Comments
Transcript
ポータル&Lotus Domino シングルサインオン構成 編 2006/02/03 版
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
WebSphere Portal V5.1
ポータル&Lotus Domino シングルサインオン構成
導入手順書
2006/02/03 版
-1-
編
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
(目次)
1.
はじめに ................................................................ 3
2.
Lotus Domino LDAP の構成 ................................................. 4
2.1.
3.
4.
Domino Directory のセットアップ...................................... 4
Domino Directory 用 WebSphere Portal の構成............................. 12
3.1.
セキュリティーの使用不能化.......................................... 13
3.2.
セキュリティー使用不能可のタスクの実行.............................. 16
3.3.
セキュリティーの使用可能化.......................................... 17
3.4.
セキュリティーの使用可能化タスクの実行.............................. 25
WebSphere Application Server と Lotus Domino Server の間のシングル・サインオ
ンの設定 ..................................................................... 27
5.
4.1.
WebSphere LTPA キーを作成する....................................... 27
4.2.
Web SSO 構成文書を作成し、LTPA キーをインポートする ................. 29
4.3.
マルチサーバー・シングル・サインオン認証を使用可能にする ............ 31
4.4.
シングル・サインオンの確認.......................................... 31
ポータル&Lotus Domino シングル・サインオン構成
パラメーター ............ 33
付録:「HTTP-HostName」属性を LDAP スキーマに追加する .......................... 36
-2-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
この手順書の目的
この手順書では、WebSphere Portal Enable for iSeries(WPE)が使用するユーザ・レジ
ストリーとして、Domino Directory(Lotus Domino 6.x)を使用し、WebSphere Portal(WP)
が Lotus Domino LDAP を使用するように構成する手順を示します。
1. はじめに
WebSphere Portal V5.x(WP)をインストールすると、WP が使用するデフォルトのユーザー・
レジストリーとして、Webshere Application Server(WAS)内のデータベースが使用されま
す。ここではユーザー・レジストリーを Lotus Domino 上の LDAP に変更するための手順に
ついて紹介します。
初めに、WAS 内部のデータベースからデータをエクスポートします。次に、プロパティファ
イルを編集した後に、新規データベースのテーブルを作成し、そのテーブルにエクスポー
トしておいたデータをインポートするという手順で、移行を行います。
*説明文中の画面キャプチャーは、一部説明と異なる場合がございます。
*この資料では、ポータル環境については、以下のパラメータで解説を進めていきます。
¾
ポータルサーバーのドメイン名:<ポータル FQDN>
¾
ポータルのインスタンス名
:<ポータル・インスタンス>
¾
ポータルの URL
:http://<ポータル FQDN>/wps/portal
¾
Lotus Domino ドメイン名
:<Lotus Domino Domain>
¾
Lotus Domino サーバー名
:<Lotus Domino Server>
¾
Lotus Domino サーバーのホスト名
:<Lotus Domino FQDN>
¾
ポータル、Lotus Domino のドメイン名:<Domain Name> シングル・サインオ
ンを行う対象となるドメイン名
r
e
v
r
e
S
P
T
T
H
M
B
I
WAS
Portal Server
Portal
Engine
Portlet 1
Portlet 1
Portlet
DominoDirectory
(LDAP)
リポジトリ/
ディレクトリ
ポータル
リポジトリ
-3-
DB2
ディレクトリ
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
2. Lotus Domino LDAP の構成
この章では、
Lotus Domino Server 6.x の Domino Directory に LDAP 設定を構成し、WebSphere
Portal Server が参照する LDAP サーバー(Lotus Domino LDAP)を構成する手順について記
述します。
Lotus Domino Server、Lotus Domino Administrator クライアントのインストール
Lotus Domino Server、Lotus Domino Administrator クライアントのインストールは、基本
的に Infocenter の記述に従います。
http://publib.boulder.ibm.com/pvc/wp/510/ent/ja/InfoCenter/collab/ksa_cfg_domino
.html
Lutus Domino Administrator クライアント はリモートの PC 側に導入されてリモートア
クセスするものとします。Lotus Domino Server は、ここでは、以下のパラメータでセット
アップが行われているものとして記述を進めます。
Lotus Domino ドメイン名
:<Lutus Domino Domain> LDAP のユーザーサ
フィックスになります。
Lotus Domino サーバー名
:<Lotus Domino Server>
Lotus Domino サーバーのホスト名
:<Lotus Domino FQDN>
(WP サーバーのホスト名 <ポータル FQDN>)
2.1. Domino Directory のセットアップ
ここでは以下の作業を行います。
1. Domino Directory のディレクトリー構造の例
2. 「HTTP-HostName」属性を LDAP スキーマに追加する
3. LDAP 用サーバー構成設定値の指定
4. ポータル・アドミニストレーターを Domino Directory に追加
5. Domino Directory のアクセス制御リスト (ACL) を更新
2.1.1. Domino Directory のディレクトリー構造の例
以下に、Domino Directory サーバー構造の例を示します
<null root>
<Domino Domain>
cn=wpsadmins
cn=wpsadmin
z
LDAP サフィックス =「」
z
ユーザー・プレフィックス =「cn」
z
ユーザー・サフィックス =「o=<Domino Domain>」
z
グループ・プレフィックス =「cn」
z
グループ・サフィックス =「」
z
ポータル・アドミニストレーター
DN =
「cn=wpsadmin,o=<Domino Domain>」
z
-4-
ポータル・アドミニストレーター・グ ループ =
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
「cn=wpsadmins」
2.1.2. LDAP 用サーバー構成設定値の指定
1. Lotus Notes 管理者 ID で Lotus Domino Administrator または Lotus Notes Client
で、サーバーの Domino Directory である names.nsf を開き、
「設定」タブで「 サ
ーバー」‒「設定」ビューに進む.
2. 「サーバー設定の追加」をクリックして、新規設定文書を作成し、表示する.
3. 「基本」タブ上で、「すべてのサーバーのデフォルトの設定として使用」オプショ
ンに対して、
「はい」をチェックする。(次のステップで使用する「LDAP」タブが
表示される。
)
4. 「LDAP」タブで、
「属性タイプを選択」ボタンをクリックして 匿名ユーザーが LDAP
-5-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
経由で照会できるフィールドを選択する。左側の「オブジェクトクラス」で「*」
を選択し、「属性を表示」ボタンを押す。「選択可能な属性」から、以下のフィー
ルドを選択して「追加>>」ボタンを押す.
¾
HTTP-HostName
¾
MailDomain
¾
MailFile
¾
MailServer
¾
NetAddresses
※すべて選択できないときは、オブジェクトクラスで「dominoPerson」
「dominoServer」
などの「選択可能な属性」から選択します
5. 「OK」をクリックして「LDAP 属性タイプの選択」ダイアログ・ボックスを閉じ、
「LDAP」タブに戻る。
6. 下にスクロールし、
「LDAP ユーザーに書き込み権を許可」オプションについて、
「は
い」をクリックする。
-6-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
7. 構成設定値の他のすべてのデフォルトの LDAP 設定値のまま、「保存して閉じる」
をクリックして、構成文書を閉じる。
8. Lotus Domino 管理コンソールより、以下のコマンドを発行して、LDAP サービスの
再起動を行う。
> tell ldap quit
( LDAP Server : Shutdown
と表示されるまで待ちます)
> load ldap
2.1.3. ポータル・アドミニストレーター(ポータル管理ユーザー)を Domino Directory に
追加
ポータルを管理するユーザーが存在しないか、または既存の LDAP が存在しない場合は、
新規のユーザーを作成して、ポータル・アドミニストレーターとして動作させる必要があ
ります。以下のステップは、ディレクトリーにポータル管理ユーザーが存在しない場合に
実施します。ポータル管理者「wpsadmin」と WAS セキュリティー管理者「wpsbind」は
「wpsadmins」グループに属します。
1. Domino Directory の「ユーザーとグループ」タブの「ユーザー」ビューに進み、
右上の「ツール」 - 「ユーザー」 下の「登録」をクリックする。
2. 認証者パスワードを入力する。
3. 「ユーザー登録 ‒ 新規登録」フォームの表示フィールドに以下の値を入力する。
¾
姓 (Last Name)
:wpsbind
¾
短縮名
:wpsbind であることを確認
-7-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
¾
パスワード
:wpsbind (任意の文字列)
4. 「パスワードオプション」 を押す。
5. 「パスワードクオリティスケール」を(6)にして「インターネットパスワードの設
定」「Notes ID パスワードとインターネットパスワードを同期する」にチェックを
入れる。
6. 「OK」ボタンを押して登録キューに入れる。
7. 同様に、
¾
姓 (Last Name)
:wpsadmin
¾
短縮名
:wpsadmin であることを確認
¾
パスワード
:wpsadmin (任意の文字列)
「パスワードオプション」(以下同じ)
として wpsadmin ユーザーを登録キューに入れ、「すべてを登録」で作成する。
8. Domino Directory の「ユーザーグループ」ビューへ進み、アクション・バーから
-8-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
「グループの追加」をクリックする。
9. 「基本」タブの「新規グループ (New Group)」フォームで、表示されているフィ
ールドに以下の値を入力して、ポータル・アドミニストレーター・グループの
wpsadmins を作成し、wpsbind およびポータル管理ユーザー(wpsadmin)を追加す
る。
¾
グループ名
¾
グループ・タイプ:多目的
¾
メンバー
:wpsadmins
:wpsbind/<Domino Domain>
:wpsadmin/<Domino Domain>
10. 「保存して閉じる」をクリックして、wpsadmins グループを保管する。
11. それぞれのユーザー/グループに対してブラウザより ldap アクセスを行って、登
録されていることを確認してください。
¾
ldap://<Domino FQDN>/cn=wpsadmin,o=<Domino Domain>
¾
ldap://<Domino FQDN>/cn=wpsbind,o=<Domino Domain>
¾
ldap://<Domino FQDN>/cn=wpsadmins
-9-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
2.1.4. Domino Directory のアクセス制御リスト (ACL) を更新
1. Domino Directory の「ファイル」タブ で、names.nsf を選択し、右クリックの
メニューから「アクセス制御」-「管理」 の順に選択して開く。
2. 「アクセス制御リスト」-「基本」で、
「wpsadmin/<Domino Domain>」
「wpsbind/<Domino
Domain>」を追加し、以下のような設定を行う。
-10-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
¾
「種類」として「ユーザー」
¾
「アクセス」として「管理者」
¾
「文書の削除」にチェック
¾
「ロール」で、以下の役割タイプを追加して割り当てる。
9
(GroupCreator)
9
(GroupModifier)
9
(UserCreator)
9
(UserModifier)
3. 同様に、「wpsadmins」グループを追加し、上記の設定を行う。(「種類」は「ユー
ザーグループ」)
4. 「OK」をクリックしてこれらの変更を Domino Directory のアクセス制御リスト
に保管する。
5. Lotus Domino Administrator または Lotus Notes で「終了」を選択する。
-11-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3. Domino Directory 用 WebSphere Portal の構成
ここまでで、LDAP 側の構成は完了です。次は、WP 側の構成を行います。WP 側では、Domino
Directory の導入/構成の情報を元に構成を行います。これらの情報は、データベースの移
行と同様に、wpconfig.properties ファイルに記述し、タスクを実行することで行います。
また、このタスクでは、WebSphere Application Server の Global Security と LDAP の設定
もあわせて行われます。
*ここで WebSphere Portal Server マシンのバックアップを取得することをお勧めします。
wpconfig.properties ファイルの編集を行います。テキスト・エディターで
/QIBM/UserData/WebAS51/Base/<ポータル・インスタンス>
/PortalServer51/config/wpconfig.properties ファイルを開きます。
次ページ以降の各セクションの該当部分(太枠内)を記述通りに編集します。
注)
・
・
以下のステップで指定される設定値以外は、変更しないでください。
<Lotus Domino Domain> は
それぞれの Lotus Domino Domain に置き換えてく
ださい。
・
LTPA パスワードはここでは<LTPA Password>としています。後で Lotus Domino
Server に LTPA キーをインポートするときにパスワードを入力する必要がある
ため、このパスワードを覚えておきます。
・
DB2 のデータベースユーザーは、WPSDBUSER としてあります。このユーザーは、
HTTP ポータル作成ウィザードで作成されるデフォルトのユーザーです。必要な
場合は、パラメータを変更してください。
-12-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.1. セキュリティーの使用不能化
以下のように config.properties ファイルを編集します。
3.1.1. WebSphere Application Server Properties
###############################################################################
# WebSphere Application Server Properties - BEGIN
###############################################################################
# VirtualHostName: The name of the WebSphere Application Server virtual host
VirtualHostName=default_host
# WasAdminServer: The name of the WebSphere Application Server administration server (server1)
WasAdminServer=server1
# WasHome: The directory where WebSphere Application Server product files are installed
WasHome=C:/Program Files/WebSphere/AppServer
# WasUserHome: The directory where WebSphere Application Server user data is created
WasUserHome=C:/Program Files/WebSphere/AppServer
# WasUserid: The user ID for WebSphere Application Server security authentication
# CUR:
WasUserid=wpsbind
# See LDAP examples below:
# IBM Directory Server: { uid=wpsbind,cn=users,dc=yourco,dc=com }
# Domino:
{ cn=wpsbind,o=yourco.com }
# Active Directory:
{ cn=wpsbind,cn=users,dc=yourco,dc=com }
# SunOne:
{ uid=wpsbind,ou=people,o=yourco.com }
# Novell eDirectory
{ uid=wpsbind,ou=people,o=yourco.com }
WasUserid=cn=wpsadmin,o=<Domino Domain>
# WasPassword: The password for WebSphere Application Server security authentication (LDAP and CUR)
WasPassword=wpsadmin
・
・
・
・
・
-13-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.1.2. Portal Config Properties
###############################################################################
# Portal Config Properties - BEGIN
###############################################################################
# PortalAdminId: The user ID for the WebSphere Portal Administrator
# DEV (No security): PortalAdminId=uid=<portaladminid>,o=default organization
# CUR: PortalAdminId=uid=<portaladminid>,o=default organization
# See LDAP examples below:
# IBM Directory Server: { uid=<portaladminid>,cn=users,dc=yourco,dc=com }
# Domino:
{ cn=<portaladminid>,o=yourco.com }
# Active Directory:
{ cn=<portaladminid>,cn=users,dc=yourco,dc=com }
# SunOne:
{ uid=<portaladminid>,ou=people,o=yourco.com }
# Novell eDirectory
{ uid=<portaladminid>,ou=people,o=yourco.com }
PortalAdminId=cn=wpsadmin,o=<Domino Domain>
# PortalAdminIdShort: The short WebSphere Portal admin ID
PortalAdminIdShort=wpsadmin
# PortalAdminPwd: The password for the WebSphere Portal Administrator
PortalAdminPwd=wpsadmin
# PortalAdminGroupId: The group ID for the WebSphere Portal Administrator group
# DEV (No security): PortalAdminGroupId=cn=wpsadmins,o=default organization
# CUR: PortalAdminGroupId=cn=wpsadmins,o=default organization
# See LDAP examples below:
# IBM Directory Server: { cn=wpsadmins,cn=groups,dc=yourco,dc=com }
# Domino:
{ cn=wpsadmins }
# Active Directory:
{ cn=wpsadmins,cn=groups,dc=yourco,dc=com }
# SunOne:
{ cn=wpsadmins,ou=groups,o=yourco.com }
# Novell eDirectory
{ cn=wpsadmins,ou=groups,o=yourco.com }
PortalAdminGroupId=cn=wpsadmins
# PortalAdminGroupIdShort: The WebSphere Portal admin group ID
PortalAdminGroupIdShort=wpsadmins
# PortalUniqueID: The 12 hex digits unique to this WebSphere Portal instance.
# Usually a MAC address from a communications adapter on this node
PortalUniqueID=0003474373E0
:
:
###############################################################################
# Portal Config Properties - END
###############################################################################
-14-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.1.3. DB2 Database Properties
データベースのユーザー、及び、パスワードを追記します。
##################################################################
# Database Properties - BEGIN
# DbUser: The database administrator user ID
DbUser=wpsdbuser
# DbPassword: The database administrator password
DbPassword=wpsdbuser
3.1.4. WMM Properties
WMM(Webshere Member Manager)用のデータベースのユーザー、及び、パスワードを追記し
ます。
##################################################################
# WMM Properties - BEGIN
# WmmDbUser: The database administrator user ID
WmmDbUser=wpsdbuser
# WmmDbPassword: The database administrator password
WmmDbPassword=wpsdbuser
編集が終わったら、ファイルを保存します。
次に、WAS 「server1」が起動されていること、
「WebSphere_Portal」が停止されてい
ることを確認します。
稼動していなければ、場合に応じて起動/停止させます。
-15-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.2. セキュリティー使用不能可のタスクの実行
ここまでの準備が整ったら、タスクを実行します。QShell インターフェースより、以下の
ディレクトリへ移動し、コマンドを入力します。
/QIBM/UserData/WebAS51/Base/<ポータル・インスタンス>/PortalServer51/config
3.2.1. 現行のセキュリティーの使用不能化
WPSconfig.sh -instance <ポータル・インスタンス> disable-security
「BUILD SUCCESSFUL」と表示されることを確認します。
※失敗した場合、wpconfig.properties ファイル内の値を検査します。
-16-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.3. セキュリティーの使用可能化
以下のように config.properties ファイルを編集します。
3.3.1. WebSphere Application Server Properties
###############################################################################
# WebSphere Application Server Properties - BEGIN
###############################################################################
# VirtualHostName: The name of the WebSphere Application Server virtual host
VirtualHostName=default_host
# WasAdminServer: The name of the WebSphere Application Server administration server (server1)
WasAdminServer=server1
# WasHome: The directory where WebSphere Application Server product files are installed
WasHome=C:/Program Files/WebSphere/AppServer
# WasUserHome: The directory where WebSphere Application Server user data is created
WasUserHome=C:/Program Files/WebSphere/AppServer
# WasUserid: The user ID for WebSphere Application Server security authentication
# CUR:
WasUserid=wpsbind
# See LDAP examples below:
# IBM Directory Server: { uid=wpsbind,cn=users,dc=yourco,dc=com }
# Domino:
{ cn=wpsbind,o=yourco.com }
# Active Directory:
{ cn=wpsbind,cn=users,dc=yourco,dc=com }
# SunOne:
{ uid=wpsbind,ou=people,o=yourco.com }
# Novell eDirectory
{ uid=wpsbind,ou=people,o=yourco.com }
WasUserid=cn=wpsbind,o=<Domino Domain>
# WasPassword: The password for WebSphere Application Server security authentication (LDAP and CUR)
WasPassword=wpsbind
・
・
使用不能化の時と
・
・
パラメータが異なります
・
-17-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.3.2. Portal Config Properties
###############################################################################
# Portal Config Properties - BEGIN
###############################################################################
# PortalAdminId: The user ID for the WebSphere Portal Administrator
# DEV (No security): PortalAdminId=uid=<portaladminid>,o=default organization
# CUR: PortalAdminId=uid=<portaladminid>,o=default organization
# See LDAP examples below:
# IBM Directory Server: { uid=<portaladminid>,cn=users,dc=yourco,dc=com }
# Domino:
{ cn=<portaladminid>,o=yourco.com }
# Active Directory:
{ cn=<portaladminid>,cn=users,dc=yourco,dc=com }
# SunOne:
{ uid=<portaladminid>,ou=people,o=yourco.com }
# Novell eDirectory
{ uid=<portaladminid>,ou=people,o=yourco.com }
PortalAdminId=cn=wpsadmin,o=<Domino Domain>
# PortalAdminIdShort: The short WebSphere Portal admin ID
PortalAdminIdShort=wpsadmin
# PortalAdminPwd: The password for the WebSphere Portal Administrator
PortalAdminPwd=wpsadmin
# PortalAdminGroupId: The group ID for the WebSphere Portal Administrator group
# DEV (No security): PortalAdminGroupId=cn=wpsadmins,o=default organization
# CUR: PortalAdminGroupId=cn=wpsadmins,o=default organization
# See LDAP examples below:
# IBM Directory Server: { cn=wpsadmins,cn=groups,dc=yourco,dc=com }
# Domino:
{ cn=wpsadmins }
# Active Directory:
{ cn=wpsadmins,cn=groups,dc=yourco,dc=com }
# SunOne:
{ cn=wpsadmins,ou=groups,o=yourco.com }
# Novell eDirectory
{ cn=wpsadmins,ou=groups,o=yourco.com }
PortalAdminGroupId=cn=wpsadmins
# PortalAdminGroupIdShort: The WebSphere Portal admin group ID
PortalAdminGroupIdShort=wpsadmins
# PortalUniqueID: The 12 hex digits unique to this WebSphere Portal instance.
# Usually a MAC address from a communications adapter on this node
PortalUniqueID=0003474373E0
:
:
###############################################################################
# Portal Config Properties - END
###############################################################################
-18-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.3.3. WebSphere Portal Security LTPA and SSO configuration
ここで、SSODomainName には、ポータル、及び Lotus Domino サーバーの属するドメイン名
を入力してください。
##################################################################
# WebSphere Portal Security LTPA and SSO configuration
##################################################################
# LTPAPassword: Specifies the password to encrypt and decrypt the LTPA keys.
LTPAPassword=<LTPA Password>
# LTPATimeout: Specifies the time period in minutes at which an LTPA token will expire.
LTPATimeout=120
# SSOEnabled: Specifies that the Single Sign-on function is enabled.
SSOEnabled=true
# SSORequiresSSL: Specifies that Single Sign-On function is enabled
# only when requests are over HTTPS Secure Socket Layer (SSL) connections.
SSORequiresSSL=false
# SSODomainName: Specifies the domain name (.ibm.com, for example) for all Single Sign-on hosts.
SSODomainName=<Domain Name>
-19-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.3.4. LDAP Properties Configuration
##################################################################
# LDAP Properties Configuration - BEGIN
##################################################################
# LookAside: To configure LDAP with an additional LookAside Database
# true - LDAP + Lookaside database
# false - only LDAP
LookAside=false
# WmmDefaultRealm
WmmDefaultRealm=portal
# LDAPHostName: The LDAP server hostname
LDAPHostName=<Domino FQDN>
# LDAPPort: The LDAP server port number
# For example, 389 for non-SSL or 636 for SSL
LDAPPort=389
# LDAPAdminUId: The LDAP administrator ID
LDAPAdminUId=cn=wpsadmin,o=<Domino Domain>
# LDAPAdminPwd: The LDAP administrator password
LDAPAdminPwd=wpsadmin
# LDAPServerType: The type of LDAP server to be used for WebSphere Portal
# IBM Directory Server: { IBM_DIRECTORY_SERVER }
# Domino:
{ DOMINO502 }
# Active Directory:
{ ACTIVE_DIRECTORY }
# SunOne:
{ IPLANET }
# Novell eDirectory:
{ NDS }
# Note: use IPLANET for SunONE
LDAPServerType=DOMINO502
#LDAPBindID: The user ID for LDAP Bind authentication
# See LDAP examples below:
# IBM Directory Server: { uid=wpsbind,cn=users,dc=yourco,dc=com }
# Domino:
{ cn=wpsbind,o=yourco.com }
# Active Directory:
{ cn=wpsbind,cn=users,dc=yourco,dc=com }
# SunOne:
{ uid=wpsbind,ou=people,o=yourco.com }
# Novell eDirectory
{ uid=wpsbind,ou=people,o=yourco.com }
LDAPBindID=cn=wpsbind,o=<Domino Domain>
#LDAPBindPassword: The password for LDAP Bind authentication
LDAPBindPassword=wpsbind
#WmmSystemId: The user ID for WMM system identification
# WMMUR DB : <wmmsystemid>
# See LDAP examples below:
# IBM Directory Server: { uid=<wmmsystemid>,cn=users,dc=yourco,dc=com }
# Domino:
{ cn=<wmmsystemid>,o=yourco.com }
# Active Directory:
{ cn=<wmmsystemid>,cn=users,dc=yourco,dc=com }
# SunOne:
{ uid=<wmmsystemid>,ou=people,o=yourco.com }
# Novell eDirectory
{ uid=<wmmsystemid>,ou=people,o=yourco.com }
WmmSystemId=cn=wpsbind,o=<Domino Domain>
#WmmSystemIdPassword: The password for WMM system identification
WmmSystemIdPassword=wpsbind
:
-20-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.3.5. Advanced LDAP Configuration
################################################################
# Advanced LDAP Configuration - BEGIN
################################################################
# LDAPSuffix: The LDAP suffix appropriate for your LDAP server
# IBM Directory Server: { dc=yourco,dc=com }
# Domino value is null
# Domino:
{ }
# Active Directory:
{ dc=yourco,dc=com }
# SunOne:
{ o=yourco.com }
# Novell eDirectory
{ o=yourco.com }
LDAPSuffix=
# LdapUserPrefix: The LDAP user prefix appropriate for your LDAP server
# IBM Directory Server: { uid }
# Domino:
{ cn }
# Active Directory:
{ cn )
# SunOne:
{ uid }
# Novell eDirectory
{ uid }
LdapUserPrefix=cn
# LDAPUserSuffix: The LDAP user suffix appropriate for your LDAP server
# IBM Directory Server: { cn=users }
# Domino:
{ o=yourco.com }
# Active Directory:
{ cn=users }
# SunOne:
{ ou=people}
# Novell eDirectory
{ ou=people }
LDAPUserSuffix=o=<Domino Domain>
# LdapGroupPrefix: The LDAP group prefix appropriate for your LDAP server
# IBM Directory Server: { cn }
# Domino:
{ cn }
# Active Directory:
{ cn }
# SunOne:
{ cn }
# Novell eDirectory
{ cn }
LdapGroupPrefix=cn
# LDAPGroupSuffix: The LDAP group suffix appropriate for your LDAP server
# IBM Directory Server: { cn=groups }
# Domino value is null
# Domino:
{ }
# Active Directory:
{ cn=groups }
# SunOne:
{ ou=groups }
# Novell eDirectory
{ ou=groups }
LDAPGroupSuffix=
# LDAPUserObjectClass: The LDAP user object class appropriate for your LDAP server
# IBM Directory Server: { inetOrgPerson }
# Domino:
{ inetOrgPerson }
Domino5.x :inetOrgPerson
# Active Directory:
{ user }
# SunOne:
{ inetOrgPerson }
Domino6.x :dominoPerson
# Novell eDirectory
{ inetOrgPerson }
LDAPUserObjectClass=dominoPerson
# LDAPGroupObjectClass: The LDAP group object class appropriate for your LDAP server
# IBM Directory Server: { groupOfUniqueNames }
# Domino:
{ groupOfNames }
Domino5.x :groupOfNames
# Active Directory:
{ group }
# SunOne:
{ groupOfUniqueNames }
Domino6.x :dominoGroup
# Novell eDirectory
{ groupOfNames }
LDAPGroupObjectClass=dominoGroup
・
・
-21-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
(続き)
・
・
# LDAPGroupMember: The LDAP group member attribute name appropriate for your LDAP server
# IBM Directory Server: { uniqueMember }
# Domino:
{ member }
Domino5.x : (&(¦(cn=%v)(uid=%v))(objectclass=inetOrgPerson))
# Active Directory:
{ member }
# SunOne:
{ uniqueMember }
Domino6.x : (&(¦(cn=%v)(uid=%v))(objectclass=dominoPerson))
# Novell eDirectory
{ uniqueMember }
# Shared UserRegistry with WebSeal/TAM: { member }
LDAPGroupMember=member
# LDAPUserFilter: The LDAP user filter appropriate for your LDAP server (to work with default values in WMM)
#IBM Directory Server: { (&(uid=%v)(objectclass=inetOrgPerson)) }
#Domino:
{ (&(¦(cn=%v)(uid=%v))(objectclass=inetOrgPerson)) }
#Active Directory:
{ (&(¦(cn=%v)(samAccountName=%v))(objectclass=user)) }
#SunOne:
{ (&(uid=%v)(objectclass=inetOrgPerson)) }
#Novell eDirectory
{ (&(uid=%v)(objectclass=inetOrgPerson)) }
LDAPUserFilter=(&(¦(cn=%v)(uid=%v))(objectclass=dominoPerson))
# LDAPGroupFilter: The LDAP group filter appropriate for your LDAP server (to work with default values in WMM)
#IBM Directory Server: { (&(cn=%v)(objectclass=groupOfUniqueNames)) }
#Domino:
{ (&(cn=%v)(¦(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))
#Active Directory:
{ (&(cn=%v)(objectclass=group)) }
#SunOne
{ (&(cn=%v)(objectclass=groupOfUniqueNames)) }
#Novell eDirectory
{ (&(cn=%v)(objectclass=groupOfUniqueNames)) }
LDAPGroupFilter=(&(cn=%v)(objectclass=dominoGroup))
# LDAPGroupMinimumAttributes: This attribute is loaded for group search (performance issues)
LDAPGroupMinimumAttributes=
# LDAPUserBaseAttributes: These attributes are loaded for user login (performance issues)
LDAPUserBaseAttributes=givenName,sn,preferredLanguage
# LDAPUserMinimumAttributes: These attributes are loaded for user search (performance issues)
LDAPUserMinimumAttributes=
#LDAPsearchTimeout: Specifies the timeout value in seconds for an LDAP server to respond before aborting a request.
LDAPsearchTimeout=120
#LDAPreuseConnection: Should set to true by default to reuse the LDAP connection.
# { false ¦ true }
LDAPreuseConnection=true
#LDAPIgnoreCase: Specifies that a case insensitive authorization check is performed.
# { false ¦ true }
LDAPIgnoreCase=true
#LDAPsslEnabled: Specifies whether secure socket communications is enabled to the LDAP server.
# { false ¦ true }
# Set to true if configuring LDAP over SSL
LDAPsslEnabled=false
################################################################
# Advanced LDAP Configuration - END
################################################################
-22-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.3.6. Lotus Domino Directory Properties
また、Lotus Notes ビュー ポートレットなどの Lotus Collaborative Components を用い
るためのプロパティー値もここで一緒に設定しています
##################################################################
# Lotus Domino Directory Properties - BEGIN
##################################################################
# Description: Lotus Collaborative Components required properties
#
to enable Lotus Domino Directory
# LCC.DominoDirectory.Enabled: Is Lotus Domino Directory enabled in the environment?
# { true ¦ false }
LCC.DominoDirectory.Enabled=true
# LCC.DominoDirectory.Server: The Lotus Domino Directory server name.
# { hostname ¦ ip address }
LCC.DominoDirectory.Server= <Domino FQDN>
# LCC.DominoDirectory.Port: The port number for the Lotus Domino Directory server.
# { port number }
LCC.DominoDirectory.Port=389
# LCC.DominoDirectory.SSL: Is SSL used to connect to the Lotus Domino Directory Server?
# { true ¦ false }
LCC.DominoDirectory.SSL=false
##################################################################
# Lotus Domino Directory Properties - END
##################################################################
3.3.7. DB2 Database Properties
データベースのユーザー、及び、パスワードを追記します。
##################################################################
# Database Properties - BEGIN
# DbUser: The database administrator user ID
DbUser=wpsdbuser
# DbPassword: The database administrator password
DbPassword=wpsdbuser
3.3.8. WMM Properties
WMM(Webshere Member Manager)用のデータベースのユーザー、及び、パスワードを追記し
ます。
-23-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
##################################################################
# WMM Properties - BEGIN
# WmmDbUser: The database administrator user ID
WmmDbUser=wpsdbuser
# WmmDbPassword: The database administrator password
WmmDbPassword=wpsdbuser
編集が終わったら、ファイルを保存します。
次に、WAS 「server1」が起動されていること、
「WebSphere_Portal」が停止されてい
ることを確認します。
稼動していなければ、場合に応じて起動/停止させます。
-24-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
3.4. セキュリティーの使用可能化タスクの実行
ここまでの準備が整ったら、タスクを実行します。QShell インターフェースより、以下の
ディレクトリーへ移動し、コマンドを入力します。
/QIBM/UserData/WebAS51/Base/<ポータル・インスタンス>/PortalServer51/config
3.4.1. Collaborative Components 構成のコンフィギュレーション
WPSconfig.sh -instance <ポータル・インスタンス> lcc-configure-dominodirectory
「BUILD SUCCESSFUL」と表示されることを確認します。
3.4.2. LDAP 構成のバリデート
WPSconfig.sh -instance <ポータル・インスタンス> validate-ldap
「BUILD SUCCESSFUL」と表示されることを確認します。
※失敗した場合、wpconfig.properties ファイル内の値を検査します。
3.4.3. LDAP 構成のコンフィグレーション
WPSconfig.sh -instance <ポータル・インスタンス> enable-security-ldap
「BUILD SUCCESSFUL」と表示されることを確認します。
タスクが終了したら、変更を有効にするために「server1」を再起動します(WAS セキュリ
ティが有効になる)。 「WebSphere_Portal」が停止していることを確認します。
3.4.4. WebSphere Portal のログインの確認
ポータルを起動し、http:// <ポータル FQDN>/wps/portal にアクセスし、右上の「ログ
イン」ボタンを押し、管理者(wpsadmin/wpsadmin)または LDAP 上のテスト・ユーザー
(短縮名/インターネットパスワード)でログインできることを確認します。
-25-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
WebSphere Portal Server と Lotus Domino LDAP の連携が適切になされていることが確認
できました。ログインできることを確認したら、一旦ログアウトします。
-26-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
4. WebSphere Application Server と Lotus Domino Server の間のシングル・
サインオンの設定
WebSphere Application Server と Lotus Domino との間にシングル・サインオン (SSO) が
構成されている場合には、ユーザーは、ポータルにサインオンした後、改めて認証情報を
入力しなくても、Lotus Domino ベースのアプリケーションやサービスからの情報を含むポ
ートレットにアクセスすることができます。
シングル・サインオンを使用可能にするためには、WebSphere Application Server および
Lotus Domino の両方に組み込まれている IBM LTPA 機能を使用可能にする必要があります。
Lotus Domino は、WebSphere Application Server によって生成された WebSphere LTPA ト
ークンをインポートします。このトークンは、Lotus Domino ドメイン内のすべてのサーバ
ーに対して使用できます。
WebSphere Portal Server
Domino Server
LTPA
クッキー
Domino
LDAP
複数の Lotus Domino ドメインの間にシングル・サインオンを構成する場合は、同じ
WebSphere LTPA を対象となる Lotus Domino ドメインにインポートする必要があります。
WebSphere Application Server と Lotus Domino の間のシングル・サインオンは、以下の
順序で構成します。
4.1. WebSphere LTPA キーを作成する
4.1.1 server1 が起動していることを確認し、WebSphere 管理コンソールを開始して
ログインする。
ブラウザで以下の URL にアクセスし、wpsbind/wpsbind でログインします。
http:// <ポータル FQDN>:10010/admin
4.1.2 「セキュリティー」>「認証メカニズム」> 「LTPA」の順に選択します。
-27-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
4.1.3 「パスワード」
「タイムアウト」フィールドには wpconfig.properties で設定し
た値が設定されているのを確認する。「鍵ファイル名」フィールドにパスとファイ
ル名を入力する。
例:/was.key
4.1.4 「キーのエクスポート」ボタンをクリックする。
4.1.5 「保管」をクリックして、マスター構成に変更内容を適用する
4.1.6 次の画面で「保管」をクリックする。
-28-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
4.1.7 WebSphere 管理コンソールからログアウトする
4.1.8 作成したキー・ファイルをクライアント PC に FTP などで、転送してください。
4.1.9 server1 を停止する
QSHELL で、/QIBM/ProdData/WebAS51/Base/bin/ディレクトリに移動し、stopServer
server1 ‒instance <ポータル・インスタンス> -user wpsbind -password wpsbind
4.2. Web SSO 構成文書を作成し、LTPA キーをインポートする
Web SSO 構成文書がすでにある場合はそれを使用できますが、ポータルで使用するために
は変更が必要になることがあります。以下では、Web SSO 構成文書を新しく作成するため
のステップを説明します。
4.2.1 Lotus Domino 管理コンソールを開始する。
4.2.2 サーバーに対するアドレス帳を開く。
4.2.3 「設定」タブで、
「サーバー」 - 「すべてのサーバー文書」ビューに移動する。
4.2.4 「Web」メニューから「Web SSO 設定の作成 (Create Web SSO Configuration)」
を選択する。
4.2.5 「キー (Keys)」メニューから「WebSphere LTPA キーの取り込み」を選択する。
SSO 構成がすでに初期化されているというエラー・メッセージが表示された場合
には、「OK」をクリックします。
-29-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
4.2.6 LTPA キー・ファイルのパスと名前を入力し、「OK」をクリックする。
4.2.7 LTPA キーのパスワードを入力し、「OK」をクリックする。
4.2.8 キーのインポートが成功したというメッセージが表示されたら、
「OK」をクリッ
クする。
4.2.9 「DNS ドメイン」フィールドにドメイン・サフィックス「<Domain Name>」を入
力し、
「Domino サーバー名」フィールドに、SSO ドメインに参加する Lotus Domino
Server の完全修飾名「<Lotus Domino Server>/<Lotus Domino Domain>」を追加
する。
*「組織」には何も入力しないでください
4.2.10 「LDAP 領域」フィールドにて、LDAP サーバーのホスト名に「<Domino FQDN>:389」
を入力する。
4.2.11 「保存して閉じる」をクリックする。
-30-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
4.3. マルチサーバー・シングル・サインオン認証を使用可能にする
4.3.1 Lotus Domino Server のサーバー文書を開く。
4.3.2 「インターネット」タブをクリックし、次に「Domino Web Engine」タブをクリ
ックする。
4.3.3 「セッション認証」において「複数サーバー(SSO)」を選択する。
4.3.4 「WebSSO 設定」には「LtpaToken」を選択する。
4.3.5 「保存して閉じる」をクリックする。
4.3.6 Lotus Domino Administrator を終了する。
4.3.7 Lotus Domino サーバー・コンソールで以下のコマンドを発行し、HTTP サービス
を再起動する。
> tell http restart
4.4. シングル・サインオンの確認
4.4.1 WebSphere Portal Server を再起動する。Wpsadmin ユーザーで WebSphere Portal
にログインし、ログインしたらそのままブラウザの URL を以下のようにしてアク
セスします。
http://<Domino Domain>/names.nsf
4.4.2 認証が訊かれることなく DominoDirectory(アドレス帳)にアクセスできたら、
SSO のコンフィギュレーションは適切になされたと言えます。
-31-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
*
*
*
WebSphere Portal Server から参照する Lotus Domino LDAP の設定、および WebSphere
Portal Server と Lotus Domino の LTPA キーによる SSO 設定は以上です。お疲れ様でし
た。
-32-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
5. ポータル&Lotus Domino シングル・サインオン構成
パラメータ
ポータル&Lotus Domino シングル・サインオン構成を行うために、事前に検討が必要な
パラメータです。
ポータルサーバー構成
項目
設定
備考
ポータル URL
<ポータル FQDN>
ポータルサーバーの FQDN 名
<ポータル・インスタンス>
ポータル構成時に設定したイ
ポータル IP アドレス
ポータル・ネットマスク
ポータル・インスタンス名
ンスタンス名
ポータル・インスタンス・デー
/QIBM/UserData/WebAS51/Base/
データディレクトリは、インス
タディレクトリ
< ポ ー タ ル ・ イ ン ス タ ン ス
タンス名に依存します
>/PortalServer51
WAS プロダクトデータ・ディレ
/QIBM/ProdData/WebAS51/Base/
クトリ
ポータル・プロダクトデータ・
デフォルトのパス
変更できません
/QIBM/ProdData/PortalServer51
ディレクトリ
デフォルトのパス
変更できません
Lotus Domino サーバー構成
項目
設定
備考
Lotus Domino URL
<Domino FQDN>
Lotus Domino サーバーの FQDN 名
Lotus Domino IP アドレス
Lotus Domino ネットマスク
Lotus Domino サーバー名
<Domino Server>
ドメイン名
<Domino Domain>
LDAP ポート
389
当手順書では、デフォルトの 389
の場合を対象としています。
LDAP ユーザー・サフィックス
o=<Domino Domain>
ポータル管理ユーザー
wpsadmin
パスワード
ポータルバインドユーザー
パスワード
ポータル管理グループ
wpsadmin
ドメイン名に拠ります
任意に設定
wpsbind
wpsbind
任意に設定
wpsadmins
-33-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
wpsconfig.properties ファイル構成
項目
設定
備考
WasUserid
cn=wpsbind,o=<Domino Domain>
WAS の管理者 ID
WasPassword
wpsbind
WAS の管理者 ID のパスワード
PortalAdminId
cn=wpsadmin,o=<Domino Domain>
ポータルの管理者 ID
PortalAdminPwd
wpsadmin
ポータル管理者 ID のパスワード
PortalAdminGroupId
cn=wpsadmins
ポータル管理者グループ名
LTPAPassword
<LTPA Password>
SSO をするための LTPA キーに入力
するパスワード
SSODomainName
<Domain Name>
SSO を行うドメイン名
LDAPHostName
<Domino FQDN>
Lotus Domino LDAP のホスト名
LDAPAdminUId
cn=wpsadmin,o=<Domino Domain>
LDAP に接続するユーザー名
LDAPAdminPwd
wpsadmin
LDAP に接続するパスワード
LDAPServerType
DOMINO502
LDAPBindID
cn=wpsbind,o=<Domino Domain>
LDAP にバインドするユーザー
LDAPBindPassword
wpsbind
LDAP バインドユーザーのパスワ
ード
WmmSystemId
cn=wpsbind,o=<Domino Domain>
WMM(ユーザーを管理する仕組み)
に使用される ID
WmmSystemIdPassword
wpsbind
WMM 用の ID のパスワード
LDAPSuffix
空白
LdapUserPrefix
cn
LDAPUserSuffix
o=<Domino Domain>
LdapGroupPrefix
cn
LDAPGroupSuffix
空白
LDAPUserObjectClass
Domino Person
Lotus Domino ドメイン名
Lotus Domino の LDAP ユーザーの
オブジェクトクラス
LDAPGroupObjectClass
Domino Group
Lotus Domino の LDAP グループの
オブジェクトクラス
LDAPGroupMember
member
LDAPUserFilter
(&(¦(cn=%v)(uid=%v))
(objectclass=dominoPerson))
LDAPGroupFilter
(&(cn=%v)
(objectclass=dominoGroup))
-34-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
LCC.DominoDirectory.Enabled
true
LCC.DominoDirectory.Server
<Domino FQDN>
LCC.DominoDirectory.Port
389
LCC.DominoDirectory.SSL
false
DbUser
wpsdbuser
i5/OS 上に作成された DB ユーザー
DbPassword
wpsdbuser
DB ユーザーのパスワード
WmmDbUser
wpsdbuser
i5/OS 上に作成された DB ユーザー
WmmDbPassword
wpsdbuser
DB ユーザーのパスワード
Domino サーバーのホスト名
-35-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
付録:「HTTP-HostName」属性を LDAP スキーマに追加する
Lotus Domino 6.x の古いバージョンでは、WebSphere Portal の LDAP 構成に必要な LDAP
スキーマ「HTTP-HostName」が無いケースがあります。その場合、以下の手順で属性文書を
登録することが必要になります。
1. Lotus Notes 管理者 ID にて Lotus Domino Administration または Lotus Notes Client
で、LDAP スキーマ DB(「Domino LDAP Schema(6)」;schema.nsf)を開く。
2. 「All Schema Documents」ビューを選択し、「New Document」 - 「Add Attribute Type」
をクリックする。
3. 「Basic」タブ内で、以下のフィールド情報を入力する。
¾
LDAP name
:HTTP-HostName
¾
OID(object identifier)
:2.16.840.1.113678.2.2.2.2.461
¾
Syntax name
:「Directory String」を選択
¾
Single valued
:Yes
¾
Collective
:No
¾
No user modification
:No
* 「Directory String」 が選択できないときは、Directory String 文書が DB に
無いケースが考えられます。この場合、先に R5 環境の schema50.nsf より、LDAP
Syntaxes の Directory String 文書を先にコピーしておきます
-36-
WebSphere Portal Server Enable V5.1.0.1 for i5 —
Installation and Configuration
4. 「Save & Close」を押して文書を保存する.
5. 「HTTP-HostName」 属性のドラフト文書が 「Draft Documents」 - 「Draft Attribute
Types」ビューに現れるので、選択して「Approve」-「Approve Selected Drafts」を
クリックする。
<以 上>
-37-