の性能比較.
Sun Fire T2000 (UltraSPARC T1 @ 1.0 GHz (※テスト時点での構成.
実際に出荷しているのは 1.2 GHz),
メモリ 32 GB) の LDAP 認証処理性能は,
Dell PowerEdge 6850 (4-way 64-bit Xeon @ 3.2 GHz, メモリ 32 GB)
の 2.5 倍以上.
また最上位構成ではない V40z (4-way Opteron 850 @ 2.4 GHz) でも,
Solaris 上でのチューニングを施すことにより
Dell の 2 倍以上の性能を引き出している.
- Sun T2000 対 Dell 6850: LDAP AuthRate (認証レート) (12/15/05)
Sun Fire T2000 と Dell PowerEdge 6850 での SJS Directory Server
ベンチマーク・テストの詳細.
250,000 エントリに対する
subtree equality LDAP search operation on an indexed
attribute followed by a bind as that user
(あるユーザのログイン ID を検索し,
次にそのログイン ID でバインド (認証) する.
詳細は
SLAMD の LDAP AuthRate ジョブ参照)
を行なった.
その結果,
Dell PowerEdge 6850 の 2,853 LDAP auths / 秒に対し Sun
Fire T2000 では 8,067.58 LDAP auths / 秒であった.
- Directory Server のディスク配置: 「これまでの (
old
)」 方法 (12/18/05)
Directory Server
のデータベース・ファイルやログ・ファイルなどの配置,
およびファイル・システムに関するベスト・プラクティス.
通常ベンチマーク・テストを行なう際にはストレージ・アレイを 3 つ用意する.
それぞれに RAID 1+0, UFS ロギング, noatime を設定した上で,
(1) Directory Server データベース, (2) トランザクション・ログ,
(3) サーバ・ログ, changelog, バックアップ・ファイルを配置する.
データベース・キャッシュのバッキング・ストアは /tmp に置く.
- Directory Server のディスク配置: 「これからの (
new
)」 方法 (12/20/05)
ZFS を使った場合の配置方法.
zpool create directory-pool raidz c0t0d0 c1t0d0 c2t0d0
zfs set mountpoint=/export/ds directory-pool
zfs set compression=on directory-pool
zfs set atime=off directory-pool
として,
データベース・キャッシュのバッキング・ストア以外を
/export/ds に配置する.
(Translate to English)
Tuesday Dec 06, 2005
リバティ・アライアンスがピープル・サービスの草稿をリリースした.
Paul Madsen 氏曰く, A bit like a SOAP API into a FOAF repository.
People Service allows consumers and enterprise users to manage
social applications such as bookmarks, blogging, calendars,
photo sharing and instant messaging from a common layer within
the ID-WSF 2.0 framework.
Liberty
Alliance Releases People Service in Latest Version of Liberty
Web Services
これはもう,
Federated Social Identity
連携ソーシャル・アイデンティティ
という言葉を出した段階でもう優勝決定だろう (どこでかはわからないけど).
ホワイトペーパーでは想定される適用例として以下のようなシナリオを挙げている (4 ページ目):
アリスは自分の写真を photos.example.com (というオンライン・ストア) に置いている.
彼女はカリブで過ごした休暇の写真をそのサイトにアップロードし,
「バケーションの写真」 という名前でアルバムを作成する.
アリスは以前友人のボブに, 彼がグランド・キャニオンに遊びに行ったときの写真を延々
3 時間も鑑賞させられたことがあったので, 今度は彼女がボブに同じことをやり返そうと考える.
アリスが自分の写真をボブと共有するためには,
二人がそれぞれ持っている次のようなニーズを満たすシステムが必要となるだろう:
- アリスは自分の持っているすべての写真をボブに公開したくはなくて,
ただ 「バケーションの写真」 だけを見せたい
- ボブは photos.example.com のアカウントを持っていないし,
またアカウントを作成したくもない
(たとえ, 作成しない限りはアリスの撮りまくったピンぼけ夕焼け写真が見れないとしても)
- ボブのメール・アドレスをアリスは知っているけど,
彼女は彼がそのメール・アドレスを photos.example.com に公開してほしくないことを知っている,
もしくは予想している
- アリスは自分のいろいろなオンライン上のリソースへのアクセス,
たとえば自分のプレゼンス情報をボブに通知したり,
自分の連絡先を変更したときにそれをボブのコンタクト・ブックが自動的に同期したりといったかたちのアクセスを,
将来的にはボブに許可してもいいかなと考えている.
そこで, 彼女はボブとの実際の 「つながり」 を記録しておき,
将来役立てたいと考える.
で, ここにピープル・サービス (PS) を当てはめるとこうなる (6 ページ目):
- アリスは photos.example.com にアクセスし,
友人に写真を公開するためのサービスを選択する.
- photos.example.com はアリスの PS がどこにあるかを (Liberty
の定義する標準メカニズムにより) 発見し,
それが特定されたのちに,
アリスの友達リストに載っているメンバ一覧を問い合わせる.
- PS は photos.example.com
がアリスの代理として問い合わせているのだということを確認した上で,
photos.example.com にメンバ一覧を返却する
(この一覧がアリスに対し提示される).
- メンバ一覧はアリスが過去にオンライン・コネクションを確立したことのある人々により構成されているので,
これからコンタクトしようとするボブの情報はこのリストにはまだ入っていない.
アリスは photos.example.com に 「ボブ」 をリストに追加するようリクエストする.
photos.example.com はアリスの PS に対し,
ボブを追加するためのリクエストを送信する.
- アリスの PS は (これからボブに送ることになる)
招待状に対しボブが返答するための URL を返却する.
- photos.example.com は,
アリスが自分の写真を公開したいことをボブへ伝えるべく,
彼への招待状を作成する.
この招待状はアリスが利用可能なかたち (例: コピー & ペースト可能な HTML ページ)
になっていて, 彼女はこれをボブに直接渡すことが可能となる.
アリスはこの招待メッセージをボブにメールする.
もしくはアリスがボブのメール・アドレスを photos.example.com に入力することにより,
このサイトが直接ボブに送信するということも可能である.
- ボブが招待メッセージの本文にある URL をクリックすると
photos.example.com へアクセスすることになり,
そこで招待内容の詳細を確認することができる.
もしここで彼が同意し,
自分とアリスとのオンライン・コネクションを彼女が記録することに対し許可を与えると,
彼は 5. でアリスの PS が返却した URL にアクセスすることになる.
- アリスの PS はボブに,
他のアイデンティティ・プロバイダにて管理されている彼のアカウントとのリンクを確立したいかどうかを尋ねる.
もしボブが同意した場合 (かつ必要な業務関係が存在していると仮定して),
アリスの PS とボブのアイデンティティ・プロバイダはリンクを確立する
(Liberty 用語でいうところの 「彼らはボブと連携する」).
- アリスの PS はここでようやくボブのアイデンティティ・プロバイダに,
photos.example.com でボブを識別するための識別子を問い合わせる.
ボブのアイデンティティ・プロバイダは識別子を生成し,
これをアリスの PS からは判読できないように暗号化した上で,
アリスの PS に返却する.
- アリスの PS はその暗号化されたボブの識別子を photos.example.com に送り,
photos.example.com は復号化したのちにその識別子に対し適切な権限を与える.
- ふたたびボブが photos.example.com へアクセス
(まず彼は自分のアイデンティティ・プロバイダへログインした上で) すると,
photos.example.com が彼のことをアリスが権限を与えた誰かであると認識し,
彼は目的の写真を見ることができるようになる.
くわしくはホワイトペーパーと仕様
ホワイトペーパーと仕様
(5/19/2008: リンク切れを修正.
ご指摘ありがとうございます)をどうぞ.
(Translate to English)
Monday Dec 05, 2005
買収ネタをもうひとつ.
ここ最近のアイデンティティ管理市場の動向について, 元 Access360 の
Ian Glazer
氏が的確な分析をしている.
第一世代のユーザ・プロビジョニング製品ベンダの一員だった者として,
また 「スイート」 ベンダに買収された者として,
わたしはリングサイドでこの
(アイデンティティ管理) 業界の興廃をみてきた.
Know Identity: Looking back to look forward: Thoughts on HP acquiring of Trustgenix
曰く, 第一の波とはプロビジョニング, Web アクセス制御, パスワード管理,
メタディレクトリ / バーチャル・ディレクトリ分野でのベンダの乱立であったが,
これは (Sun をはじめとする)
IdM スイート・ベンダの買収合戦によりほぼ収束しつつあるという.
そして業界はこれから第二, 第三の波 (ベンダの興隆と収斂)
を迎えることになると述べている:
個人的には,
来年前半あたりまではこのうちロール /
権限分析,
さらにはロールのライフサイクル管理に注目が集まるんじゃないかと思う.
Dave Kearns 氏の指摘する通り,
RBAC is almost necessary for regulatory compliance and is
symbiotic with provisioning
ということで.
ただしこれはベンダの動きであって,
実世界の IdM プロジェクトにおいてロール /
権限分析が広まるかというと, それはもう少し先の話になるかもしれない.
たとえパッケージ製品があったとしても,
実際には分析 / 設計に相当な時間を要するのが確実だから.
そもそもその企業内にこれまで 「権限分離」
という概念が存在しなくて,
まずその段階からスタートっていうケースも十分あり得るし.
やはり実際の IdM プロジェクトにおいては, 将来の RBAC を見据えつつ
「まずはパスワード管理から」
というかたちで, 段階をわけてアプローチすることが肝心だろう.
P.S. 上述の Dave Kearns 氏の記事に
「Thor Technologies と OctetString と Oblix を手に入れたことで,
Oracle も Sun や IBM と並ぶワンストップ・ショップになったよ」
的なことが書いてあるけど, これはどうかなー.
すくなくとも日本国内においてはすごく疑問に思えるし,
欧米市場でもまだまだ offer parts of the puzzle but don't have as
comprehensive offerings
レベルだと思うんだけど.
(Translate to English)
Friday Nov 18, 2005
先日書いたエントリがきっかけでとある方からお声がけをいただき,
「鈴木優一さんを偲ぶ IT の会」 に参加させていただいた.
シンポジウムとパーティの二部構成で,
前半は日本のコンピュータの世界におけるひとつの歴史を拝聴することができ,
後半はいろいろな人と話すことができて
(とくに小松さん,
菊地さん, どうもお世話になりました),
本当に有意義な時間だった.
以下は超個人的な話.
20 年くらい前,
住んでいたところの近くに横浜こども科学館という施設がオープンした.
当時小学生だったぼくも何回か遊びに行ったことがあるんだけど,
そこの情報システムは鈴木さんをはじめとする方々が構築したという話を今日のシンポジウムで聞いて,
ものすごく驚いた.
まさかそんなところで縁があったとは.
たしかあるとき館内で Logo
の実習を受ける機会があったような気がするけど,
そのときの機材って, もしかしたらその鈴木さんが組んだ
System III
ベースの独自 Unix on 68000
だったんだろうか?
いまぼくがこの仕事に就いているのはそのときの体験の影響もあるのかもしれない,
と思うと不思議な気持ちになる.
ぜひ一度, 話をしてみたかった.
(Translate to English)
Friday Oct 28, 2005
今週 Berkeley で開催されていた
Internet Identity Workshop
はなかなか面白そう.
内容については
Phil Windley 氏の Blog
に続々とエントリされてる各セッションごとの要約や,
同じく氏が ZDNet のほうに書いた初日のまとめが参考になる.
プレゼンテーション資料もそのうち公開されるっぽい.
(Translate to English)
Thursday Oct 27, 2005
先日告知したとおり,
リバティ・アライアンスのイベントにて
Sun Java System Identity Manager (SJS IDM) と Sun Java System Identity
Auditor (SJS IDA) による ID 管理・監査のデモを展示した.
また Sun のブースではこれら以外に Sun Java System Access Manager (SJS AM)
および Sun Java System Federation Manager (SJS FM) も同時に出展し,
SAML および Liberty ベースの ID 連携のデモを紹介した.
「ID 管理・監査 (IDM / IDA)」 と 「ID 連携 + SSO (AM / FM)」
が並んでたら来場者の興味はほとんど後者に流れてしまうんじゃないかなと勝手に想像してたんだけど,
実際のところは
AM / FM に負けず劣らず IDM / IDA にも注目が集まったのでひと安心.
「アイデンティティ情報のライフサイクル管理」
という概念が徐々にではあるけど世間に浸透しつつあるようで,
個人的には心強く感じた.
あと山中さんも書いているけど,
このページを読んでくださっている方が意外に多かったのにびっくり.
今後ともよろしくお願いします.
そういえば, 月曜会場に来てた Sun の担当者はほとんど blogs.sun.com
のアカウント持ってるかも. 工藤,
山中さん,
岡崎さん,
下道さん,
徹さん.
これであと守屋さんが書いてればパーフェクトなんだけどなー. (などと圧力をかけてみる)
(Translate to English)
Friday Oct 21, 2005
出張行ったりしてて気づかなかったんだけど,
おとといから始まってたらしい.
blogs.sun.com
は使わないのかなあ.
これから約1週間、オルタナティブ・ブログの場を借りて、変革に挑戦する「次世代ITリーダー」について、私の経験を交えながら書いていきたいと思います(ただし、実際にはサンのスタッフが翻訳をしてくれています。ご容赦ください)。
ダン・ミラー - 「待望! 次世代ITリーダー」 [ITmedia オルタナティブ・ブログ]
(Translate to English)
Friday Jul 08, 2005
鈴木優一さんが亡くなったそうだ.
直接の面識は無いのだが,
過去に iPlanet / Sun ONE で LDAP や PKI,
Identrus 関連のソフトウェア製品を担当し,
現在は IdM ソリューションにかかわっている自分にとって,
鈴木さんの著作はいつも大変参考になるものばかりだった.
感謝の気持ちをあらわすとともに,
ご冥福をお祈りしたいと思います.
(Translate to English)
Wednesday Jun 29, 2005
ジョン・ロイアコノ
(Sun のソフトウェア担当上級副社長) の書いた
JavaOne ネタのエントリの中にこんな記述があった:
... 歴史は繰り返す, のでしょうか? わたしはそう思っています.
まさに Waveset 買収が Sun
をアイデンティティ管理マーケットのリーダーへ押し上げたのと同様,
SeeBeyond の買収もまた我々にエンタープライズ・プラットフォーム・スイート,
SOA,
コンポジット・アプリケーション・デリバリーの分野における優位をもたらすものと信じています.
Will history repeat itself? I think so. Just as the acquisition
of Waveset catapulted Sun into a position as one of the leaders
in the Identity Management market identity, I believe the
acquisition of SeeBeyond will catapult us into the lead in
Enterprise Platform Suites, SOA and composite application
delivery.
John Loiacono: JavaOne News - Sun's Next Move in Software
以前
「Waveset 買収はマーケット・ファーストだった」
という分析があったけど,
今回の SeeBeyond 買収もそれと同じ位置づけにあるということかな.
ところで, 彼のブログに
Identity Management カテゴリが用意されてることにいまごろ気づいた. まだなにもないけど, とりあえず期待大.
(Translate to English)
Thursday Jun 09, 2005
Some of Identity
Bloggers have recently posted thoughts on location as an
attribute of identity information.
I think location is dynamic context information of principal,
and it would be another authoritative source for identity
provisioning system. I have written some entries on the topic
in the past:
One of interesting future use cases for me is location-based
content rights management. For example, you could download the
latest news through WiFi connection provided by a commuter
train, and watch it while you are on the train (or until
going out through the automatic ticket gate). Any ideas?
(Translate to English)
Thursday Jun 02, 2005
ひさびさに Inside Jack の新作が出てた (Dan's Blog: For What it's worth. より).
今回は V40z ネタ.
最後まで観ると, なにかいいことがあるかも!?
(Translate to English)
Wednesday Apr 13, 2005
Superpat が紹介していた
Blog
に書いてある,
一昨年の Waveset Technologies 社買収に関する以下の分析がなかなか面白い.
Sun の行なう買収は基本的にその買収先の持つテクノロジー目当てのことが多いようだけど,
Waveset については 「マーケット重要視」 だったんじゃないか, という話.
... Sun has historically adopted a technology-first approach to
such acquisitions, leading to significant re-engineering and
loss of key personnel from the acquired company, this time it
tried something different. Instead, the company adopted a
market-first approach, which culminated in a dedicated
identity management business unit with full P&L
responsibility, with Waveset personnel in the driving seat
across sales, R&D, marketing etc. ...
Blog on IT-business alignment and related things: Killer app for Sun in identity management?
その結果は
... and by the end of the year the business unit had
doubled revenues across the identity management
portfolio.
ということで,
かなりひかえめに言って, まあ悪くない結果を出してるんじゃないかと思う.
ちなみに
I was more than a little sceptical, given the company’s
chequered history when it comes to software acquisitions
(remember what happened to NetDynamics, Kiva, Forte, etc?)
という書き出し, これまでプリセールス・エンジニアとして
NetDynamics や Netscape のサーバ製品,
Trustbase
などの買収したソフトウェアを担当してきた自分としてはいろいろ思うところがあるけど,
ここに書くのはやめておこう ;)
(Translate to English)
Monday Apr 11, 2005
Greg
Papadopoulos が
Sun と Microsoft との相互運用性について書いている.
アイデンティティを筆頭に, Web サービス, 管理機能について,
製品の発表がもうそろそろ (Real Soon Now) あるみたい.
So goes our relationship. Just look at the places where we are
sitting at the table together, with some real architectural
progress having been made in the areas of identity, web
services and management. (As examples: WS-Addressing,
WS-Management,
WS-Eventing,
WS-MetadataExchange)
And, we are now to the stage of publicly committing products around
these agreements. Real Soon Now.
Greg Matter : Weblog
相互運用のおおよその概要はこないだの CEC のセッションで聞いてるんだけど,
それがどのようなかたちで公表されて,
どれくらいのインパクトを内外にもたらすのかは興味のあるところ.
(Translate to English)
Tuesday Feb 22, 2005
先週 RSA Conference 2005 の視察に行ってた山中さん曰く,
なんだか、欧米でのトレンドは社内の ID 管理の統合は終わっていて、
目下の注目は FedID らしいです。
shingoy's Blog: RSA Conference: Day 4
だそうだ.
たしかに欧米のアイデンティティ関連の blog
(Microsoft の Kim Cameron 氏のサイトにあるリンクが充実している.
興味のある方はどうぞ) を読んでても,
アイデンティティ連携もしくはディジタル・アイデンティティが直近の現実的な問題として扱われていることが多い気がする.
1 年くらい前に出たらしい Gartner のハイプ曲線
(このスライドの 5 枚目) に Federated Identity は 2 年以内に安定期に入る
とあったが,
米国では見事にそれが的中したということだろうか.
日本ではどうだろう? しばらく前から反動期に入っていたけど,
もうそろそろ回復期に移行しつつあるんじゃないかなあ... (期待半分)
(Translate to English)
Saturday Oct 30, 2004
blogs.sun.com に, ついに松平さんのエントリが!
弊部署 (アイデンティティ・マネジメント本部アイデンティティ・マネージメント・ソリューション本部) からは 3 人目.
«
Previous page |
Main
|
Next page »
|
|
|
|
