IBM WebSphere Application Server 7.0.15 SPNEGO

IBM WebSphere Application Server 7.0.15 を使用して IBM Sametime 8.5.2 コ
ンポーネントに SPNEGO を組み込む
Conall O'Cofaigh
IBM Collaboration Solutions, IBM Software Group, Mulhuddart, Ireland
Naveed Yousuf
IBM Collaboration Solutions, IBM Software Group, Mulhuddart, Ireland
Pat CurtinIBM Collaboration Solutions, IBM Software Group, Mulhuddart, Ireland
2011 年 7 月
© Copyright International Business Machines Corporation 2011. All rights reserved.
概要:
本書では、Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) を使用し、Sametime System Console を認証
サーバーとして、IBM® Sametime® 8.5.2 Community Server、Meeting Server、Proxy Server、Media Manager、Advanced
Server、および Connect クライアントにシングル・サインオン (SSO) を構成する手順を説明します。SPNEGO は、
Microsoft Active Directory ドメインに属する Microsoft® Windows クライアントで SSO メカニズムを使用できるようにする
ための技術です。
内容
1.
概要.........................................................................................................................................................................................................................................................3
2.
Active Directory サーバーで SPNEGO を構成する ..............................................................................................................................................4
3.
Sametime System Console に SPNEGO を構成する...............................................................................................................................................6
4.
WebSphere Application Server の SSO を有効にする..........................................................................................................................................8
5.
WebSphere Application Server で Snoop サーブレットを有効にする ..........................................................................................................9
6.
クライアント・マシンのブラウザーを構成する............................................................................................................................................................10
6.1
Microsoft Internet Explorer の場合..................................................................................................................................................................................10
6.2
Mozilla Firefox の場合..............................................................................................................................................................................................................11
7.
Lightweight Third-party Authentication (LTPA) トークンを生成し、エクスポートする......................................................................12
7.1
Sametime サーバーに Web SSO 文書を作成する ..............................................................................................................................................13
8.
Sametime Connect クライアントで SPNEGO を有効にする...........................................................................................................................16
9.
Sametime Meeting Server で SSO を有効にする .................................................................................................................................................17
10.
Lotus Proxy Server で SSO を有効にする ...............................................................................................................................................................21
11.
Lotus Media Manager (AV) で SSO を有効にする................................................................................................................................................27
12.
Sametime Advanced Server で SSO を有効にする.............................................................................................................................................31
13.
トラブルシューティングとテスト............................................................................................................................................................................................36
13.1
WebSphere Application Server で SPNEGO が正しく構成されていることを確認する..................................................................36
13.2
WebSphere Application Server で SSO が正しく構成されていることを確認する............................................................................38
13.3
WebSphere Application Server でトレースを有効にする ..................................................................................................................................39
13.4
IBM Sametime で SSO が正しく構成されていることを確認する...............................................................................................................41
14.
まとめ...................................................................................................................................................................................................................................................42
15.
参考文献............................................................................................................................................................................................................................................42
著者について：...............................................................................................................................................................................................................................................43
商標について..................................................................................................................................................................................................................................................43
1.
概要
本書では、次のことを行う方法を学習します。
a.
Microsoft Active Directory で SPNEGO を有効にする。
b.
Sametime System Console で SPNEGO を使用するための構成を行う。
c.
WebSphere® Application Server のトークンを使用して、IBM Lotus Domino® および拡張製品 (Sametime
Connect クライアント、Meeting Server、Proxy Server、Media Manager、Advanced Server など) で
SPNEGO を有効にする。
図 1 に、ここで取り上げる Sametime 環境の全体像を示します。この環境の設定方法の詳細については、Wiki の記事
「Manually setting up a full IBM Sametime 8.5.2 environment」を参照してください。
図 1. 設定のダイアグラム
2.
Active Directory サーバーで SPNEGO を構成する
すべてのクライアント・マシンは、Active Directory サーバーと同じ Active Directory ドメインに属している必要があります。
クライアント・マシンが別のドメインにあると、Active Directory サーバー間の相互認証が必要になります。WebSphere
Application Server 用の Active Directory ID を構成するには、次の手順を実行します。
1.
WebSphere Application Server 用のユーザー ID を作成します。この ID は、使用しているマシン名 (VMPEWAS
など) でかまいませんが、WebSphere Application Server のセキュリティーの有効化に使用される ID (今回のケー
スでは wasadmin など) と同じにすることはできません。この新しく作成した ID は、WebSphere Application Server
で Active Directory との認証に使用されます。
注意:「アカウント」タブの「アカウント オプション」セクションで、「パスワードを無期限にする」を選択してください (図 2 を参
照)。このオプションを選択していないと、パスワードを変更するたびに新しいキーの生成を求められます。
図 2. ユーザー・アカウント作成ウィンドウ
ステップ 1 で作成したアカウントを Kerberos サービス・プリンシパル名 (SPN) にマッピングし、WebSphere Application
Server が Active Directory ドメインへのログインに使用するキータブ・ファイルを作成します。
Active Directory マシンでコマンド・ラインを開き、次のように「ktpass」コマンドを実行します (図 3 を参照)。
ktpass -out <キー・ファイル名> -princ HTTP/完全修飾ホスト名@ACTIVE DIRECTORY ドメイン名
-mapuser <Active Directory ユーザー> -pass <パスワード> -ptype KRB5_NT_PRINCIPAL
注意:このコマンドの「HTTP」と「ACTIVE DIRECTORY ドメイン名」は大文字にする必要があります。小文字を使用すると認
証が失敗します。
図 3. 「ktpass」コマンドの出力
次に、vmpewas のユーザー・アカウントのプロパテ
ィーを確認します。ユーザー・アカウント vmpewas
に SPN (サービス・プリンシパル名) がマッピングさ
れ、このユーザーのログオン名が SPN に変更され
たことがわかります (図 4 を参照)。
このマッピングにより、ドメイン内で HTTP または
HTTPS を使用して WebSphere Application Server
と通信するすべての認証済みクライアント・マシンが
この新規作成された vmpewas アカウントを認証す
ることが Active Directory に通知されます。
ステップ 2 で作成した vmpewas.keytab を Active
Directory サーバーから Sametime System Console
マシン (SPNEGO 認証に使用する WebSphere
Application Server) に移動します。
図 4. ユーザーのログイン名
3.
Sametime System Console に SPNEGO を構成する
ここでは、Sametime System Console で SPNEGO を有効にします。最初に、Active Directory サーバーからコピーした
キータブ・ファイルの場所 (例: E:\IBM\vmpewas.keytab) をメモしてください。
1.
このキータブ・ファイルを使用して、Kerberos 構成ファイルを設定します。
a)
Sametime System Console マシンにログインします。
b)
コマンド・ラインから、アプリケーション・サーバーの bin ディレクトリー (例: C:¥Program
Files¥IBM¥WebSphere¥AppServer¥bin) に移動します。
c)
wsadmin を実行し、認証用のユーザー名とパスワードを入力します。
d)
次の AdminTask コマンドを実行して、Kerberos 構成ファイルを作成します。$AdminTask createKrbConfigFile
{-krbPath <構成ファイル名> –realm <KERBEROS レルム> -kdcHost <Active Directory ホスト名> -dns <DNS ドメ
イン> –keytabPath /etc/krb5/<キータブ・ファイル名>}
説明:
krbPath フラグは、krb5.ini を配置する場所を示します。
realm フラグは、Active Directory ドメインに対応します (必ず大文字で指定)。
kdcHost フラグは、Active Directory サーバーのホスト名を表します。
dns フラグは、DNS ドメインを表します。
keytabPath は、Active Directory サーバーからコピーしたキータブ・ファイルのパスです (図 5 を参照)。
図 5. keytabPath の例
2.
WebSphere Application Server のセキュリティーで SPNEGO を使用するように構成します。
a.
System Console マシンでブラウザーから https://<system_console_server>:8701/ibm/console/logon.jsp に
アクセスし、Sametime System Console の管理コンソール・ページに移動します。
b.
「セキュリティー」 > 「グローバル・セキュリティー」を選択し、「認証」で「Web および SIP セキュリティー」に移
動して、「SPNEGO Web 認証」を選択します (図 6 を参照)。
図 6. SPNEGO Web 認証の有効化
3.
次のウィンドウで、「SPNEGO を動的に更新する」と「SPNEGO を使用可能にする」の各オプションを選択します (図
7 を参照)。
4.
「Kerberos configuration file with full path(Kerberos 構成ファイルのフルパス)」フィールドには、ステップ 2 で作成し
たファイルのパス (例: E:¥IBM¥krb5.ini) を入力します。
5.
「Kerberos keytab file with full path(Kerberos キータブ・ファイルのフルパス)」は、Active Directory サーバーから
WebSphere Application Server にコピーしたファイル (例: E:¥IBM¥vmpewas.keytab) のパスです。
図 7. SPNEGO Web 認証のプロパティー
6.
「SPNEGO フィルター」で「新規」をクリックし、新しい SPNEGO フィルターを作成します (図 8 を参照)。ここで、「ホ
スト名」フィールドには System Console サーバー名を入力します。 「Kerberos レルム名」フィールドには Active
Directory レルム名をすべて大文字で入力します。また、「プリンシパル名からの Kerberos レルムの切り取り」オプ
ションも有効にする必要があります。
図 8. 新しい SPNEGO フィルターのプロパティー・ウィンドウ
7.
「OK」、「保存」の順にクリックし、System Console サーバーを再起動します。これでこのサーバーに SPNEGO が
構成されます。
4.
WebSphere Application Server の SSO を有効にする
ここでは、System Console サーバーに対して SSO を有効にします。
1.
管理コンソール・ページから「セキュリティー」 > 「グロ
ーバル・セキュリティー」を選択し、「認証」で「Web お
図 9. SSO の有効化
よび SIP セキュリティー」を展開して「シングル・サイ
ンオン (SSO)」を選択します (図 9 を参照)。
2.
「一般プロパティー」で「使用可能」を選択し、「Domain name(ドメイン名)」フィールドに DNS ドメイン名を入力します
(図 10 を参照)。「OK」、「保存」の順にクリックします。
図 10. SSO のプロパティー
5.
WebSphere Application Server で Snoop サーブレットを有効にする
これには、次の手順で Sametime System Console に DefaultApplications.ear をインストールする必要があります。
1.
Integrated Solutions Console から、「WebSphere Application Server」 > 「アプリケーション」 > 「アプリケーション・
タイプ」 > 「WebSphere エンタープライズ・アプリケーション」 > 「install(インストール)」をクリックします。
2.
インストール可能アプリケーションのディレクトリー (通常は C:¥ProgramFiles¥IBM¥WebSphere¥Appserver) に移
動して、DefaultApplications.ear をインストールします。
3.
次の手順に従って、デフォルトの値を受け入れます。
4.
マスター構成を保存してサーバーを同期します。 その後、DefaultApplication.ear のチェック・ボックスをクリックして
「始動」をクリックし、このアプリケーションを起動します。オンラインでは、ステータス・アイコンが緑色になります。
5.
Sametime System Console にログインして、「セキュリティー」 > 「グローバル・セキュリティー」を選択します。「ユー
ザー・アカウント・リポジトリー」で「統合リポジトリー」を選択し、「構成」をクリックします。
6.
Active Directory 名をクリックし、その Active Directory 用の正しい DN セットが設定されていることを確認します
(図 11 を参照)。
図 11. フェデレーテッド・リポジトリーのウィンドウ
7.
6.
System Console サーバーを再起動します。
クライアント・マシンのブラウザーを構成する
クライアント・マシンの Active Directory ドメインにログインします。SPNEGO を使用するための System Console サー
バーの構成が正しく行われていることを確認する前に、ブラウザー設定を一部変更する必要があります。
6.1
1.
Microsoft Internet Explorer の場合
「ツール」 > 「インターネット オプション」 >
「セキュリティー」 > 「ローカル イントラネッ
ト」 > 「サイト」 > 「詳細設定」を選択しま
す。「次の Web サイトをゾーンに追加す
る」フィールドに SSO ドメインを追加します
(図 12 を参照)。
図 12. SSO ドメインの追加
2.
「ツール」 > 「インターネット オ
プション」を選択し、「詳細設定」
図 13. 「インターネット オプション」ウィンドウの「詳細設定」タブ
タブの「設定」で、「統合
Windows 認証を使用する」にチ
ェック・マークを付けます (図 13
を参照)。
3.
ブラウザーを再起動すると、準備
が完了します。
6.2
Mozilla Firefox の場合
1.
アドレス・バーに「about:config」と入力します。警告が表示されますが、「OK」をクリックします。
2.
フィルターを「auth」に設定し、network.negotiate-auth.delegation-uris と network.negotiate-auth.trusteduris の値を
SSO ドメインに設定します (図 14 を参照)。
図 14. SSO ドメインの設定
3.
ブラウザーを再起動すると、準備が完了します。
次に、System Console サーバーが SPNEGO 用に正しく設定されていることを確認します。
1.
Active Directory ドメインに含まれる Windows クライアントにログインします。
2.
ブラウザーを開き、URL「http://<System Console サーバー>:9080/snoop」を入力します。
3.
SPNEGO が正しく有効化されている場合は、ユーザー名とパスワードの入力は求められません。
7.
Lightweight Third-party Authentication (LTPA) トークンを生成し、エクスポートする
WebSphere Portal のトークンをエクスポートするには、次の手順を実行します。
1.
WebSphere Application Server コンソールにログイ
ンして、「セキュリティー」 > 「グローバル・セキュリティ
ー」を選択し、「認証」にある「LTPA」を選択します (図
15 を参照)。
図 15. LTPA 認証の選択
2.
「鍵生成」セクションで、「Key set group(鍵セット・グループ)」フィールドに CellLTPAKeySetGroup を設定し、「鍵の生
成」ボタンをクリックします (図 16 参照)。
図 16. 鍵の生成
3.
「クロスセルのシングル・サインオン」でパスワードと鍵ファイルの完全修飾名を設定して、「鍵のエクスポート」ボタンを
クリックします (図 17 参照)。
図 17. クロスセルのシングル・サインオン
4.
メッセージ・ダイアログに「The keys were successfully exported to the file C:¥ibm¥vmpewas.ltpa.(鍵は正常にファイ
ル C:¥ibm¥vmpewas.ltpa にエクスポートされました)」というメッセージが表示されます。
この WebSphere トークンを使用して SSO を構成できるように、Domino 管理クライアントがインストールされてい
るマシンに vmpewas.ltpa をコピーします。
7.1
1.
Sametime サーバーに Web SSO 文書を作成する
Domino 管理クライアントを起動し、「ファイル」 > 「アプリケーション」 > 「開く」を選択して、Sametime サーバーの
名前を入力します。
2.
Names.nsf データベースを開きます。
3.
「設定」を選択して「Web」を展開し、「Web Configurations(Web 設定)」をクリックします。ここには、Lotus Sametime
で自動的に生成された Web SSO トークンがあります。これは削除してください。
4. 「設定」を選択して「サーバー」を展開し、「すべてのサーバー」で目的の Sametime サーバーをダブルクリックすると、
そのサーバーがリストに表示されます。
5.
「Create Web(Web の作成)」ドロップダウン・メニューから「SSO Configuration(SSO 設定)」を選択します。
6.
文書の編集を選択します。「キー」 > 「WebSphere LTPA キーのインポート」をクリックします (図 18 を参照)。
図 18. WebSphere LTPA キーのインポート
7.
LTPA キー・ファイルのパスと名前を入力します (図 19 を参照)。
図 19. 「インポートするファイル名を入力」ダイアログ
8.
パスワードを入力します。キーがインポートされます。「設定名」フィールドが「LtpaToken」となっていることを確認しま
す (図 20 を参照)。
9.
「DNS ドメイン」にドメイン名を入力してから、「LTPA トークンのマップ名」フィールドを「無効」に設定します。
10. Sametime サーバーを「Domino サーバー名」リストに追加します。
11. WebSphere のトークンのインポートが終わると、「WebSphere 情報」セクションのすべてのデータが自動的に入力さ
れます。stcenter.nsf 内のユーザーが Community Server のすべての機能を使用できるように、「トークンの形式」を
「LtpaToken および LtpaToken2 (Lotus Domino のすべてのリリースと互換)」に変更する必要があります (図 20 を
参照)。
図 20. LtpaToken の設定文書
12. 文書を保存します。「設定」 > 「サーバー」 > 「すべてのサーバー文書」で目的の Sametime サーバー名を選択し、
「Edit server(サーバーの編集)」をクリックします。
13. 「インターネット・プロトコル」タブをクリックし、「Domino Web Engine」タブをクリックします。
14. 「セッション認証」を「複数サーバー (SSO)」に変更し、「Web SSO 設定」フィールドが「LtpaToken」になっていることを
確認します。
15. 文書を保存してサーバーを再起動します。
SPNEGO が正しく動作していることを確認するには、Sametime サーバーの再起動後にクライアント・マシンのブラ
ウザーで Snoop サーブレット (http://<System Console サーバー>:9080/snoop) に移動し、その後 Sametime サ
ーバー (http://<Sametime サーバー>/stcenter.nsf) に移動します。
ブラウザーで自動的に Sametime サーバーにログインできるはずです。このようにならない場合は、後ろにあるセク
ション 13『トラブルシューティングとテスト』を参照してください。
8.
Sametime Connect クライアントで SPNEGO を有効にする
SPNEGO で Sametime Connect クライアントにログインできるかどうかもテストする必要があります。これには、次の手
順を実行します。
1.
Connect クライアントを起動して、「接続」をクリックします (図 21 を参照)。
図 21. Connect クライアントの「接続」ボタン
2.
「トークンベースのシングル・サインオンを使用」チェック・ボックスにチェック・マークを付けて、Snoop サーブレット・ペ
ージ (この場合は http://<System Console サーバー>:9080/snoop) を入力します。認証タイプとして「SPNEGO」を
選択します (図 22 を参照)。
図 22. Connect クライアントのトークンベースの SSO
3.
「サーバー」タブに移動し、コミュニティサーバーの名前を入力します。「OK」、「ログイン」の順にクリックします。
これで、ユーザーは資格情報を入力しなくてもログインできるようになります。このようにならない場合は、後ろにある
セクション 13『トラブルシューティングとテスト』を参照してください。
9.
Sametime Meeting Server で SSO を有効にする
環境内のすべての WebSphere Application Server ベースのコンポーネントで SSO を有効にするには、次の手順を実
行します。このケースでは、Meeting Server が対象です。
これには、『2 Active Directory サーバーで SPNEGO を構成する』の手順に従って該当サーバー用のキータブを作成す
る必要があります。その後、作成したキータブを Meeting Server マシンにコピーして、次の手順を実行します。
1.
System Console マシンの WebSphere Application Server からエクスポートした LTPA キーを Meeting Server マ
シンにコピーします。
2.
管理コンソール・ページ (http://<ミーティングサーバー>:8500/ibm/console) から、「セキュリティー」 > 「グローバル・
セキュリティー」を選択し、「認証」で「LTPA」をクリックします。
3.
「クロスセルのシングル・サインオン」セクションで LTPA トークンのパスワードを入力し、ファイルをコピーした場所を
ポイントして、「Import keys(鍵のインポート)」をクリックします (図 23 参照)。
図 23. 「クロスセルのシングル・サインオン」ウィンドウ
4.
管理コンソール・ページから「セキュリティー」 > 「グローバル・セキュリティー」を選択し、「認証」で「Web および SIP
セキュリティー」を展開して「シングル・サインオン (SSO)」を選択します (図 24 を参照)。
図 24. SSO の有効化
5.
「一般プロパティー」で「使用可能」を選択し、「Domain name(ドメイン名)」フィールドに DNS ドメイン名を入力します
(図 25 を参照)。「OK」、「保存」の順にクリックします。
図 25. SSO の「一般プロパティー」ウィンドウ
6.
このサーバー用に生成したキータブ・ファイルを使用して、Kerberos 構成ファイルを設定します。
a)
Sametime Meeting Server マシンにログインします。
b)
コマンド・ラインから、アプリケーション・サーバーの bin ディレクトリー
(例: C:¥Program Files¥IBM¥WebSphere¥AppServer¥bin) に移動します。
c)
wsadmin を実行し、認証用のユーザー名とパスワードを入力します。
d)
次の AdminTask コマンドを実行して、Kerberos 構成ファイルを作成します。
$AdminTask createKrbConfigFile {-krbPath <構成ファイル名> –realm <KERBEROS レルム> -kdcHost
<Active Directory ホスト名> -dns <DNS ドメイン> –keytabPath /etc/krb5/<キータブ・ファイル名>}
説明:
krbPath フラグは、krb5.ini を配置する場所を示します。
realm フラグは、Active Directory ドメインに対応します (必ず大文字で指定)。
kdcHost フラグは、Active Directory サーバーのホスト名を表します。
dns フラグは、DNS ドメインを表します。
keytabPath は、Active Directory サーバーからコピーしたキータブ・ファイルのパスです (図 26 を参照)。
図 26. keytabPath の例 (ミーティングサーバー)
7.
WebSphere Application Server のセキュリティーで SPNEGO を使用するように構成します。
a)
Meeting Server マシンで、ブラウザーから Meeting Server の管理コンソール・ページ (http://<ミーティングサ
ーバー>:8500/ibm/console/) に移動します。
b) 「セキュリティー」 > 「グローバル・セキュリティー」を選択し、「認証」で「Web および SIP セキュリティー」に移動し
て、「SPNEGO Web 認証」を選択します (図 27 を参照)。
図 27. SPNEGO Web 認証の有効化
8.
次のウィンドウで、「SPNEGO を動的に更新する」と「SPNEGO を使用可能にする」の各オプションを選択します (図
28 を参照)。
「Kerberos configuration file with full path(Kerberos 構成ファイルのフルパス)」フィールドには、ステップ 2 で作成し
たファイルのパス (例: E:¥IBM¥krb5.ini) を入力します。
「Kerberos keytab file with full path(Kerberos キータブ・ファイルのフルパス)」フィールドは、Active Directory サーバ
ーから WebSphere Application Server にコピーしたファイル (例: E:¥IBM¥vmpewas.keytab) のパスです。
図 28. SPNEGO Web 認証のプロパティー
9.
「SPNEGO フィルター」で「新規」をクリックし、新しい SPNEGO フィルターを作成します (図 29 を参照)。ここで、
「ホスト名」フィールドにはミーティングサーバー名を入力します。 「Kerberos レルム名」フィールドには Active
Directory レルム名をすべて大文字で入力します。また、「プリンシパル名からの Kerberos レルムの切り取り」オプ
ションも有効にする必要があります。
図 29. 新しい SPNEGO フィルターのプロパティー・ウィンドウ
10. 「OK」、「保存」の順にクリックし、ミーティングサーバーを再起動します。これでこのサーバーに SPNEGO が構成され
ます。
11. SPNEGO が正しく動作していることを確認するには、ミーティングサーバーの再起動後に、構成済みクライアントの
ブラウザーでミーティングサーバーの URL (http://<ミーティングサーバー>/stmeetings) に移動します。
ブラウザーで自動的にミーティングサーバーにログインできるはずです。そうでない場合は、後ろにあるセクション 13
『トラブルシューティングとテスト』を参照してください。
SPNEGO で Sametime Connect クライアントにログインし、ミーティングサーバーを追加できるかどうかもテストす
る必要があります。Connect クライアントの「Meeting Server(ミーティングサーバー)」タブに移動するとミーティングサ
ーバーに接続できるようになっていることを確認してください。この場合も、うまくいかない場合はセクション 13 を参
照してください。
10.
Lotus Proxy Server で SSO を有効にする
環境内のすべての WebSphere Application Server ベースのコンポーネントで SSO を有効にするには、次の手順を実
行します。このケースでは、Proxy server が対象です。これには、『2. Active Directory サーバーで SPNEGO を構成す
る』の手順に従って該当サーバー用のキータブを作成する必要があります。その後、作成したキータブを Proxy Server マ
シンにコピーして、次の手順を実行します。
1.
System Console マシンの WebSphere Application Server からエクスポートした LTPA キーを Proxy Server マシ
ンにコピーします。
2.
管理コンソール・ページ (http://<プロキシサーバー>:8600/ibm/console) から、「セキュリティー」 > 「グローバル・セ
キュリティー」を選択し、「認証」で「LTPA」をクリックします。
3.
「クロスセルのシングル・サインオン」セクションで LTPA トークンのパスワードを入力し、ファイルをコピーした場所を
ポイントして、「Import keys(鍵のインポート)」をクリックします (図 30 参照)。
図 30. クロスセルのシングル・サインオン
4.
管理コンソール・ページから、「セキュリティー」 > 「グローバル・セキュリティー」を選択します。「認証」で「Web およ
び SIP セキュリティー」を展開して、「シングル・サインオン (SSO)」を選択します (図 31 を参照)。
図 31. SSO の有効化
5.
「一般プロパティー」で「使用可能」を選択し、「Domain name(ドメイン名)」フィールドに DNS ドメイン名を入力します
(図 32 を参照)。「OK」、「保存」の順にクリックします。
図 32. SSO の「一般プロパティー」ウィンドウ
6.
このサーバー用に生成したキータブ・ファイルを使用して、Kerberos 構成ファイルを設定します。
a)
Sametime Proxy Server マシンにログインします。
b)
コマンド・ラインから、アプリケーション・サーバーの bin ディレクトリー (例: C:¥Program
Files¥IBM¥WebSphere¥AppServer¥bin) に移動します。
c)
wsadmin を実行し、認証用のユーザー名とパスワードを入力します。
d)
次の AdminTask コマンドを実行して、Kerberos 構成ファイルを作成します。
$AdminTask createKrbConfigFile {-krbPath <構成ファイル名> –realm <KERBEROS レルム> -kdcHost
<Active Directory ホスト名> -dns <DNS ドメイン> –keytabPath /etc/krb5/<キータブ・ファイル名>}
説明:
krbPath フラグは、krb5.ini を配置する場所を示します。
realm フラグは、Active Directory ドメインに対応します (必ず大文字で指定)。
kdcHost フラグは、Active Directory サーバーのホスト名を表します。
dns フラグは、DNS ドメインを表します。
keytabPath は、Active Directory サーバーからコピーしたキータブ・ファイルのパスです (図 33 を参照)。
図 33. keytabPath の例 (プロキシサーバー)
7.
WebSphere Application Server のセキュリティーで SPNEGO を使用するように構成します。
c)
Proxy Server マシンで、ブラウザーから Proxy Server の管理コンソール・ページ (http://<プロキシサーバー
>:8600/ibm/console/) に移動します。
d)
「セキュリティー」 > 「グローバル・セキュリティー」を選択し、「認証」で「Web および SIP セキュリティー」に移
動して、「SPNEGO Web 認証」を選択します (図 34 を参照)。
図 34. SPNEGO Web 認証の有効化
8.
次のウィンドウで、「SPNEGO を動的に更新する」と「SPNEGO を使用可能にする」の各オプションを選択します (図
35 を参照)。
「Kerberos configuration file with full path(Kerberos 構成ファイルのフルパス)」フィールドには、ステップ 2 で作成し
たファイルのパス (例: E:¥IBM¥krb5.ini) を入力します。
「Kerberos keytab file with full path(Kerberos キータブ・ファイルのフルパス)」フィールドは、Active Directory サーバ
ーから WebSphere Application Server にコピーしたファイル (例: E:¥IBM¥vmpewas.keytab) のパスです。
図 35. SPNEGO Web 認証のプロパティー
9.
「SPNEGO フィルター」で「新規」をクリックし、新しい SPNEGO フィルターを作成します (図 36 を参照)。ここで、
「ホスト名」フィールドにはプロキシサーバー名を入力します。 「Kerberos レルム名」フィールドには Active Directory
レルム名をすべて大文字で入力します。また、「プリンシパル名からの Kerberos レルムの切り取り」オプションも有
効にする必要があります。「OK」、「保存」の順にクリックします。
図 36. 新しい SPNEGO フィルターのプロパティー・ウィンドウ
10. 「セキュリティー」 > 「グローバル・セキュリティー」を選択します。「User account repository(ユーザー・アカウント・リ
ポジトリー)」で「Federated repositories(フェデレーテッド・リポジトリー)」を選択し、「Configure(構成)」をクリックしま
す。
11. Active Directory の詳細情報を設定していない場合は情報を追加し、その Active Directory 用の正しい DN セット
が設定されていることを確認します (図 37 を参照)。
図 37. 「Federated repositories(フェデレーテッド・リポジトリー)」ウィンドウ
12. 「アプリケーション」 > 「Install New Application(新規アプリケーションのインストール)」を選択します。アプリケーション
のインストール・ウィザードの実行中に、プロンプトに従ってユーザーやグループにセキュリティー・ロールのマッピン
グを行います。デプロイ済みアプリケーションに関してユーザーやグループにマッピングしたロールを変更するには、
「アプリケーション」 > 「エンタープライズ・アプリケーション」 > 「<デプロイ済みアプリケーション>」 > 「Security roles
to user/group mapping(ユーザー/グループへのセキュリティー・ロールのマッピング)」を選択します。図 38 の設定と
同じになっていることを確認してください。
図 38. ユーザー/グループへのセキュリティー・ロールのマッピング
13. プロキシサーバーを再起動します。これで SPNEGO が構成されます。
14. SPNEGO が正しく動作していることを確認するには、プロキシサーバーの再起動後に、構成済みクライアントのブラ
ウザーでプロキシサーバーの URL (https://<プロキシサーバー>:9080/popup.jsp または https://<プロキシサーバ
ー>:9080/index.jsp) に移動します。
注意:SPNEGO 認証ではリダイレクトが機能しないため、URL「https://<プロキシサーバー
>:9080/stwebclient/popup.jsp」は使用しないでください。
ブラウザーで自動的にプロキシサーバーにログインできるはずです。そうでない場合は、後ろにあるセクション 13 を
参照してください。
11.
Lotus Media Manager (AV) で SSO を有効にする
環境内のすべての WebSphere Application Server ベースのコンポーネントで SSO を有効にするには、次の手順を実
行します。このケースでは、Media Manager (AV) が対象です。これには、『2. Active Directory サーバーで SPNEGO を
構成する』の手順に従って該当サーバー用のキータブを作成する必要があります。その後、作成したキータブを AV サー
バー・マシンにコピーして、次の手順を実行します。
1.
System Console マシンの WebSphere Application Server からエクスポートした LTPA キーを AV サーバー・マシ
ンにコピーします。
2.
管理コンソール・ページ (http://<AV サーバー>:8800/ibm/console) から、「セキュリティー」 > 「グローバル・セキュリ
ティー」を選択し、「認証」で「LTPA」をクリックします。
3.
「クロスセルのシングル・サインオン」セクションで LTPA トークンのパスワードを入力し、ファイルをコピーした場所を
ポイントして、「Import keys(鍵のインポート)」をクリックします (図 39 参照)。
図 39. 「クロスセルのシングル・サインオン」ウィンドウ
4.
管理コンソール・ページから、「セキュリティー」 > 「グローバル・セキュリティー」を選択します。「認証」で「Web およ
び SIP セキュリティー」に移動し、「シングル・サインオン (SSO)」を選択します (図 40 を参照)。
図 40. SSO の有効化
5.
「一般プロパティー」で「使用可能」を選択し、「Domain name(ドメイン名)」フィールドに DNS ドメイン名を入力します
(図 41 を参照)。「OK」、「保存」の順にクリックします。
図 41. SSO の「一般プロパティー」ウィンドウ
6.
このサーバー用に生成したキータブ・ファイルを使用して、Kerberos 構成ファイルを設定します。
a)
AV サーバー・マシンにログインします。
b)
コマンド・ラインから、アプリケーション・サーバーの bin ディレクトリー (例: C:¥Program
Files¥IBM¥WebSphere¥AppServer¥bin) に移動します。
c)
wsadmin を実行し、認証用のユーザー名とパスワードを入力します。
d)
次の AdminTask コマンドを実行して、Kerberos 構成ファイルを作成します。
$AdminTask createKrbConfigFile {-krbPath <構成ファイル名> –realm <KERBEROS レルム> -kdcHost
<Active Directory ホスト名> -dns <DNS ドメイン> –keytabPath /etc/krb5/<キータブ・ファイル名>}
説明:
krbPath フラグは、krb5.ini を配置する場所を示します。
realm フラグは、Active Directory ドメインに対応します (必ず大文字で指定)。
kdcHost フラグは、Active Directory サーバーのホスト名を表します。
dns フラグは、DNS ドメインを表します。
keytabPath は、Active Directory サーバーからコピーしたキータブ・ファイルのパスです (図 42 を参照)。
図 42. keytabPath の例 (AV)
7.
WebSphere Application Server のセキュリティーで SPNEGO を使用するように構成します。
a)
AV サーバー・マシンで、ブラウザーから AV サーバーの管理コンソール・ページ (http://<AV サーバー
>:8800/ibm/console/) に移動します。
b)
「セキュリティー」 > 「グローバル・セキュリティー」を選択し、「認証」で「Web および SIP セキュリティー」に移
動して、「SPNEGO Web 認証」を選択します (図 43 を参照)
図 43. SPNEGO Web 認証の有効化
8.
次のウィンドウで、「SPNEGO を動的に更新する」と「SPNEGO を使用可能にする」の各オプションを選択します (図
44 を参照)。
9.
「Kerberos configuration file with full path(Kerberos 構成ファイルのフルパス)」フィールドには、ステップ 2 で作成し
たファイルのパス (例: E:¥IBM¥krb5.ini) を入力します。
10. 「Kerberos keytab file with full path(Kerberos キータブ・ファイルのフルパス)」フィールドは、Active Directory サーバ
ーから WebSphere Application Server にコピーしたファイル (例: E:¥IBM¥vmpewas.keytab) のパスです。
図 44. SPNEGO Web 認証のプロパティー
11. 「SPNEGO フィルター」で「新規」をクリックし、新しい SPNEGO フィルターを作成します (図 45 を参照)。ここで、「ホ
スト名」フィールドには AV サーバー名を入力します。 「Kerberos レルム名」フィールドには Active Directory レル
ム名をすべて大文字で入力します。また、「プリンシパル名からの Kerberos レルムの切り取り」オプションも有効に
する必要があります。
図 45. 新しい SPNEGO フィルターのプロパティー・ウィンドウ
12. 「OK」、「保存」の順にクリックし、AV サーバーを再起動します。これでこのサーバーに SPNEGO が構成されます。
Media Manager には SPNEGO で保護できる URL がないため、Media Manager が正常に動作しているかどうか
は、Sametime Connect クライアントにログインし、「Preferences(プリファレンス)」に AV が表示されるかどうかと、
AV コールを実行できるかどうかをテストすることが最も確実です。
12.
Sametime Advanced Server で SSO を有効にする
環境内のすべての WebSphere Application Server ベースのコンポーネントで SSO を有効にするには、次の手順を実
行します。このケースでは、Advanced Server が対象です。これには、『2. Active Directory サーバーで SPNEGO を構成
する』の手順に従って該当サーバー用のキータブを作成する必要があります。その後、作成したキータブを Advanced
Server マシンにコピーして、次の手順を実行します。
1.
System Console マシンの WebSphere Application Server からエクスポートした LTPA キーを Advanced Server
マシンにコピーします。
2.
管理コンソール・ページ (http://<Advanced サーバー>:8900/ibm/console) から、「セキュリティー」 > 「グローバル・
セキュリティー」を選択し、「認証」で「LTPA」をクリックします。
3.
「クロスセルのシングル・サインオン」セクションで LTPA トークンのパスワードを入力し、ファイルをコピーした場所を
ポイントして、「Import keys(鍵のインポート)」をクリックします (図 46 参照)。
図 46. 「クロスセルのシングル・サインオン」ウィンドウ
4.
管理コンソール・ページから、「セキュリティー」 > 「グローバル・セキュリティー」を選択します。「認証」で「Web およ
び SIP セキュリティー」を展開して、「シングル・サインオン (SSO)」を選択します (図 47 を参照)。
図 47. SSO の有効化
5.
「一般プロパティー」で「使用可能」を選択し、「Domain name(ドメイン名)」フィールドに DNS ドメイン名を入力します
(図 48 を参照)。「OK」、「保存」の順にクリックします。
図 48. SSO の「一般プロパティー」ウィンドウ
6.
このサーバー用に生成したキータブ・ファイルを使用して、Kerberos 構成ファイルを設定します。
a)
Sametime Advanced Server マシンにログインします。
b)
コマンド・ラインから、アプリケーション・サーバーの bin ディレクトリー (例: C:¥Program
Files¥IBM¥WebSphere¥AppServer¥bin) に移動します。
c)
wsadmin を実行し、認証用のユーザー名とパスワードを入力します。
d)
次の AdminTask コマンドを実行して、Kerberos 構成ファイルを作成します。
$AdminTask createKrbConfigFile {-krbPath <構成ファイル名> –realm <KERBEROS レルム> -kdcHost
<Active Directory ホスト名> -dns <DNS ドメイン> –keytabPath /etc/krb5/<キータブ・ファイル名>}
説明:
krbPath フラグは、krb5.ini を配置する場所を示します。
realm フラグは、Active Directory ドメインに対応します (必ず大文字で指定)。
kdcHost フラグは、Active Directory サーバーのホスト名を表します。
dns フラグは、DNS ドメインを表します。
keytabPath は、Active Directory サーバーからコピーしたキータブ・ファイルのパスです (図 49 を参照)。
図 49. keytabPath の例 (Advanced サーバー)
7.
WebSphere Application Server のセキュリティーで SPNEGO を使用するように構成します。
a)
Advanced Server マシンで、ブラウザーから Advanced Server の管理コンソール・ページ (http://<Advanced
サーバー>:8900/ibm/console/) に移動します。
b)
「セキュリティー」 > 「グローバル・セキュリティー」を選択し、「認証」で「Web および SIP セキュリティー」に移
動して、「SPNEGO Web 認証」を選択します (図 50 を参照)。
図 50. SPNEGO Web 認証の有効化
8.
次のウィンドウで、「SPNEGO を動的に更新する」と「SPNEGO を使用可能にする」の各オプションを選択します (図
51 を参照)。
9.
「Kerberos configuration file with full path(Kerberos 構成ファイルのフルパス)」フィールドには、ステップ 2 で作成し
たファイルのパス (例: E:¥IBM¥krb5.ini) を入力します。
10. 「Kerberos keytab file with full path(Kerberos キータブ・ファイルのフルパス)」フィールドは、Active Directory サーバ
ーから WebSphere Application Server にコピーしたファイル (例: E:¥IBM¥vmpewas.keytab) のパスです。
図 51. SPNEGO Web 認証のプロパティー
11. 「SPNEGO フィルター」で「新規」をクリックし、新しい SPNEGO フィルターを作成します (図 52 を参照)。ここで、「ホ
スト名」フィールドには Advanced サーバー名を入力します。 「Kerberos レルム名」フィールドには Active Directory
レルム名をすべて大文字で入力します。また、「プリンシパル名からの Kerberos レルムの切り取り」オプションも有
効にする必要があります。
図 52. 新しい SPNEGO フィルターのプロパティー・ウィンドウ
12. 「OK」、「保存」の順にクリックし、Advanced サーバーを再起動します。これでこのサーバーに SPNEGO が構成さ
れます。
13. SPNEGO が正しく動作していることを確認するには、Advanced サーバーの再起動後に、構成済みクライアントのブ
ラウザーで Advanced サーバーの URL (http://<Advanced サーバー>:9080/stadvanced) に移動します。
ブラウザーで自動的に Advanced サーバーにログインできるはずです。そうでない場合は、セクション 13 を参照し
てください。
SPNEGO で Sametime Connect クライアントにログインし、Advanced サーバーの詳細を追加できるかどうかもテ
ストする必要があります。Connect クライアントの「Broadcast Communities and Chat Rooms(ブロードキャストコミュ
ニティとチャットルーム)」タブに移動すると Advanced サーバーに接続できるようになっていることを確認してください。
この場合も、うまくいかない場合はセクション 13 を参照してください。
13.
トラブルシューティングとテスト
最後に、構成のテストとトラブルシューティングを行う方法をいくつか説明します。
13.1
WebSphere Application Server で SPNEGO が正しく構成されていることを確認する
1.
Windows クライアントにログインし、Internet Explorer を開きます。
2.
メニューから「ツール」 > 「インターネット オプション」を選択し、「詳細設定」タブをクリックします。
3.
「セキュリティー」セクションまでスクロール・ダウンし、「統合 Windows 認証を使用する」が有効になっていることを確
認します。
4.
「ツール」 > 「インターネット オプション」 > 「セキュリティー」タブ > 「ローカル イントラネット」を選択します。 「サイ
ト」、「詳細設定」の順にクリックして、「ローカル イントラネット」ダイアログ・ボックスで SSO ドメインを追加します (図
53 を参照)。
図 53. SSO ドメインの Web サイトの追加
5.
Wireshark (http://www.wireshark.org/download.html からダウンロード可能) を起動し、メニューから「Capture」 >
「Interfaces」を選択します。
6.
正しいアダプターを選択してから「Start」をクリックします。
7.
ステップ 5 または 6 で変更を加えた場合は、ブラウザーを再起動します。
8.
Snoop サーバーの URL (http://<System Console マシン>:9080/snoop) を入力し、「Capture」 > 「Stop」を使用し
て Wireshark を停止します。
9.
Active Directory のドメイン・コントローラーの IP アドレスを取得します。
10. 「Filter」フィールドに「http」と入力して、「Apply」をクリックします。次の行を探します。
GET /snoop HTTP/1.1
HTTP/1.1 401 Unauthorized (text/html)
11. 「HTTP/1.1 401 Unauthorized」パケットを強調表示します。「WWW- Authenticate:Negotiate¥r¥n」という行がありま
す (図 54 を参照)。
図 54. WWW- Authenticate: Negotiate\r\n
12. 2 番目の「GET /snoop HTTP/1.1」を探して強調表示します。パケットの詳細ウィンドウには SPNEGO トークンが表
示されています (図 55 を参照)。
図 55. SPNEGO トークン
SPNEGO が構成されていない場合は、「HTTP/1.1 Unauthorized」パケットに「WWW- Authenticate: Basic realm」と
表示されます (図 56 を参照)。
図 56. Basic realm
13.2
WebSphere Application Server で SSO が正しく構成されていることを確認する
SPNEGO が正しく構成されていることを確認したら、次の手順を実行して SSO についても同様の確認を行います。
1.
Windows クライアントにログインし、Internet Explorer を開きます。
2.
Wireshark を起動して、「Capture」 > 「Interfaces」を選択します。
3.
正しいアダプターを選択してから「Start」ボタンをクリックします。
4.
Snoop サーバーの URL (http://<System Console サーバー>:9080/snoop) を入力し、「Capture」 > 「Stop」を使用
して Wireshark を停止します。
5.
Active Directory のドメイン・コントローラーの IP アドレスを取得します。
6.
「Filter」フィールドに「http」と入力して、「Apply」をクリックします。「HTTP/1.1 OK」パケットを探して選択します。 パケ
ットの詳細ウィンドウには LtpaToken2 および LtpaToken が表示されています (図 57 を参照)。
図 57. LtpaToken2 および LtpaToken
「HTTP 200」応答にこれらのトークンが含まれていない場合は、SSO が正しく設定されていません。その場合は次の手順を
実行します。
1.
URL「https://<System Console サーバー>:8700/ibm/console」から管理コンソールにログインします。
2.
「セキュリティー」 > 「グローバル・セキュリティー」を選択し、「Web および SIP セキュリティー」を展開します。
3.
「シングル・サインオン (SSO)」をクリックして、「有効」にチェック・マークが付いていることを確認します。チェック・マー
クが付いていてもログイン時に「HTTP 403 forbidden」エラーが発生したり、ユーザー名とパスワードの入力を求めら
れたりする場合は、Active Directory の資格情報の確認で問題が発生している可能性があります。このような場合は、
トレースを有効にしてください。
13.3
WebSphere Application Server でトレースを有効にする
1.
URL「https://<System Console サーバー>:8700/ibm/console」から管理コンソールにログインします。
2.
「トラブルシューティング」セクションを展開し、「ログおよびトレース」をクリックします。
3.
サーバー (server1) をクリックし、「診断トレース」をクリックして、「ログ詳細レベルの変更」をクリックします。
4.
「*=info: com.ibm.ws.security.spnego.*=all: com.ibm.ws.security.ltpa.*=all」と入力して、WebSphere Application
Server を停止します。
5.
ログ・ディレクトリー (例: C:¥IBM¥WebSphere¥AppServer¥profiles¥AppSrv01¥logs¥server1) に移動して、
trace.log があれば、削除するか、名前を変更します。
6.
WebSphere Application Server を起動し、Windows クライアントにログインします。
7.
Internet Explorer を開き、URL「http://<System Console サーバー>:9080/snoop」を入力します。
8.
WebSphere Application Server で trace.log ファイルを確認します。次のような内容が記述されている場合がありま
す。
[5/11/09 16:06:41:776 EDT] 00000015 LdapRegistryI E SECJ0362E:Cannot create credential for the user
[email protected].
この場合は、検索フィルター「[email protected]
andobjectcategory=user」を使用して LDAP 検索が実行されたことが原因で問題が発生しています。この問題は、
Wireshark を使用して次の手順で確認することができます。
a)
WebSphere Application Server で Wireshark を起動し、「Capture」 > 「Interfaces」を選択します。
b)
正しいアダプターを選択して「Start」をクリックし、Windows クライアントにログインして Internet Explorer を開き
ます。
c)
URL「http://<System Console サーバー>:9080/snoop」を入力します。
d)
「Capture」 > 「Stop」を使用して Wireshark を停止し、「Filter」フィールドに「ldap」と入力して「Apply」ボタンをク
リックします (図 58 を参照)。
図 58. LDAP のキャプチャー
問題を修正するには、次の手順を実行します。
1.
WebSphere Application Server 管理コンソールで「セキュリティー」 > 「グローバル・セキュリティー」をクリックし、
「Web および SIP セキュリティー」を展開します。
2.
「SPNEGO Web 認証」をクリックし、「SPNEGO フィルター」でホスト名をクリックします。
3.
「プリンシパル名からの Kerberos レルムの切り取り」オプションの隣にあるボックスにチェック・マークを付けます。
4.
「OK」、「保存」の順にクリックして、管理クライアントからログアウトします。
5.
WebSphere Application Server を停止し、再起動します。
13.4
IBM Sametime で SSO が正しく構成されていることを確認する
これには、次の手順を実行します。
1.
Windows クライアントにログインして Internet Explorer を開き、URL「http://<System Console サーバー
>:9080/snoop」を入力します。
2.
URL を http://<Sametime サーバー>/stcenter.nsf などのように変更して、Sametime サーバーの stcenter.nsf に
アクセスします。これでログイン状態になります (図 59 参照)。
図 59. stcenter.nsf ページ
3.
ログイン状態にならなかった場合は、Sametime サーバーで SSO が正しく有効化されているかどうかを確認してく
ださい。
4.
また、Notes.ini のパラメーターを次のように設定して、デバッグを有効にすることもできます。
debug_sso_trace_level=3
enable_console_log=1
5.
Sametime サーバーを再起動し、ステップ 1 ∼ 3 を繰り返します。
6.
Sametime サーバーで console.log を開きます。このファイルは Domino データディレクトリの下の
IBM_Technical_Support ディレクトリーにあります。console.log には次のような内容が出力されている可能性があり
ます。
05/13/2009 09:26:32.82 AM [17BC:0012-08C4] SSO API> Token does not lead with 0[Single Sign-On token
is invalid].
05/13/2009 09:26:32.82 AM [17BC:0012-08C4] SSO API> ERROR: when decoding Domino LtpaToken
[Single Sign-On token is invalid].
このエラー (太字部分) は、Domino のキーを使用して Domino ディレクトリー内に Web SSO 文書が作成されると
きに発生します。
また、WebSphere 形式の復号で問題が発生する場合もあります。その場合は、console.log に次のような出力が見
られます。
05/13/2009 02:16:25.21 PM [0DC8:0017-0FA0] SSO API> Decrypt WebSphere styleSingle Sign-On token
(LTPA). [0] != u.
05/13/2009 02:16:25.21 PM [0DC8:0017-0FA0] SSO API> ERROR: when decoding LtpaToken [Single
Sign-On token is invalid].
05/13/2009 02:16:25.21 PM [0DC8:0017-0FA0] SSO API> *** Freeing Single Sign-OnToken List
(SECTokenListFree) ***
05/13/2009 02:16:25.21 PM [0DC8:0017-0FA0] SSO API> *** Freeing Single Sign-OnToken
(SECTokenFree) ***
05/13/2009 02:16:25.21 PM [0DC8:0017-0FA0] SSO API> *** Freeing Single Sign-OnToken
(SECTokenFree) ***
05/13/2009 02:16:25.34 PM [0DC8:0017-0FA0] SSO API> *** Validating Token
List(SECTokenListValidateAndGetInfo) ***
7.
この問題を解決するには、WebSphere Application Server から LTPAToken をエクスポートし、Sametime サーバ
ーで Web SSO 文書を再作成するという方法が考えられます。
Sametime サーバーに SSO が正しく構成されている場合、console.log の出力は次のようになります。
05/13/2009 02:51:00.78 PM [0D08:0012-0F2C] SSO API> -Raw Token
Username=CN=wasadmin,CN=Users,dc=pelab,dc=notesdev,dc=ibm,dc=com
05/13/2009 02:51:00.78 PM [0D08:0012-0F2C] SSO API> -LDAP Realm=vmpe07.notesdev.ibm.com¥:389
05/13/2009 02:51:00.79 PM [0D08:0012-0F2C] SSO API> -Username
=CN=wasadmin/CN=Users/dc=pelab/dc=notesdev/dc=ibm/dc=com
05/13/2009 02:51:00.79 PM [0D08:0012-0F2C] SSO API> -Raw Token
Username=CN=wasadmin,CN=Users,dc=pelab,dc=notesdev,dc=ibm,dc=com
05/13/2009 02:51:00.79 PM [0D08:0012-0F2C] SSO API> -Expiration Ticks=1242247860666 [05/13/2009
04:51:00 PM].
14.
まとめ
これで、SPNEGO を使用し、Sametime System Console を認証サーバーとして Sametime Community Server、Meeting
Server、Proxy Server、Media Manager、Advanced Server、および Connect クライアントに SSO を構成する方法について、
一定の知識が得られたと思います。
15.
参考文献
「Setting up a full IBM Lotus Sametime 8.5.1 environment using the Sametime system console」:
http://www-10.lotus.com/ldd/stwiki.nsf/dx/Setting_up_a_full_IBM_Lotus_Sametime_8.5.1_environment_usi
ng_the_Sametime_system_console#Resources
developerWorks の Lotus Sametime 製品ページ：
http://www.ibm.com/developerworks/jp/lotus/products/stindex.html
Lotus Sametime フォーラム（u.s.）:
http://www.ibm.com/developerworks/lotus/products/instantmessaging/
Sametime Wiki 製品資料（u.s.）:
http://www-10.lotus.com/ldd/stwiki.nsf/xpViewCategories.xsp?lookupName=Product%20Documentation
著者について：
Conall O'Cofaigh は、Sametime Verification Test チームに所属するソフトウェア・エンジニアです。2008 年に IBM に入社し
て以来、Lotus Sametime 製品の統合と相互運用に重点を置いた業務に携わっています。
Naveed Yousuf は、1999 年 からダブリンの IBM ソフトウェア研究所に勤務し、さまざまなチームに携わってきたソフトウ
ェア・エンジニアです。 過去 4 年間は Sametime Verification Test チームに所属し、Lotus Sametime 製品の統合と相互
運用に重点を置いた業務に携わっています。
Pat Curtin は、1999 年 からダブリンの IBM ソフトウェア研究所に勤務し、さまざまなチームに携わってきたソフトウェア・
エンジニアです。 現在は Sametime Verification Test チームに所属し、Lotus Sametime 製品の統合と相互運用に重点
を置いた業務に携わっています。
商標について
developerWorks、Domino、IBM、Lotus、Redbooks、Sametime、および WebSphere は、IBM Corporation の米国およびその
他の国における商標または登録商標です。
Java およびすべての Java 関連の商標は、Sun Microsystems, Inc. の米国およびその他の国における商標です。
Microsoft および Windows は、Microsoft Corporation の米国およびその他の国における商標です。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標またはサービス・マークです。