木曜日 5 01, 2008

【TechTipsの紹介】Active Directory のリスクアナリシス


こんにちは。
今日はGWで電車がすいてましたねー。毎日これだといいのになー。
さて今日も Tech Tips を紹介します。 Active Directory Risk Analysis - kimimasa - wikis.sun.com ということで、Active Directory に対する監査(スキャン)の方法をまとめました。Identity Managerが行なっているのはActive Directory上の不正なアカウント(パスワードがなかったり、変更されてなかったり、ログインが一定期間されていなかったりなどなど)をチェックしてレポートとして見やすい形にまとめるといった作業です。
ADSIを使用したプログラムを書けば、実現可能なことかと思いますが、製品の機能としてインストールしたらすぐに使えるのはなかなかすごいのでは??っと、自社製品ながら思います。
Identity Managerの場合は、Active Directory への接続方法が、LDAP接続を使用するのではなく、gatewayを介した接続となっているので、LDAP接続に比べてより細かい情報を取得できるというのも大きな特徴になっています。(もちろんLDAP接続をすることも可能ではあります。)

Active Directory上のアカウントを簡単に監査(スキャン)したいというお客様はぜひお試しください。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。

ではまた。
_kimimasa

水曜日 4 30, 2008

【TechTipsの紹介】Identity Managerのインストール


こんにちは。
Tech Tips を紹介します。まったく持ってTipsというには程遠いですが、 Identity Manager Installation - kimimasa - wikis.sun.com ということで、Identity Managerのインストールの仕方をまとめました。今回は、Sun Java System Application Server 9.1 と MySQL 5.0 を使っています。Identity Manager は 7.1 です。
ついでなので、 もまとめておきました。
画面キャプチャがたくさんなのでわかりやすいと思います。 参考になればうれしいです。ご意見ありましたらコメントください。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa

木曜日 4 17, 2008

【TechTipsの紹介】Access Manager で1人のユーザにセッションの制限を設定する方法


こんにちは。

Tech Tips を紹介します。たいしたものではないですが。。 Access Manager Session Setting - Quota Constraints - kimimasa - wikis.sun.com ということで、「Access Manager で1人のユーザにセッションの制限を設定する方法」をまとめてみました。
最近は、モバイル環境での使用や、不正アクセスの防止という観点で、一人のユーザに対するセッション数を制限したいというご要望も受けることがあります。
Access Manager では、Webの管理コンソールから簡単にこの設定を行なうことができます。
参考になれば幸いです。

kimimasa's wikiAccess Manager Tech Tips - kimimasa - wikis.sun.comにも追加しておきました。
ではまた。
_kimimasa

火曜日 4 08, 2008

【TechTipsの紹介】PwdLastAuthTimeを記録する?記録しない?(PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog)


こんにちは。

今日は Tech Tips を紹介します。 PwdLastAuthTime and cn=proxyagent - Jonathan Gershater's blog ということで、Jonathan Gershaterが Directory Serverで、pwdLastAuthTime という属性(6.0 から新しく加わったパスワード関連の属性で、ユーザが最後に認証した時間を記録します。)を記録するか、記録しないかというパスワードポリシーの設定方法に関して解説してくれています。

Directory Server 6.0 からは、ユーザが最後に認証した時間を記録することができるようになりました。ただ、この属性を記録するように設定するとパフォーマンスに影響がでる場合があります。どんなケースかというと、
  • Native LDAP(UNIXの認証をLDAPで行なう)用に Directory Server を利用している。
  • Proxyagent を使用して、Directory Server からユーザのDNを取得してから認証を行なうようにしている。
  • Directory Server がマルチマスタ構成をとっている。
ような場合です。

で、どういう流れでパフォーマンスに影響がでるかというと、、
  1. OS の認証のたびに、proxyagent でのBINDがかなりの数行なわれます。
  2. そうすると、proxyagent のエントリに対して、pwdLastAuthTime属性の値がアップデートされます。
  3. その情報がレプリケーションされます。
  4. つまり、認証のたびにLDAPにたいして変更を実施することになってしまいます。
という感じになります。回避策としては、「proxyagent に対しては、pwdLastAuthTime属性を記録しないような設定にする」があります。この方法を解説しています。

Native LDAPで使用する場合だけでなく、OpenSSO や Access Manager でLDAP認証を行なう場合にも同様のことを考慮してあげたほうがいいですね。構築されるかたは頭の片隅にでも記憶しておいて頂ければと思います。

kimimasa's wikiDirectory Server Tech Tipsにも追加しておきました。
ではまた。
_kimimasa

火曜日 1 22, 2008

【Identity Manager】 Identity Managerの多言語化


こんにちは。
Kimimasa's wiki 開設 : kimimasa's blog で書きましたが、wiki をはじめました。公開できる情報はできるだけ公開していきたいと思っています。
早速、1つ書きました。 Identity Managerで多言語(9カ国語)を扱えるようにする方法です。できるのは分かり切っていますが、実際にはなかなかやらないことだと思います。
参考にして頂けると光栄です。
_kimimasa

木曜日 11 22, 2007

【Big Admin 日本語ハブ コンテンツの紹介】特集記事:Solaris OS での Sun Java System Identity Manager と RBAC プロファイルの併用

こんばんは。
まだまだいきます。あ、でも日付変わっちゃったか。。。
さて、本エントリでも、Big Admin日本語ハブのコンテンツを紹介します。 BigAdmin日本語ハブとはBigAdminの日本版になります。
BigAdmin マルチリンガルハブへようこそ。世界中のシステム管理者に役立つ情報をご提供したいと考えています。また、このサイトから、日本語で記事や情報、知識を共有したり投稿したりできるようにする予定です。 このサイトには、英語版 BigAdmin からの翻訳記事をいくつか掲載しています。 Feedback タブを使って、日本語翻訳の品質についてコメントしたり、翻訳してほしい英語版の記事や情報をリストしたり、日本語以外の翻訳してほしい言語をリクエストしたりすることもできます。遠慮なくどしどしコメントをお寄せください。お待ちしております。これからもユーザーおよびコミュニティのみなさまとともに BigAdmin の内容をグローバルに作成し拡張していきたいと思っています。 我々が最も良く知っている言語で知識を共有しましょう!
BigAdmin: Multilingual BigAdmin - 日本語
更新情報の blog もあります。BigAdmin 日本語通信
Big Admin日本語ハブの中には、Sun Java Enterprise System 製品のコーナーもあります。
で、本エントリでは、特集記事:Solaris OS での Sun Java System Identity Manager と RBAC プロファイルの併用 を紹介します。
この記事はBigadmin記事:Using Sun Java System Identity Manager With RBAC Profiles in the Solaris OSを日本語に翻訳したものです。内容は、
概要

Sun Java System Identity Manager は Resource Adapter を使用して、Solaris オペレーティングシステムを実行するシステム上でアカウントを作成、変更および削除します。Identity Manager Resource Adapter は、ユーザー管理作業を実行できるアクセス権を持つユーザーを使用して構成する必要があります。Solaris OS 用の Resource Adapter は、root アカウント、sudo ユーティリティー、または「特権」ユーザーアカウントを使用できます。

多くのお客様は、Identity Manager が、root アカウントを持つユーザーを管理することを許可しません。sudo 機能を使用するには、Solaris OS 上でインストールと構成を行う必要があります(sudo は、Sun がサポートしてない Companion CD のユーティリティー)。「プロキシ」または「特権」アカウントを作成することは、特定のユーザーにきめ細かいアクセス権を付与する安全な手段になります。Solaris OS には、個別のユーザーまたは役割に特権コマンドを委任するための組み込みメカニズムがあります。

この記事では、Identity Manager を使用して Solaris OS (リリース 9 および 10) を構成し、特権プロファイルを使用して Solaris OS 用の Identity Manager Resource Adapter を介してユーザーアカウントを作成、変更、および削除する方法について説明します。


特集記事:Solaris OS での Sun Java System Identity Manager と RBAC プロファイルの併用
という感じです。
英語版は2005年のもので少し古いですが、最近、内部統制の強化や、JSOXにおけるIT全般統制の強化という流れの中で、Identity Managerを使った、OSアカウント管理の話が結構多いので参考になると思い翻訳してもらいました。内容も製品のバージョン依存の部分が少ないのでとても参考になると思います。
Identity ManagerでのOSアカウント管理をご検討の場合にはぜひご一読ください。
_kimimasa

【Big Admin 日本語ハブ コンテンツの紹介】特集記事: Sun Java System Access Manager 2005Q4 および Sun Java System Access Manager Policy Agent 2.2 を使用したシングルサインオン

こんにちは。どんどん行きます。
一日のエントリ数の自己記録を更新かなー??
次も Big Admin日本語ハブのコンテンツです。 一気に更新があったので、紹介するのも大変です。(でもどれもいいコンテンツなのでがんばって紹介しますー)
BigAdmin日本語ハブとはBigAdminの日本版になります。
BigAdmin マルチリンガルハブへようこそ。世界中のシステム管理者に役立つ情報をご提供したいと考えています。また、このサイトから、日本語で記事や情報、知識を共有したり投稿したりできるようにする予定です。 このサイトには、英語版 BigAdmin からの翻訳記事をいくつか掲載しています。 Feedback タブを使って、日本語翻訳の品質についてコメントしたり、翻訳してほしい英語版の記事や情報をリストしたり、日本語以外の翻訳してほしい言語をリクエストしたりすることもできます。遠慮なくどしどしコメントをお寄せください。お待ちしております。これからもユーザーおよびコミュニティのみなさまとともに BigAdmin の内容をグローバルに作成し拡張していきたいと思っています。 我々が最も良く知っている言語で知識を共有しましょう!
BigAdmin: Multilingual BigAdmin - 日本語
更新情報の blog もあります。BigAdmin 日本語通信
Big Admin日本語ハブの中には、Sun Java Enterprise System 製品のコーナーもあります。
今回は、特集記事: Sun Java System Access Manager 2005Q4 および Sun Java System Access Manager Policy Agent 2.2 を使用したシングルサインオン を紹介します。
これもまた以前に、Identity Manager,Access Manager に関するTechArticleのご紹介(Bigadmin):kimimasa's blogとして紹介していますが、Bigadmin記事:Single Sign-On Using Sun Java System Access Manager 2005Q4 and Sun Java System Access Manager Policy Agent 2.2の翻訳版です。
BigAdmin Feature Article: Single Sign-On Using Sun Java System Access Manager 2005Q4 and Sun Java System Access Manager Policy Agent 2.2 Access Manager をインストールし、Policy Agent 2.2を Sun Java System Web Server,Sun Java System Application Server,Tomcat上にインストールして、SSO(シングルサインオン)を実施するまでの記事です。
Identity Manager,Access Manager に関するTechArticleのご紹介(Bigadmin):kimimasa's blog
日本語になっていますので、実際に試して頂くのにいいと思います。ただ、Access Managerは最新の 7.1 ではなく、2005Q4(7.0) を使っていますのでご注意下さい。
_kimimasa

月曜日 10 15, 2007

【BigAdmin記事の紹介】Sun Java System Directory Server 6.0 as an LDAP Naming Service

こんにちは。
今日は、BigAdminの新規記事を紹介します。 (BigAdminとは、Sunが提供しているシステム管理者さんの為の技術情報ポータルサイトです。)
The BigAdmin portal is a Web-based, community-driven repository of resources specifically for system administrators -- by sys admins. Keeping in the tradition of bulletin boards, the BigAdmin portal enables users to both receive and post useful information, resources, and tips. The BigAdmin team continually posts useful, cool things that sys admins care about. However, realizing that we can't identify all resources that are available, we also encourage our user community to submit things that they find useful.
BigAdmin FAQ
Sun Java System Directory Server 6.0 as an LDAP Naming Service ってことで、Directory ServerSolaris 10,Solaris9,Solaris8さらには、RedHat4, AIX5.3 のNamingServiceとして使用する際の方法(Howto)をまとめてあります。簡単にいうと、OSのpasswd,shadowファイルや、NISではなくて、LDAPをOSの認証だったり、ネーミングサービスに使う際のインストールや設定の方法を解説した記事です。

この記事はかなりよいです。(そのかわり、記事のボリュームもかなりのものです。)

Directory Server側の設定方法、OS(ここではLDAPクライアントとなる)側の設定方法のどちらか一方であれば製品ベンダのマニュアルなどで探すことはできますが、その両方がまとめて記述されているのはかなり珍しいと思います。BigAdminという技術ポータルならではの情報だと思います。 (普通、Sun のサイトに RedHatやAIXの設定方法はのっていないので(笑))
逆に IBMさんやRedHatさんのサイトにもDirectory Serverの設定方法は載っていないけど。。

いろいろ解説したいことろですが。。。多忙につきまずはお知らせまで。。。
_kimimasa

水曜日 9 26, 2007

【SDN記事の紹介】Installing, Configuring, and Deploying Sun Java System Access Manager the Simple Way

こんにちは。

SDN(Sun Developer Network)の記事を紹介します。 Installing, Configuring, and Deploying Sun Java System Access Manager the Simple Wayということで、Access Managerを簡単にインストールしちゃおう!!っという記事です。
Access Managerのwarファイルを、先日発表されたApplication Server 9.1 にデプロイしています。
先日紹介した
Technical Note: Deploying Access Manager With Application Server 9.1 [ダウンロード]
のさらに簡単になった版だと思っていただければいいと思います。まずは、 『Installing, Configuring, and Deploying Sun Java System Access Manager the Simple Way』(Sun Developer Network)を見ていただいて、もう少し詳しく知りたい場合には、Technical Note: Deploying Access Manager With Application Server 9.1 (docs.sun.com) を参照いただくのがいいと思います。
かなり簡単なドキュメントなので、インストールやデプロイの時間を入れても30分程度で目を通せるかな?と思います。

デプロイできたら、SDNのほかの記事なども参考にしていただいていろいろ試して頂けると面白いと思います。 私も Access Managerに関するエントリをいくつか書いていますので、そちらからたどって頂くこともできるかと思います。
_kimimasa

火曜日 9 04, 2007

【Identity Manager】Dominoの接続ユーザを作って、設定をしてみよう。

おはようございます。
【Identity Manager】gateway をインストールしよう。: kimimasa's blog で gateway のインストールを紹介しました。これですぐに Lotus Domino と連携できればよいのですが、Domino でやらなければいけないこと、やっておいたほうがいいこと(Identity Managerの接続用ユーザを作成して権限を割り当てるなど。。)がありますので説明します。

【Identity Manager】Active Directoryの接続ユーザを作ってみよう。: kimimasa's blogより少し手順が多いです。

マニュアルにもDominoと接続するために何が必要かは記述されています。しかし少し簡潔すぎな気もしますので、説明しておきます。(といっても、Domino専門ってわけではないので、とりあえずこんな感じでという程度ですが。。)
  1. 前提条件:Domino及びNotesはインストールされている。
  2. Domino Administratorを起動し、管理者ユーザ(今回は、admin sun/example)でログインし、作成先サーバ(今回は sun/example)へ接続します。
  3. Identity Managerの接続用ユーザを作成します。
    まずはExampleドメインタブをクリックして、ユーザ -> 登録 とクリックします。

    ユーザ登録の画面です。まずはパスワードオプションを押下します。

    パスワードの強度などを設定できます。(ここではインターネットパスワードの設定にチェックを入れておきます。OKを押下します。)

    ユーザ情報を入力します。

    詳細チェックボックスにチェックして、表示された、ID情報タブをクリックして、ファイルチェックボックスをチェックします。

    右下に表示される、 ボタンを押下して、入力した情報に間違いなどがないかチェックして、登録 ボタンを押下して登録します。

    登録ができました。OK を押下します。
  4. 次に作成した管理者ユーザに必要な権限を割り当てて行きます。
    ファイル タブをクリックします。

    example Directory names.nsfを右クリックして、メニューから アクセス制御 -> 管理 と進みます。これはいわゆる公開アドレス帳にあたります。

    追加を押下します。

    idmadm/exampleと入力して OK を押下します。

    ユーザー,管理者を選択して、文書の削除にチェックをします。ロールとして、Group Modifier,User Creator,User Modifierにチェックをします。(画面上は User Modifier が見えていませんがチェックしてあります。) OK を押下します。

    example Certification Log certlog.nsfを右クリックして、メニューから アクセス制御 -> 管理 と進みます。これは認証ログデータベースにあたります。

    追加を押下します。

    idmadm/exampleと入力して OK を押下します。

    ユーザー,管理者を選択して、文書の削除にチェックをします。OK を押下します。

    サーバに対する管理権限を与えます。
    設定 タブをクリックします。

    サーバー -> 現在のサーバ文書 と進んで行きます。

    フルアクセスアドミニストレータ,データベースアドミニストレーターidmadm/example と追加して、ファイル メニューから 保存 を選択して文書を保存します。

    ここまでで、ユーザ�������作成と、権限の割り当ては終了です。
  5. 次に gateway に必要な設定をしていきます。Dominoとの連携ではActive Directoryとは違い gateway に Domino 用の設定を行う必要があります。
    まずは各種ファイルをC:\\idm\\gatewayフォルダにまとめます。(必ずしもファイルをまとめておく必要はないですが、わかりやすいように gateway が使用するファイルは一箇所にまとめておくことをお勧めします。)
    idmadm の idファイルをコピーします。

    C:\\idm\\gatewayフォルダに貼り付けます。

    cert.idファイル(認証者IDファイル)をコピーします。

    notes.ini ファイルをコピーします。

    gateway に Domino用の設定を行います。具体的にはレジストリに値を設定していきます。 (今回は設定には regeditを使いました。)
    HKEY_LOCAL_MACHINE -> SOFTWARE の下にWaveset -> Lighthouse -> Gatewayとキーを作成していきます。

    notesInstallDirに Notes がインストールされているフォルダを設定します。

    notesIniFilenotes.ini ファイルの絶対パスを設定します。

    これでDomino/Notes 側に必要な設定は一通りできました。
参考マニュアル:Sun Java System Identity Manager 7.1 リソースリファレンス >> Domino

Dominoは奥が深いですね、いろいろな設定があるのでこれからも少しづつこのBlogに書いていきたいと思います。
_kimimasa

【Identity Manager】Active Directoryの接続ユーザを作ってみよう。

こんにちは。
【Identity Manager】gateway をインストールしよう。: kimimasa's blog で gateway のインストールを紹介しました。これですぐに Active Directoryと連携できればよいのですが、Active Directoryやっておいたほうがいいこと(Identity Managerの接続用ユーザを作成する。)がありますので説明します。

ぶっちゃけ administrator を使ってしまえば、Identity Managerの接続用にユーザを作る必要はありません。しかし、現実としては、administratorを本番で使用するのは権限が大きすぎるのでお勧めできません。検証環境であっても、別途Identity Managerが接続するためのユーザを作成するほうがお勧めです。Identity Manager専用のユーザにしておけば(ほかのアプリや、開発者が使わないようにしておけば)例えば、割り当てるグループをいろいろ変えて、やりたいことに必要最低限の権限を設定していくことなどができます。あるお客様では、AD側に書き込みをしてほしくないので、読み込み権限だけを付与しているといったケースもあります。また、Identity Manager専用なので、だれかにパスワードを変えられて接続できなくなってしまうといったケースも避けられます。

当然マニュアルにもActive Directoryと接続するために何が必要かは記述されています。しかし最近お客様やパートナー様から、「とりあえずつなげて検証するときにAD側でどういった準備をしておけばいいの?」と問い合わせをうけることも多くなってきたのでここで説明しておきます。
Active Directory はIdentity Managerとの連携が一番多い(実績的にも、お客様の要望的にも)リソースの1つなので問い合わせも多いです。
  1. 前提:Active Directory は既にインストールされている。
  2. まず、プログラム -> 管理ツール -> Active Directory ユーザとコンピュータを開きます。
  3. Users オブジェクト下にユーザを作成します。

    今回は idmadm というユーザを作成してみます。
    パスワードの有効期限がきて接続できなくならないように、パスワードは無期限にする を選択しておきます。
    また、ユーザは次回ログオン時にパスワード変更が必要 のチャックもはずしておきます。

    できました。
  4. これだけでは権限がないので、グループを割りたてます。(今回は administratorsに所属させます。
    まずは idmadmのプロパティ画面を開きます。

    追加を押下します。

    詳細設定を押下します。

    検索ボックスにadmin と入力して、今すぐ検索を押下します。Adminisrators が表示されるので、OKを押下して追加します。

    OKを押下します。

    ユーザが Administratorsグループに追加されました。OKを押下します。

    これで Active Directory 側の作業は終了です。
  5. ついでなんで、Identity Manager側でもリソースの設定の説明もしておきます。(画面キャプチャの嵐です)
    まずは、ActiveDirectoryリソースが管理されるリソースとして設定されているか確認しましょう。私の環境では既に設定されています。
    新規リソースを追加して行きます。

    Windows Active Directoryを選択します。

    各種設定値を入力していきます。
    • ホスト 接続先サーバ(gatewayをインストールしたサーバ)のIPアドレスまたホスト名を入力します。
    • TCPポート gateway はデフォルトで9278ポートを使用します。ここはそのままでオッケーです。
    • ユーザ デフォルトでは、administrator と表示されていますが、今回は作成したユーザ idmadm を入力します。
    • パスワード idmadmのパスワードを入力します。
    • オブジェクトクラス そのままでオッケーです。
    • コンテナ ユーザコンテナを設定します。今回はcn=users,dc=example,dc=comを入力します。
    ほかの部分に関してはまずは変更の必要はありません。
    設定のテストを押下すると、入力した設定値を元にAective Directory へテスト接続を行います。
    接続に問題がなければ、次のリソースのテスト接続が成功しました というメッセージが表示されます。
    設定値に問題が無いことを確認して 次へ を押下します。

    ADとIdentity Managerの属性値のマッピング情報を設定する画面です。ここではデフォルトのままで 次へ を押下します。

    ユーザ作成時のDNの情報を設定する画面です。デフォルトでは、mydomain となっている部分を exampleに変更して、次へ を押下します。

    Active Directoryが停止していた場合の処理などを設定していく画面です。ここではデフォルトのままで 保存 を押下します。

    これで、Active Directory との連携準備が整いました。
    画面の量は多いですが(かなり細かくとりました。)実際には、10分もあれば十分終わってしまう作業です。(私は画面とりながらだったので、30分以上かかりました。。。)
    参考にしていただければと思います。
    参考マニュアル : Sun Java System Identity Manager 7.1 リソースリファレンス >> Active Directory
    _kimimasa

【Identity Manager】gateway をインストールしよう。

こんにちは。
今日は gateway のインストール方法を説明します。
Identity Managerは Agentless のアーキテクチャを採用しているので、たいていの場合は同期対象先(リソースと呼んでいます。)には、Agentモジュールなどをインストールする必要がありません。
しかし、Active Directory や Lotus Domino などをリソース(同期対象)として使用するには、Sun Identity Manager Gateway(以降 gateway)をインストール必要があります。
マニュアルもわかりやすく記述されていますが、画面などがないので今回は画面をつけて説明します。
  1. 前提:Identity Managerをダウンロードして解凍していある。(今回は Identity Manager 7.1 を利用しました。)
  2. gateway をインストールするマシンを決定する。(今回は Win2003 Server上にインストールします。)
  3. インストールするサーバ上にたフォルダを作成します。(今回は C:\\idm を作成しました。)
  4. Identity Managerを解凍したフォルダにある gateway.zipを作成したフォルダにコピーします。
  5. 解凍します。
  6. これでインストール(っというか解凍だけですけど)は終了です。
  7. サービスとして登録します。
    • コマンドプロンプトから gateway -iとしてサービスに登録します。

      サービスとして登録されますので、コントロールパネルを介してサービスとして起動、停止を行うことができます。(OSの起動時に自動で起動するように設定されます。)
  8. gatewayの起動と停止 (gateway の起動・停止はコマンドラインまたは、コントロールパネルから行います。ここではコマンドラインでの起動停止を紹介しておきます。)
    起動 : gateway.exe をおいたディレクトリで gateway -sとして起動します。
    停止 : gateway.exe をおいたディレクトリで gateway -kとして停止します。
ネタ元:Sun Java System Identity Manager 7.1 インストール >> 第 9 章 Sun Identity Manager Gateway のインストール手順
ご参考になれば幸いです。
_kimimasa

水曜日 8 29, 2007

【IdentityManager】helptool を使ってみよう。

こんにちは。
Identity Manager 6.0 日本語版UP~ヘルプ検索機能について~ Hanaki's weblogを見ていて、ふと「マニュアル」も検索してみたいな~と思ったのでやってみました。(Identity Manager7.1でやりました。)
でもhelpTool の使用:Sun Java System Identity Manager 7.1 リリースノート によると(注: この機能は英語版のマニュアルのみを対象としています。)ってことですので、オンラインヘルプは問題ないですが、日本語のマニュアルはサポートされませんのでご注意下さい。

  1. 前提:Identity Manager 7.1 はダウンロード、インストール済み。Identity Manager 7.1 Language Packo ダウンロード済み。(idm_l10n_ja_JP.jar も WEB-INF/lib 以下においてある。)
  2. "D:\\Tomcat 5.0\\webapps\\idm71\\help" に移動。
  3. まずは、オンラインヘルプを検索できるようにしてみます。
    D:\\Tomcat 5.0\\webapps\\idm71\\help>java -jar "C:\\Documents and Settings\\kim i\\デスクトップ\\tmp\\IDM_7-1_L10n_ja\\IDM_7-1_L10n_ja\\helpTool\\helpTool.jar" -d htm l/help/ja_JP -i ..\\WEB-INF\\lib\\idm_l10n_ja_JP.jar -n index/help -o help_files_help_ja_JP.txt -p index/index.properties [リターン]
    Extracted 1164 files.
    [28/8/2007:19:31:12] PM Init index/help AWord 2077744344
    [28/8/2007:19:31:12] PM Waiting for housekeeper to finish
    [28/8/2007:19:31:12] PM Shutdown index/help AWord 2077744344
    [28/8/2007:19:31:12] PM Init index/help AWord 645390916
    [28/8/2007:19:31:16] MP Partition: 2, 792 documents, 12647 terms.
    [28/8/2007:19:31:17] MP Finished dumping: 2 index/help 0.751
    [28/8/2007:19:31:17] IS 792 documents, 7.03 MB, 4.62 s, 5483.70 MB/h
    [28/8/2007:19:31:17] PM Waiting for housekeeper to finish
    [28/8/2007:19:31:17] PM Shutdown index/help AWord 645390916
    D:\\Tomcat 5.0\\webapps\\idm71\\help>

    なんかうまくいった感じです。
  4. 次にマニュアルを検索できるようにしてみます。
    といっても、元々のHTML形式の日本語マニュアルは、Language Pack にはついて来ません。 しょうがないので、Identity ManagerのマニュアルからたどってHTML版日本語マニュアルをダウンロードしました。(ダウンロードツールのご使用は自己責任でお願いします。)ついでに文字コードをUTF-8にしておきました。
  5. D:\\Tomcat 5.0\\webapps\\idm71\\doc\\HTML に ja_JP ディレクトリを作ってダウンロードしたファイルをおいておきます。
  6. インデックスを作ります。
    D:\\Tomcat 5.0\\webapps\\idm71\\help>java -jar "C:\\Documents and Settings\\kim i\\デスクトップ\\tmp\\IDM_7-1_L10n_ja\\IDM_7-1_L10n_ja\\helpTool\\helpTool.jar" -d html/docs/ja_JP -i ...\\doc\\HTML\\ja_JP -n index/docs -o manual_files_docs_ja_JP.txt -p index/index.properties [リターン]
    Copied 1 files.
    Copied 29 files.
    Copied 2 files.
    Copied 8 files.
    Copied 173 files.
    Copied 200 files.
    Copied 157 files.
    Copied 175 files.
    Copied 62 files.
    Copied 474 files.
    [28/8/2007:19:49:21] PM Init index/docs AWord 1113418346
    [28/8/2007:19:49:21] PM Waiting for housekeeper to finish
    [28/8/2007:19:49:21] PM Shutdown index/docs AWord 1113418346
    [28/8/2007:19:49:21] PM Init index/docs AWord 1855324448
    [28/8/2007:19:49:25] MP Partition: 2, 119 documents, 51299 terms.
    [28/8/2007:19:49:26] MP Finished dumping: 2 index/docs 0.901
    [28/8/2007:19:49:26] IS 119 documents, 11.48 MB, 4.99 s, 8283.57 MB/h
    [28/8/2007:19:49:26] PM Waiting for housekeeper to finish
    [28/8/2007:19:49:27] PM Shutdown index/docs AWord 1855324448
    D:\\Tomcat 5.0\\webapps\\idm71\\help>

    できたっぽいです。
  7. 試してみます。
    まずはオンラインヘルプ。

    次にマニュアル。

    できました。(なんかうれしい。)
_kimimasa

金曜日 8 17, 2007

「Identity Managerへの複数ログインを禁止する」方法

こんにちは。
先ほど、先輩から梨を頂きました。今冷蔵庫で冷やしています。おやつに食べるの楽しみです。
さて、今日は「Identity Managerへの複数ログインを禁止する」方法をご説明します。マニュアルには以下のように記述されています。


同時ログインセッションの制限

デフォルトでは、Identity Manager ユーザーは同時ログインセッションを行えます。ただし、System Configuration オブジェクトの security.authn.singleLoginSessionPerApp 設定属性の値を変更すれば、並行セッションをログインアプリケーションごとに 1 つに制限できます。この属性は、管理者インタフェース、ユーザーインタフェース、Identity Manager IDE などのそれぞれのログインアプリケーション名に対応した 1 つの属性を含んだオブジェクトです。この属性の値を true に変更すると、強制的に各ユーザーのログインセッションが 1 つに制限されます。

制限された場合、ユーザーは複数のセッションにログインできますが、最後にログインしたセッションだけがアクティブで有効になります。無効なセッションでアクションを実行すると、ユーザーは自動的にセッションから強制的にログオフされ、セッションが終了します。


Sun Java System Identity Manager 7.1 管理ガイド - 第 10 章 セキュリティー - 同時ログインセッションの制限
では詳しく解説していきます。
  1. まずは、System Configuration オブジェクトのsecurity.authn.singleLoginSessionPerAppの設定値を変更します。
    ログインしてデバックページへ。
  2. Type が Configuration のオブジェクトをリストします。
  3. System Configuration オブジェクトを編集します。(とっても大事なファイルなので編集前に export してバックアップしておいて下さい。)
  4. System Configuration オブジェクトの中のsecurity.authn.singleLoginSessionPerAppの設定場所を探していきます。まずは security
  5. 次に authn
  6. 次に、singleLoginSessionPerApp。そして今回は User Interface(一般ユーザがログインして、自分の情報を編集したり、いろいろ申請したり、承認したりするWebGUI画面)の複数ログインを禁止することにします。デフォルトの状態では複数ログインが可能ですので、設定値は false になっています。
  7. この設定値を true にして、Saveします。
  8. うまく設定されているか確認していきます。まずは、あらかじめ作成しておいたユーザ logintest でログインします。
  9. うまくログインできました。
  10. 次に別のブラウザを使ってユーザ logintest でログインします。
  11. こちらもうまくログインできました。
  12. 最初にログインしていただブラウザに戻って、ページを更新するか、どこかをクリックしてみます。
  13. 1ユーザによる複数のログインセッションが禁止されていることと、セッションが終了されたことを伝えるメッセージが表示され、ログイン画面に戻ります。
実際にこの機能を利用されるかはお客様によって様々だと思いますが、「複数のログインセッションを禁止したい」という要件があった場合にも、上記のように簡単に設定することが可能であるとご理解いただけたと思います。
久々にお知らせではないエントリを書きました。
参考にしていただければ幸いです。
_kimimasa
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日