SmarterCloud WebSphere VMMを使用した 複数ユーザーレポジトリとのTPAE連携 TPAEのユーザー管理をTPAEではなく外部ユーザーレポジトリーと する場合に、単一のLDAPやActive Directoryではなく複数のデータ ソースと連携させる場合の手順を紹介します。 1 SmarterCloud 前提 TPAEを導入する場合に、ユーザー管理をTPAEで行うか、外部ユーザーレジストリーを使用す るか選択することが出来ます。 インストーラーを使用すると、バンドルのTivoli Directory Serverのインストールや単一の LDAPもしくはActive Directoryと連携を行う事が可能です。 しかし、通常の環境ではユーザーレポジトリーがすでにありTPAE用にユーザーの追加が難し い場合が多く単純にインストーラーをしようして連携を行う事ができません。 そこで、TPAEで必要となるユーザーをWebSphereのローカルレポジトリに作成し、このロー カルレポジトリーと外部LDAPとをWebSphere VMMを使ってTPAEと統合連携することで解 決する方法を紹介します。 TPAEのインストールはTivoli Directory Serverを一緒に導入して完了している物とします。 実行前にTPAEにログイン出来ることを確認し、バックアップの取得を行ってください。 2 SmarterCloud 環境 設定前 インストール時に作成されるユーザー情報をTDSからWASのローカル・レポジトリーに 移行し、TDSを削除します。同時VMMに外部レジストリーとの連携設定を行います。 認証 TPAE 認証 ユーザー・ ユーザー・ グループ情報 グループ情報 WebSphere VMM Tivoli Directory Server 設定後 認証 認証 TPAE ユーザー・ グループ情報 WebSphere VMM ユーザー・ グループ情報 外部ユーザー・レポジトリー 認証 ユーザー・ グループ情報 WASローカル・レポジトリー 3 SmarterCloud 手順 A WASローカル・レポジトリー/TPAE用ユーザーの作成とTDSとの連係解除 B 外部LDAPのVMMへの登録 C TPAE VMMSYNCクーロン・タスクの設定 D TDS及び関連情報のクリーンアップ ここでは上記の順番で実施しますが、AとBは順序が入れ替わっても問題ありません。 また、DについてもB移行でしたらどこで実施しても問題ありません。 Cについてはどこで実施しても問題ありませんが、B以降でないと実際のユーザー情報はTPAEに 移行されません。 また、外部LDAPについては2つ以上の場合はB・Cで必要なだけ追加することで対応できます。 4 SmarterCloud A 5 WASローカル・レポジトリー/ TPAE用ユーザーの作成と TDSとの連係解除 SmarterCloud A-1 defaultFileRepositoryの作成 WASの管理コンソールにログインし、Security -> Global security を開きます。 User account repositoryの[Configure…]ボタンを押します。 Federated repositoriesの画面で[Use built-in repository]を押します。 作成後、”Save”します。 6 SmarterCloud A-2 Trusted authentication realmの設定 Related Itemsセクションの”Trusted authentication realms – inbound”リンクを押します。 [Add External Realm…]を押し、A-1で作成したレポジトリーを追加します。 External realm nameに”defaultWIMFileBasedRealm”を入れ[OK]を押します。 “Save”し、[Apply]ボタンを押します。 7 SmarterCloud A-3 Supported entity typesの設定 Federated repositoriesに戻り、Additional PropertiesセクションのSupported entity types をクリックします。 Group/OrgContainer/PersonAccountのBase Entry for Default Parentをすべて “o=defaultWIMFileBasedRealm”に変更します。 変更毎にSaveします。 8 SmarterCloud A-4 Realm nameの設定 Federated repositoriesに戻り、 General PropertiesのRealm nameを “defaultWIMFileBasedRealm”にします。 [OK]を押し“Save”を実行します。 Global securityの画面に戻るので[Apply]を 押し“Save”を実行します。 その後、WebSphereを再起動します。 念のため、OSからの再起動をおすすめします。 9 SmarterCloud A-5 必須ユーザーの作成 WAS管理コンソールに再度ログインして、Users and Groups -> Manage Usersを開きます。 [Create…]ボタンを押して、wasadmin/maxadmin/maxreg/mxintadmユーザーを作成しま す。TDS上のユーザーが見えていますが、そのまま作成します。 作成するとユーザー2つずつ登録されます。作成したユーザーは、 o=defaultWIMFileBasedRealmになっています。 10 SmarterCloud A-5’ 臨時管理ユーザーの作成と権限付与(オプション) wasadminが2つのレポジトリーに入りセキュリティ設定の変更を行っていると、設定ミスで wasadminでのアクセスが出来なくなる場合も考えられます。そのため、臨時の管理ユーザー 作成し万が一の状況に備えます。 A-5のステップで任意の名前のユーザーをもう1つ作成します。ここではtivoliとしました。 Security -> Global securityに移動して“Administrative user roles”に移動します。 [Add]ボタンを押し、作成したユーザーに“Admin Security Manager”と“Administrator”権限 を付与します。 作業完了後、この設定・ユーザーは削除してください。 11 SmarterCloud A-6 TDS連携の解除 Security -> Global security画面のUser account repositoryセクション[Configure…]ボタ ンを押します。Repositories in the realm:でISMITDSを選択して[Remove]を押します。 “Save”を実行し[OK]を押します。その後、パスワードの入力を求められますので、パスワー ドを入力し、[OK]ボタン、”Save”、[Apply]、”Save”の実行を行います。 12 SmarterCloud A-7 TDSレポジトリー情報の削除 Global security画面のUser account repositoryセクション[Configure…]ボタンを押します。 Related Itemsセクションの”Manage repositories”に移動します。 ISMITDSを選択し、[Delete]を押します。“Save”を実行し構成を保存します。 13 SmarterCloud A-8 ノードの再同期 System administration -> Nodes画面に移動し、ノードを選択します。 [Synchronize]ボタンを押して、ノードの再同期を行います。 その後、WASの再起動を行いTPAEの稼働確認を行います。 maxadminユーザーでTPAEにログイン出来ればこの作業は成功です。 14 SmarterCloud B 15 外部LDAPのVMMへの登録 SmarterCloud B-1 外部LDAPのVMMへの追加 WAS管理コンソールにログインして、Security ー> Global securityに移動します。 User account repositoryセクションの[Configure…] を押します。 Related Itemsセクションの”Manage repositories”に移動します。 [Add]ボタンを押します。 16 SmarterCloud B-2 LDAP情報の入力 LDAPサーバーの接続情報を入力します。 Directory Type:選択肢から接続するLDAPに適合す る物を選びます。OpenLDAPなどはCustomです。 Primary host name:接続先IP/ホスト名 Port:ポート番号 Failover server:必要に応じて追加します。 Bind DN:接続ユーザーDN Bind password:パスワード 必要に応じてSSL設定を行います。LDAPSでの接続の 場合は、Require SSL communicationをオンに してLDAPサーバーのSSL証明書をWASに登録し ます。 登録手順は参考情報の“追加するLDAPがLDAPSでの接 続の場合”を参照してください。 必要な情報を入力後、[OK]ボタンを押し ます。エラーが無い場合は、“Save” します。エラーがある場合は接続情 報を見直し、再度試します。 17 SmarterCloud B-3 レポジトリーへの追加 Federated repositoriesの画面に戻ります。 Repositories in the realm:で[Add Base entry to Realm…]ボタンを押して追加したLDAP を登録します。 Repositoryは追加したLDAPを選択肢、フィールドには検索元を入れます。 通常は2つのフィールドに同じ値を入れます。[OK]ボタンを押し”Save”します。Federated repositoriesやGlobal securityも同様に[Apply] -> “Save”を実行します。 ノードの再同期を行い、WASを再起動します。 再起動後、管理コンソールで追加したLDAPの情報が参照できることを確認します。 18 SmarterCloud C 19 TPAE VMMSYNC クーロン・タスクの設定 SmarterCloud C-1 WASローカルレポジトリー用VMMSYNCの設定 TPAEにmaxadminでログインし、クーロンタスクのセットアップでVMMSYNCを開きます。 既存のインスタンスはTDSと連携時の情報なので下記の項目を編集します。 Principal:uid=wasadmin,o=defaultWIMFileBasedRealm GroupMappingとUserMapping:<basedn>の内容を下記に変更します。 o=defaultWIMFileBasedRealm 編集後、インスタンスをアクティブにして保存します。 20 SmarterCloud C-2 追加レポジトリー用VMMSYNCの設定 C-1で編集したインスタンスを追加LDAP用に複製します。 インスタンス名はわかりやすい名前を入れます。 GroupMappingとUserMapping:<basedn>の内容を接続するLDAPに併せて編集します。 単純には<basedn>を追加LDAPの物にします。 念のため、CredentialにPrincipalの物のパスワードを入力します。 編集後、インスタンスをアクティブにして保存します。 21 SmarterCloud D 22 TDS及び関連情報の クリーンアップ SmarterCloud D-1 TDS関連情報の削除 1.TDSのアンインストール TDSのアンインストーラーを使用して削除しま す。 2.TDS用DBの削除 defaultではDB2のidsccmdbインスタンスのDB securityを削除します。 > db2 drop db security 3.TDS用DB2インスタンスの削除 defaultではidsccmdbになります。 > db2idrop idsccmdb 4.TDS関連ファイルの削除 DB用のデータやプログラム・ディレクトリの一部が残っている場合、これを削除します。 5.Windowsの場合はTDSのサービス登録の削除 WindowsのサービスにTDSのサービスが残っているため、これを削除します。 > sc delete [サービス名] 23 SmarterCloud 補足情報 24 SmarterCloud VMMSYNCマッピング情報 UserMapping XML ー サンプル <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE ldapsync SYSTEM "ldapuser.dtd"> <table allowdelete="true" name="PHONE"> <ldapsync> <keycolumn name="PERSONID" <user> type="UPPER">uid</keycolumn> <basedn>o=defaultWIMFileBasedRealm</basedn> <keycolumn name="TYPE" type="UPPER">{作業}</keycolumn> <filter>PersonAccount </filter> <keycolumn name="ISPRIMARY" type="YORN">{1}</keycolumn> <scope>subtree</scope> <column name="PHONENUM" required="true" <attributes> type="ALN">telephoneNumber</column> <attribute>uid</attribute> </table> <attribute>givenName</attribute> <table allowdelete="true" name="PHONE"> <attribute>sn</attribute> <keycolumn name="PERSONID" <attribute>displayName</attribute> type="UPPER">uid</keycolumn> <attribute>street</attribute> <keycolumn name="TYPE" type="UPPER">{自宅}</keycolumn> <attribute>telephoneNumber</attribute> <keycolumn name="ISPRIMARY" <attribute>mail</attribute> type="YORN">{0}</keycolumn> <attribute>st</attribute> <column name="PHONENUM" required="true" <attribute>postalCode</attribute> type="ALN">telephoneNumber</column> <attribute>c</attribute> </table> <attribute>l</attribute> <table allowdelete="true" name="EMAIL"> </attributes> <keycolumn name="PERSONID" <datamap> type="UPPER">uid</keycolumn> <table name="MAXUSER"> <keycolumn name="TYPE" type="UPPER">{作業}</keycolumn> <keycolumn <keycolumn name="ISPRIMARY" name="USERID" type="UPPER">uid</keycolumn> type="YORN">{1}</keycolumn> <column name="LOGINID" <column name="EMAILADDRESS" required="true" type="ALN">uid</column> type="ALN">mail</column> <column </table> name="PERSONID" type="UPPER">uid</column> </datamap> </table> </user> <table name="PERSON"> </ldapsync> <keycolumn name="PERSONID" type="UPPER">uid</keycolumn> <column name="FIRSTNAME" type="ALN">givenName</column> <column name="LASTNAME" type="ALN">sn</column> <column 25 name="DISPLAYNAME" type="ALN">displayName</column> SmarterCloud VMMSYNCマッピング情報 GroupMapping XML ー サンプル <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE ldapsync SYSTEM "ldapgroup.dtd"> <ldapsync> <group> <basedn>o=defaultWIMFileBasedRealm</basedn> <filter>Group</filter> <scope>subtree</scope> <attributes> <attribute>cn</attribute> <attribute>description</attribute> </attributes> <datamap> <table name="MAXGROUP"> <keycolumn name="GROUPNAME" type="ALN">cn</keycolumn> <column name="DESCRIPTION" type="ALN">description</column> </table> </datamap> <memberdatamap> <membertable name="GROUPUSER"> <keycolumn name="GROUPNAME" type="ALN">cn</keycolumn> <membercolumn name="USERID" type="UPPER"> <member>member</member> <memberuser>uid</memberuser> 26 <membergroup>cn</membergroup> </membercolumn> <column name="GROUPUSERID" type="INTEGER">{:uniqueid}</column> </membertable> </memberdatamap> </group> SmarterCloud 参考情報 27 SmarterCloud WAS管理コンソースに ログインできなくなった場合 28 SmarterCloud WASのセキュリティを解除する方法 管理コンソールにログイン出来なくなった場合は、WASのセキュリティ設定を解除します。 セキュリティが外れると認証無しで管理コンソールにログイン出来るので設定を修正できます。 1.WAS関連のサービス・インスタンスをすべて停止します。 2.<WASインストール・ディレクトリ>/profiles/ctgDmgr01/bin に移動します。 3.wsadmin.sh –conntype NONE もしくは wsadmin.bat –conntype NONE を実行します。 下記のコマンドを実行します。 > securityoff > exit 4. WASを起動します。 29 SmarterCloud 追加するLDAPが LDAPSでの接続の場合 30 SmarterCloud LDAPS用のSSL証明書の登録 1/3 B-2の画面でManage endpoint security configurationsに移動し、Outbound ー ctgCell01(CellDefaultSSLSettings) に 移動します。 31 SmarterCloud LDAPS用のSSL証明書の登録 2/3 Related ItemsセクションでKey stores and certificatesに移動します。 CellDefaultTrustStoreに移動し、Additional PropertiesセクションのSigner certificatesに移動 します。 32 SmarterCloud LDAPS用のSSL証明書の登録 3/3 Signer certificatesにて[Add]ボタンを押します。 Signer certificatesのAliasには適当な名前を入れ、File nameには証明書のパスを入れます。 File nameはWASサーバー上のパスになります。Data typeを選択し[OK]ボタンを押します。 33 SmarterCloud 外部LDAPの接続情報の更新 B-2の画面でRequire SSL connectionを オンにして、接続先PortをLDAPSのポー トに変更します。 [OK]ボタンを押し、構成を保存します。 エラーが出ないことを確認します。 エラーが出た場合は、SSL証明書が正し く登録出来たか、LDAPSポートの確認を 行い増す。 34 SmarterCloud VMMSYNCのログ設定 35 SmarterCloud VMMSYNCログの設定 TPAEにログインしてロギング画面に移動します。 “crontask”をルート・ロガーで検索し、ロガーにVMMSYNCを追加します。 ログレベルを必要なレベルに設定します。 36
© Copyright 2024 ExpyDoc