TPAE-Federated-UserRepo_Integration

SmarterCloud
WebSphere VMMを使用した
複数ユーザーレポジトリとのTPAE連携
TPAEのユーザー管理をTPAEではなく外部ユーザーレポジトリーと
する場合に、単一のLDAPやActive Directoryではなく複数のデータ
ソースと連携させる場合の手順を紹介します。
1
SmarterCloud
前提
TPAEを導入する場合に、ユーザー管理をTPAEで行うか、外部ユーザーレジストリーを使用す
るか選択することが出来ます。
インストーラーを使用すると、バンドルのTivoli Directory Serverのインストールや単一の
LDAPもしくはActive Directoryと連携を行う事が可能です。
しかし、通常の環境ではユーザーレポジトリーがすでにありTPAE用にユーザーの追加が難し
い場合が多く単純にインストーラーをしようして連携を行う事ができません。
そこで、TPAEで必要となるユーザーをWebSphereのローカルレポジトリに作成し、このロー
カルレポジトリーと外部LDAPとをWebSphere VMMを使ってTPAEと統合連携することで解
決する方法を紹介します。
TPAEのインストールはTivoli Directory Serverを一緒に導入して完了している物とします。
実行前にTPAEにログイン出来ることを確認し、バックアップの取得を行ってください。
2
SmarterCloud
環境
設定前
インストール時に作成されるユーザー情報をTDSからWASのローカル・レポジトリーに
移行し、TDSを削除します。同時VMMに外部レジストリーとの連携設定を行います。
認証
TPAE
認証
ユーザー・
ユーザー・
グループ情報
グループ情報
WebSphere VMM
Tivoli Directory Server
設定後
認証
認証
TPAE
ユーザー・
グループ情報
WebSphere VMM
ユーザー・
グループ情報
外部ユーザー・レポジトリー
認証
ユーザー・
グループ情報
WASローカル・レポジトリー
3
SmarterCloud
手順
A WASローカル・レポジトリー/TPAE用ユーザーの作成とTDSとの連係解除
B 外部LDAPのVMMへの登録
C TPAE VMMSYNCクーロン・タスクの設定
D TDS及び関連情報のクリーンアップ
ここでは上記の順番で実施しますが、AとBは順序が入れ替わっても問題ありません。
また、DについてもB移行でしたらどこで実施しても問題ありません。
Cについてはどこで実施しても問題ありませんが、B以降でないと実際のユーザー情報はTPAEに
移行されません。
また、外部LDAPについては2つ以上の場合はB・Cで必要なだけ追加することで対応できます。
4
SmarterCloud
A
5
WASローカル・レポジトリー/
TPAE用ユーザーの作成と
TDSとの連係解除
SmarterCloud
A-1
defaultFileRepositoryの作成
WASの管理コンソールにログインし、Security -> Global security を開きます。
User account repositoryの[Configure…]ボタンを押します。
Federated repositoriesの画面で[Use built-in repository]を押します。
作成後、”Save”します。
6
SmarterCloud
A-2
Trusted authentication realmの設定
Related Itemsセクションの”Trusted authentication realms – inbound”リンクを押します。
[Add External Realm…]を押し、A-1で作成したレポジトリーを追加します。
External realm nameに”defaultWIMFileBasedRealm”を入れ[OK]を押します。
“Save”し、[Apply]ボタンを押します。
7
SmarterCloud
A-3
Supported entity typesの設定
Federated repositoriesに戻り、Additional PropertiesセクションのSupported entity types
をクリックします。
Group/OrgContainer/PersonAccountのBase Entry for Default Parentをすべて
“o=defaultWIMFileBasedRealm”に変更します。
変更毎にSaveします。
8
SmarterCloud
A-4
Realm nameの設定
Federated repositoriesに戻り、
General PropertiesのRealm nameを
“defaultWIMFileBasedRealm”にします。
[OK]を押し“Save”を実行します。
Global securityの画面に戻るので[Apply]を
押し“Save”を実行します。
その後、WebSphereを再起動します。
念のため、OSからの再起動をおすすめします。
9
SmarterCloud
A-5
必須ユーザーの作成
WAS管理コンソールに再度ログインして、Users and Groups -> Manage Usersを開きます。
[Create…]ボタンを押して、wasadmin/maxadmin/maxreg/mxintadmユーザーを作成しま
す。TDS上のユーザーが見えていますが、そのまま作成します。
作成するとユーザー2つずつ登録されます。作成したユーザーは、
o=defaultWIMFileBasedRealmになっています。
10
SmarterCloud
A-5’
臨時管理ユーザーの作成と権限付与(オプション)
wasadminが2つのレポジトリーに入りセキュリティ設定の変更を行っていると、設定ミスで
wasadminでのアクセスが出来なくなる場合も考えられます。そのため、臨時の管理ユーザー
作成し万が一の状況に備えます。
A-5のステップで任意の名前のユーザーをもう1つ作成します。ここではtivoliとしました。
Security -> Global securityに移動して“Administrative user roles”に移動します。
[Add]ボタンを押し、作成したユーザーに“Admin Security Manager”と“Administrator”権限
を付与します。
作業完了後、この設定・ユーザーは削除してください。
11
SmarterCloud
A-6
TDS連携の解除
Security -> Global security画面のUser account repositoryセクション[Configure…]ボタ
ンを押します。Repositories in the realm:でISMITDSを選択して[Remove]を押します。
“Save”を実行し[OK]を押します。その後、パスワードの入力を求められますので、パスワー
ドを入力し、[OK]ボタン、”Save”、[Apply]、”Save”の実行を行います。
12
SmarterCloud
A-7
TDSレポジトリー情報の削除
Global security画面のUser account repositoryセクション[Configure…]ボタンを押します。
Related Itemsセクションの”Manage repositories”に移動します。
ISMITDSを選択し、[Delete]を押します。“Save”を実行し構成を保存します。
13
SmarterCloud
A-8
ノードの再同期
System administration -> Nodes画面に移動し、ノードを選択します。
[Synchronize]ボタンを押して、ノードの再同期を行います。
その後、WASの再起動を行いTPAEの稼働確認を行います。
maxadminユーザーでTPAEにログイン出来ればこの作業は成功です。
14
SmarterCloud
B
15
外部LDAPのVMMへの登録
SmarterCloud
B-1
外部LDAPのVMMへの追加
WAS管理コンソールにログインして、Security ー> Global securityに移動します。
User account repositoryセクションの[Configure…] を押します。
Related Itemsセクションの”Manage repositories”に移動します。
[Add]ボタンを押します。
16
SmarterCloud
B-2
LDAP情報の入力
LDAPサーバーの接続情報を入力します。
Directory Type:選択肢から接続するLDAPに適合す
る物を選びます。OpenLDAPなどはCustomです。
Primary host name:接続先IP/ホスト名
Port:ポート番号
Failover server:必要に応じて追加します。
Bind DN:接続ユーザーDN
Bind password:パスワード
必要に応じてSSL設定を行います。LDAPSでの接続の
場合は、Require SSL communicationをオンに
してLDAPサーバーのSSL証明書をWASに登録し
ます。
登録手順は参考情報の“追加するLDAPがLDAPSでの接
続の場合”を参照してください。
必要な情報を入力後、[OK]ボタンを押し
ます。エラーが無い場合は、“Save”
します。エラーがある場合は接続情
報を見直し、再度試します。
17
SmarterCloud
B-3
レポジトリーへの追加
Federated repositoriesの画面に戻ります。
Repositories in the realm:で[Add Base entry to Realm…]ボタンを押して追加したLDAP
を登録します。
Repositoryは追加したLDAPを選択肢、フィールドには検索元を入れます。
通常は2つのフィールドに同じ値を入れます。[OK]ボタンを押し”Save”します。Federated
repositoriesやGlobal securityも同様に[Apply] -> “Save”を実行します。
ノードの再同期を行い、WASを再起動します。
再起動後、管理コンソールで追加したLDAPの情報が参照できることを確認します。
18
SmarterCloud
C
19
TPAE VMMSYNC
クーロン・タスクの設定
SmarterCloud
C-1
WASローカルレポジトリー用VMMSYNCの設定
TPAEにmaxadminでログインし、クーロンタスクのセットアップでVMMSYNCを開きます。
既存のインスタンスはTDSと連携時の情報なので下記の項目を編集します。
Principal:uid=wasadmin,o=defaultWIMFileBasedRealm
GroupMappingとUserMapping:<basedn>の内容を下記に変更します。
o=defaultWIMFileBasedRealm
編集後、インスタンスをアクティブにして保存します。
20
SmarterCloud
C-2
追加レポジトリー用VMMSYNCの設定
C-1で編集したインスタンスを追加LDAP用に複製します。
インスタンス名はわかりやすい名前を入れます。
GroupMappingとUserMapping:<basedn>の内容を接続するLDAPに併せて編集します。
単純には<basedn>を追加LDAPの物にします。
念のため、CredentialにPrincipalの物のパスワードを入力します。
編集後、インスタンスをアクティブにして保存します。
21
SmarterCloud
D
22
TDS及び関連情報の
クリーンアップ
SmarterCloud
D-1
TDS関連情報の削除
1.TDSのアンインストール
TDSのアンインストーラーを使用して削除しま
す。
2.TDS用DBの削除
defaultではDB2のidsccmdbインスタンスのDB securityを削除します。
> db2 drop db security
3.TDS用DB2インスタンスの削除
defaultではidsccmdbになります。
> db2idrop idsccmdb
4.TDS関連ファイルの削除
DB用のデータやプログラム・ディレクトリの一部が残っている場合、これを削除します。
5.Windowsの場合はTDSのサービス登録の削除
WindowsのサービスにTDSのサービスが残っているため、これを削除します。
> sc delete [サービス名]
23
SmarterCloud
補足情報
24
SmarterCloud
VMMSYNCマッピング情報
UserMapping XML ー サンプル
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE ldapsync SYSTEM "ldapuser.dtd">
<table allowdelete="true" name="PHONE">
<ldapsync>
<keycolumn name="PERSONID"
<user>
type="UPPER">uid</keycolumn>
<basedn>o=defaultWIMFileBasedRealm</basedn>
<keycolumn name="TYPE" type="UPPER">{作業}</keycolumn>
<filter>PersonAccount </filter>
<keycolumn name="ISPRIMARY"
type="YORN">{1}</keycolumn>
<scope>subtree</scope>
<column name="PHONENUM" required="true"
<attributes>
type="ALN">telephoneNumber</column>
<attribute>uid</attribute>
</table>
<attribute>givenName</attribute>
<table allowdelete="true" name="PHONE">
<attribute>sn</attribute>
<keycolumn name="PERSONID"
<attribute>displayName</attribute>
type="UPPER">uid</keycolumn>
<attribute>street</attribute>
<keycolumn name="TYPE" type="UPPER">{自宅}</keycolumn>
<attribute>telephoneNumber</attribute>
<keycolumn name="ISPRIMARY"
<attribute>mail</attribute>
type="YORN">{0}</keycolumn>
<attribute>st</attribute>
<column name="PHONENUM" required="true"
<attribute>postalCode</attribute>
type="ALN">telephoneNumber</column>
<attribute>c</attribute>
</table>
<attribute>l</attribute>
<table allowdelete="true" name="EMAIL">
</attributes>
<keycolumn name="PERSONID"
<datamap>
type="UPPER">uid</keycolumn>
<table name="MAXUSER">
<keycolumn name="TYPE" type="UPPER">{作業}</keycolumn>
<keycolumn
<keycolumn name="ISPRIMARY"
name="USERID" type="UPPER">uid</keycolumn>
type="YORN">{1}</keycolumn>
<column name="LOGINID"
<column name="EMAILADDRESS" required="true"
type="ALN">uid</column>
type="ALN">mail</column>
<column
</table>
name="PERSONID" type="UPPER">uid</column>
</datamap>
</table>
</user>
<table name="PERSON">
</ldapsync>
<keycolumn
name="PERSONID" type="UPPER">uid</keycolumn>
<column
name="FIRSTNAME" type="ALN">givenName</column>
<column
name="LASTNAME" type="ALN">sn</column>
<column
25
name="DISPLAYNAME" type="ALN">displayName</column>
SmarterCloud
VMMSYNCマッピング情報
GroupMapping XML ー サンプル
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE ldapsync SYSTEM "ldapgroup.dtd">
<ldapsync>
<group>
<basedn>o=defaultWIMFileBasedRealm</basedn>
<filter>Group</filter>
<scope>subtree</scope>
<attributes>
<attribute>cn</attribute>
<attribute>description</attribute>
</attributes>
<datamap>
<table name="MAXGROUP">
<keycolumn
name="GROUPNAME" type="ALN">cn</keycolumn>
<column
name="DESCRIPTION" type="ALN">description</column>
</table>
</datamap>
<memberdatamap>
<membertable name="GROUPUSER">
<keycolumn
name="GROUPNAME" type="ALN">cn</keycolumn>
<membercolumn
name="USERID" type="UPPER">
<member>member</member>
<memberuser>uid</memberuser>
26
<membergroup>cn</membergroup>
</membercolumn>
<column
name="GROUPUSERID" type="INTEGER">{:uniqueid}</column>
</membertable>
</memberdatamap>
</group>
SmarterCloud
参考情報
27
SmarterCloud
WAS管理コンソースに
ログインできなくなった場合
28
SmarterCloud
WASのセキュリティを解除する方法
管理コンソールにログイン出来なくなった場合は、WASのセキュリティ設定を解除します。
セキュリティが外れると認証無しで管理コンソールにログイン出来るので設定を修正できます。
1.WAS関連のサービス・インスタンスをすべて停止します。
2.<WASインストール・ディレクトリ>/profiles/ctgDmgr01/bin に移動します。
3.wsadmin.sh –conntype NONE もしくは wsadmin.bat –conntype NONE を実行します。
下記のコマンドを実行します。
> securityoff
> exit
4. WASを起動します。
29
SmarterCloud
追加するLDAPが
LDAPSでの接続の場合
30
SmarterCloud
LDAPS用のSSL証明書の登録 1/3
B-2の画面でManage endpoint security
configurationsに移動し、Outbound ー
ctgCell01(CellDefaultSSLSettings) に
移動します。
31
SmarterCloud
LDAPS用のSSL証明書の登録 2/3
Related ItemsセクションでKey stores and certificatesに移動します。
CellDefaultTrustStoreに移動し、Additional PropertiesセクションのSigner certificatesに移動
します。
32
SmarterCloud
LDAPS用のSSL証明書の登録 3/3
Signer certificatesにて[Add]ボタンを押します。
Signer certificatesのAliasには適当な名前を入れ、File nameには証明書のパスを入れます。
File nameはWASサーバー上のパスになります。Data typeを選択し[OK]ボタンを押します。
33
SmarterCloud
外部LDAPの接続情報の更新
B-2の画面でRequire SSL connectionを
オンにして、接続先PortをLDAPSのポー
トに変更します。
[OK]ボタンを押し、構成を保存します。
エラーが出ないことを確認します。
エラーが出た場合は、SSL証明書が正し
く登録出来たか、LDAPSポートの確認を
行い増す。
34
SmarterCloud
VMMSYNCのログ設定
35
SmarterCloud
VMMSYNCログの設定
TPAEにログインしてロギング画面に移動します。
“crontask”をルート・ロガーで検索し、ロガーにVMMSYNCを追加します。
ログレベルを必要なレベルに設定します。
36