Comments
Transcript
IBM Lotus Connections 2.5 の SSO のための IBM... の構成
IBM Lotus Connections 2.5 の SSO のための IBM Tivoli Access Manager
の構成
要約: このホワイト・ペーパーでは、IBM Lotus® Connections 2.5 のシングル・サインオン (SSO) ソリュー
ションとして IBM® Tivoli® Access Manager を構成する方法について説明します。これはオプションで行う
構成ですが、セキュリティー上より安全な環境を提供するために、特にユーザーが広域ネットワーク (WAN)
から Lotus Connections にアクセスする場合は、お勧めします。
目次
1 はじめに ............................................................................................................................................. 2
1.1 環境 ................................................................................................................................................ 2
2 前提条件 ........................................................................................................................................... 2
3 Tivoli Access Manager のインストール ............................................................................................. 4
4 Tivoli Access Manager の構成 ......................................................................................................... 8
4.1 Access Manager Runtime の構成 ................................................................................................. 8
4.2 Access Manager Policy Server の構成 ....................................................................................... 13
4.3 Access Manager Authorization Server の構成 .......................................................................... 19
4.4 Access Manager WebSEAL の構成 ............................................................................................ 21
5 Tivoli Access Manager のフォーム・ベースの認証を使用した SSO のセットアップ .......................... 26
6 トラブルシューティング ...................................................................................................................... 39
7 まとめ .............................................................................................................................................. 41
1 はじめに
シングル・サインオン (SSO) を使用すると、ユーザーは Lotus Connections の1つの機能にログインするだ
けで、再度認証を受けなくても他の機能やリソースに切り替えることができます。
SSO はさまざまな方法で構成することができますが、この文書では、WebSphere® Application Server
Lightweight Third-party Authentication (LTPA) 鍵および Tivoli Access Manager for eBusiness
WebSEAL の透過ジャンクションを使用して SSO を構成する方法について説明します。IBM Tivoli Access
Manager for e-business について詳しくは、Tivoli Access Manager インフォメーション・センター (英語) を
参照してください。
1.1 環境
図 1 に、この文書での、デプロイメントのテスト・トポロジーを示します。ここでは、リモートの HTTP サーバー
に接続された Lotus Connections サーバーを使用しています。これらのサーバーは、ファイアウォールの背
後のプライベート・ネットワークに配置されています。クライアント要求は透過プロキシー・サーバーで代行受信
され、処理されます。ユーザーには、環境にプロキシーが存在することを意識させません。
図 1. テスト・トポロジー
この環境の構成は以下のとおりです。
コンテンツ・サーバー: IBM WebSphere Application Server 6.1 (Lotus Connections をホスト)
Web サーバー: IBM HTTP Server 6.1
WebSEAL サーバー: IBM Tivoli Access Manager 6.0
アプリケーション: Lotus Connections のすべてのコンポーネント
セキュリティー: IBM HTTP Server – WebSphere Application Server SSL が使用可能
2 前提条件
SSO を使用可能にする前に、まず Lotus Connections をインストールし、インストールされた機能に Web
ブラウザーからアクセスできるようにする必要があります。Lotus Connections のインストールに関する一般
情報については、Lotus Connections 2.5 インフォメーション・センターの『インストール』を参照してください。
Tivoli Access Manager for e-business バージョン 6.0 のインストールも完了している必要があります。
始 め る 前 に 、 WebSphere Application Server の Deployment Manager の Integrated Solutions
Console で「統合リポジトリー」セクションの「レルム名」フィールドを確認してください。このフィールドには、
LDAP ホスト 名(FQDN)と同じ値を、ポート番号を含めて指定する必要があります。
例えば、1 次リポジトリーのホスト名が ldapserver.example.com で、ポート番号が 389 である場合は、「レ
ルム名」フィールドに「ldapserver.example.com:389」と入力します (図 2 を参照)。
図 2. 統合リポジトリーの「構成」ウィンドウ
WebSphere Application Server SSO の「ドメイン・ネーム」フィールドが、Tivoli Access Manager サーバー
のドメイン・ネームと同じ値に設定されている必要があります (図 3 を参照)。
図 3. シングル・サインオン (SSO) の「構成」ウィンドウ
これはオプションの構成です。また、次のことに注意してください。
z
バ ー ジ ョ ン 6.1 よ り 前 の WebSphere Application Server で デ プ ロ イ さ れ た 製 品 と Lotus
Connections との間で SSO を使用可能にする場合、あるいはその製品で IBM Lotus Domino® を
使用している場合は、最初に、Lotus Connections 2.5 インフォメーション・センターの『スタンドアロン
LDAP 用のシングル・サインオンの使用可能化』に記載されている手順を実行する必要があります。
z
インストール時に指定した connectionsAdmin というJ2C 別名(エイリアス)は、ご使用の LDAP ディ
レクトリーの有効なユーザーに一致している必要があります。一致しない場合、SSO 用に認証できません。
この別名の資格情報を更新する必要がある場合は、Lotus Connections 2.5 インフォメーション・センタ
ーの『管理資格情報への参照の変更』のトピックを参照してください。
3 Tivoli Access Manager のインストール
Tivoli Access Manager 用にインストールする必要があるインストール・パッケージがいくつかあります。ただ
し、これらのインストール・ウィザードは簡単なので、Access Manager Policy Server (下のステップ 3) のスク
リーン・ショットのみを示します。この例では Microsoft® Windows® システムを使用しています。
注:モジュールのパスについては、以下の表記を使用します。
<TAM_60>
・・・ Tivoli Access Manager V6.0 インストールイメージ
<TAM_60_Security>
・・・ Tivoli Access Manager Web Security V6.0 インストールイメージ
1. GSKit をインストールします。
<TAM_60>¥windows¥GSKit
2. Tivoli Security Utility をインストールします。
<TAM_60>¥windows¥TivSecUtl¥Disk Images¥Disk1¥setup.exe
3. Access Manager Runtime、Access Manager License、Access Manger Authentication Server、およ
び Access Manager Policy Server をインストールします。
注: Lotus Domino LDAP の場合は、Access Manager Runtime の前に IBM Lotus Notes® クライアント
をインストールする必要があります。
<TAM_60>¥windows¥PolicyDirector¥Disk Images¥Disk1¥setup.exe
a.「セットアップ言語の選択 (Choose Setup Language)」ウィンドウで、セットアップ言語を選択します (図 4
を参照)。
図 4. 「セットアップ言語の選択 (Choose Setup Language)」ウィンドウ
b. ウェルカム・パネルが表示されます。「次へ (Next)」をクリックします。
c. ご使用条件に同意し、「はい (Yes)」をクリックします (図 5 を参照)。
図 5. 「ご使用条件 (License Agreement)」ウィンドウ
d. Runtime、License、Policy Server、および Authorization Server の 4 つのパッケージを選択し、「次
へ (Next)」をクリックします (図 6)。
図 6. 「パッケージの選択 (Select Packages)」ウィンドウ
e. Access Manager License のウェルカム・パネルが表示されます。「次へ (Next)」をクリックします (図 7)。
図 7. Access Manager License のウェルカム・パネル
f. ファイルのインストール先のフォルダーを選択し、「次へ (Next)」をクリックします (図 8 を参照)。
図 8. 「インストール先の選択 (Choose Destination Location)」ウィンドウ
g. 「インストールの準備完了 (Ready to Install the Program)」ウィンドウで、下部にある「インストール
(Install)」ボタンをクリックしてインストール・プロセスを開始します (図 9 を参照)。
図 9. 「インストールの準備完了 (Ready to Install the Program)」ウィンドウ
h. インストールが完了したら、「完了 (Finish)」をクリックします (図 10)。
図 10. 「InstallShield ウィザードの完了 (InstallShield Wizard Complete)」ウィンドウ
4. Access Manager Web Security Runtime をインストールします。
<TAM_60_Security>¥windows¥PolicyDirector¥Disk Images¥Disk1¥PDWebRTE¥Disk
Images¥Disk1
5. Access Manager WebSEAL をインストールします。
<TAM_60_Security>¥windows¥PolicyDirector¥Disk Images¥Disk1¥PDWeb¥Disk
Images¥Disk1
6. IBM Tivoli Directory Client をインストールします。
<TAM_60>¥windows¥Directory¥setup.exe
(Domino LDAP の場合は、このステップは不要です。)
4 Tivoli Access Manager の構成
4.1 Access Manager Runtime の構成
以下の手順を実行します。
1. Windows Tivoli Access Manager サーバー・マシンで、「スタート」>「プログラム」>「IBM Tivoli Access
Manager」>「構成」の順に選択します。「Access Manager 構成」ウィンドウが表示されます (この Runtime
パッケージに関連付けられた値「No」が「構成済み」列の下に表示されます)。
2. Access Manager Runtime パッケージを強調表示し、「構成」をクリックします (図 11 を参照)。
図 11. 「Access Manager 構成」ウィンドウ
3. 「レジストリー」ウィンドウが表示されます。デフォルトで「LDAP」が選択されています (図 12 を参照)。「次
へ」をクリックします。
図 12. 「レジストリー」ウィンドウ
4. 「LDAP ホスト名」フィールドはデフォルトでローカル・マシンのホスト名に設定されています (図 13 を参
照)。LDAP ホスト名が正しいことを確認し、「次へ」をクリックします。
図 13. 「LDAP サーバー情報」ウィンドウ
5. 次の「レジストリー・サーバーに対する SSL」ウィンドウで、「レジストリー・サーバーに対する SSL を使用
可能にする」オプションに対して「いいえ」を選択し、「次へ」をクリックします (図 14)。
図 14. 「レジストリー・サーバーに対する SSL」ウィンドウ
6. 「ロギング情報」ウィンドウで、「Tivoli Common Directory をロギング可能にする」チェック・ボックスにチェ
ック・マークを付け、使用するログ・ディレクトリーを参照します (図 15 を参照)。「次へ」をクリックします。
図 15. 「ロギング情報」ウィンドウ
7. 「Access Manager 構成の検討」ウィンドウが表示されます。選択したオプションを確認し、「終了」をクリック
します (図 16 を参照)。
図 16. 「Access Manager 構成の検討」ウィンドウ
8. この構成が完了すると、「構成済み」列の Access Manager Runtime パッケージの値が「Yes」に変わりま
す (図 17 を参照)。
図 17. 「構成済み」の「Yes」値
9. この構成のログ・ファイルを確認するには、前述の「構成」ウィンドウの「ログの表示」ボタンをクリックします
(図 18 を参照)。
図 18. 構成ログの表示
4.2 Access Manager Policy Server の構成
4.2.1 前提条件
最初に、LDAP サーバーでサフィックス (secAuthority=Default) を作成して、Tivoli Access Manager が
LDAP サーバーと通信できるようにします。LDAP でまだサフィックスが作成されていない場合は、以下の手
順を実行します。
(注: Lotus Domino LDAP サーバーの場合は、この手順は必要ありません。ただし、IBM Tivoli Directory
Server、Microsoft Active Directory サーバー、Active Directory Application Mode(ADAM)、Sun One
LDAP サーバー、および Novell eDirectory Server の場合は必要です。)
1. サフィックスを作成する前に、LDAP サーバーを停止します。例えば、Windows システムの場合は、
LDAP マシンの「サービス」フォルダーで、以下を停止します。
•Access Manager WebSEAL-default
•Access Manager Policy Server
•Access Manager Authorization Server
•Access Manager Auto-Start Service
2. 「スタート」>「プログラム」>「IBM Tivoli Directory Server」>「ディレクトリー構成」の順に選択して、IDS
構成ツールを開きます。
3. 「IBM Tivoli Directory Server 構成ツール」ウィンドウが表示されます。ITDS 6 の場合は、コマンド・ウィ
ンドウで「idsxcfg」を使用します。
4. 左側のフレームで、タスクを選択し、「サフィックス管理」を選択します。
5. 右側に「サフィックス管理」ウィンドウが表示されます。「サフィックス DN」の下の空白のフィールドに
「secAuthority=Default」と入力し、「OK」をクリックします。
6. 構成ツールを閉じ、IBM Directory サービスを再起動します。
4.2.2 構成手順
1. Tivoli Access Manager サーバー・マシンで、「スタート」>「プログラム」>「IBM Tivoli Access Manager」>
「構成」の順に選択します。「Access Manager 構成」ウィンドウが表示されます (図 19 を参照してください。
「構成済み」列の下に、Policy Server パッケージに関連付けられた値「No」が表示されます。)
2. Access Manager Policy Server パッケージを強調表示し、「構成」ボタンをクリックします。
3. 「LDAP アドミニストレーター名」フィールドに LDAP アドミニストレーターの識別名を入力し、「LDAP アド
ミニストレーター・パスワード」フィールドにパスワードを入力します。「OK」をクリックします。
注: LDAP サーバーのアドミニストレーターに問い合わせて、LDAP アドミニストレーターの識別名およびパス
ワードなどの情報を入手してください。ここでは、IBM Tivoli Directory Server の例として「cn=root」を使用し
ています。
図 19. 「Access Manager 構成」ウィンドウ
4. 次の「Access Manager アドミニストレーターのユーザー名およびパスワードを指定してください。」のウィン
ドウ (図 20 を参照) で、「パスワード」フィールドおよび「パスワードの確認」フィールドにパスワードを入力し
ます (「ID」フィールドはデフォルトで「sec_master」に設定されています)。
図 20. 「Tivoli Access Manager アドミニストレーター ID」ウィンドウ
5. 「ユーザーとグループのトラッキング情報の形式」ウィンドウで「標準」を選択します (図 21 を参照)。
図 21. ユーザーとグループのトラッキング情報の形式
6. 次のウィンドウでデフォルト値を受け入れます (図 22 に示すように、「SSL ポート」は「7135」、「SSL 証
明書存続期間」は「365」または「1460」、「SSL 接続タイムアウト」は「7200」です)。「OK」をクリックします。
図 22. Access Manager Policy Server の SSL 接続パラメーターの指定
7. プロセスが開始され、「Access Manager ポリシー・サーバーを構成しています」というメッセージが表示さ
れます。LDAP サーバーで「secAuthority=Default」のサフィックスが作成されている場合、構成はエラーな
しで完了します (図 23 を参照)。
図 23. 「Access Manager Policy Server が正常に構成されました」のメッセージ
この結果、「構成済み」列に値「Yes」が表示されます (図 24)。
図 24. 「構成済み」の「Yes」値
8. ただし、LDAP で「secAuthority=Default」のサフィックスが作成されていない場合は、構成が失敗し、エ
ラーがログ・ファイルに記録され、「構成済み」列の下に「一部」という値が表示されます (図 25 を参照)。
図 25. 「一部」構成済みの状況
サフィックスが構成されていない場合のログ・ファイル・のエラーのサンプルを以下に示します。
「HPDRG0201E
LDAP サーバーからエラー・コード 0x20 を受け取りました。エラー・テキスト: 'そのようなオブ
ジェクトは存在しません (No such object)。'」
この構成エラーのステップから回復するには、Policy Server パッケージを強調表示し、「構成解除」ボタンをク
リックして、「一部」構成を構成解除する必要があります (図 26 を参照)。
図 26. 「一部」構成の構成解除
9.
次の画面で、「はい」を選択し、「次へ」をクリックします (図 27 を参照)。
図 27. 「ドメイン情報をレジストリーから永続的に除去」のウィンドウ
プロセスが開始され、「Access Manager ポリシー・サーバーを構成解除しています....」というメッセージが表
示されます。
構成解除が完了すると、「構成済み」列の下に値「No」が表示されます (図 28 を参照)。また、ログ・ファイル
には「正常に構成解除されました」と記録されます。
図 28. 「構成済み」列に再び「No」と表示される
4..3 Access Manager Authorization Server の構成
以下の手順を実行します。
1. 「Access Manager 構成」ウィンドウで、Authorization Server パッケージの「構成済み」列が値「No」に
設定されています (図 29 を参照)。「構成」ボタンをクリックします。
図 29. 「構成済み」が「No」の状況
2. 次の画面で、「ドメイン
リックします。
*」フィールドのデフォルト値 (この例では Default) を受け入れます。「次へ」をク
図 30. Authorization Server の「ドメイン」ウィンドウ
3. 次のウィンドウで、「ドメイン Default のアドミニストレーター ID」フィールドのデフォルト値「sec_master」
を受け入れ、「パスワード」フィールドにパスワードを入力します (図 31)。「次へ」をクリックします。
図 31. 「アドミニストレーター情報」ウィンドウ
4. Authorization Server の「ローカル・ホスト名」フィールドのデフォルト値「<TAM ホスト名>」、「管理要求ポ
ート」のデフォルト値「7137」、および「許可要求ポート」のデフォルト値「7136」を受け入れます (図 32 を参照)。
「OK」をクリックします。
図 32. 「Authorization Server 情報」ウィンドウ
プロセスが実行され、「Access Manager Authorization Server を構成しています...」というメッセージが表示
されます。完了すると、「Access Manager 構成」ウィンドウの「構成済み」状況が「Yes」に変わります。
4..4 Access Manager WebSEAL の構成
1. 「Access Manager 構成」ウィンドウで、Access Manager WebSEAL Server パッケージを選択し、「構
成」をクリックします。次に、「Access Manager WebSEAL 構成」ウィンドウで、もう一度「構成」をクリックしま
す (図 33)。
図 33. 「Access Manager 構成」ウィンドウと「Access Manager WebSEAL 構成」ウィンドウ
2. 「WebSEAL インスタンス名」フィールドのデフォルト値を受け入れます (図 34 を参照)。「次へ」をクリック
します。
図 34. 「インスタンス識別」ウィンドウ
3. 「ホスト名」フィールドと「Listen ポート」フィールドのデフォルト値を受け入れ、「次へ」をクリックします (図
35 を参照)。
図 35. 「WebSEAL サーバー情報」フィールド
4. 「アドミニストレーター ID」フィールドのデフォルト値「'sec_master」を受け入れ、「アドミニストレーター・パス
ワード」フィールドに sec_master のパスワードを入力し、「次へ」をクリックします (図 36 を参照)。
図 36. 「アドミニストレーター識別」ウィンドウ
5. 次のウィンドウでは、「LDAP サーバーとの SSL 通信を使用可能にする」オプションを選択しないでくださ
い。「次へ」をクリックします (図 37 を参照)。「次へ」をクリックします。
図 37. 「LDAP サーバーとの SSL 通信」ウィンドウ
6. 次のウィンドウで、「HTTP アクセス許可」オプションと「セキュア HTTPS アクセス許可」オプションが選択
されていることを確認し、「ポート」フィールドのデフォルト値を受け入れます。「終了」をクリックします (図 38
を参照)。
図 38. 「HTTP/HTTPS/文書ルート・プロパティー」ウィンドウ
7. プロセスが実行され、「WebSEAL サーバーを構成して開始しています」というメッセージが表示され、「状
況」に「開始済み」と表示されます (図 39 を参照)。
図 39. 「Access Manager WebSEAL 構成」ウィンドウ
5 Tivoli Access Manager の認証を使用した LTPA ジャンクションによる SSO
のセットアップ
A. LTPA 鍵 を 用 い た SSO を サ ポ ー ト す る に は 、 Tivoli Access Manager サ ー バ ー と WebSphere
Application Server との間で同じ LTPA 鍵およびパスワードを共有する必要があります。このためには、
WebSphere Application Server の鍵ストアから LTPA 鍵とパスワードをエクスポートし、これらを使用するよう
に Tivoli Access Manager を構成する必要があります。
WebSphere Application Server から LTPA 鍵をエクスポートするには、以下の手順を実行します。
1. WebSphere Application Server の Integrated Solutions Console に管理者としてログインし、「セキュ
リティー」を展開し、「管理、アプリケーション、およびインフラストラクチャーの保護」を選択します。
2. 「認証メカニズムと有効期限」をクリックし、「クロス・セル・シングル・サインオン」セクション (図 40 を参照)
の次のフィールドに値を入力します。
•「パスワード」: 安全で覚えやすいパスワードを入力してください。後でこのパスワードを入力する必要があり
ます。「パスワードの確認」に、同じパスワードをもう一度入力します。
•「完全修飾鍵ファイル名」: エクスポートした LTPA 鍵を格納するファイルの有効なパスとファイル名を指定しま
す。
図 40. クロス・セル・シングル・サインオン
3. 「鍵のエクスポート」ボタンをクリックし、次に「OK」をクリックして、「管理、アプリケーション、およびインフラス
トラクチャーの保護」ページに戻ります。
4. 「Web セキュリティー」を展開し、「一般設定」をクリックします。「無保護の URI にアクセスした場合に使用
可能な認証データを使用する」がまだ選択されていない場合はこれを選択し、「適用」をクリックします (図 41
を参照)。「OK」をクリックし、次に、「保存」をクリックします。
図 41. 「一般設定」ウィンドウ
5. SSL ジャンクションおよび IBM HTTP Server を使用している場合は、ご使用の IBM HTTP Server の
証明書を Tivoli Access Manager の鍵ストアにインポートします。詳しくは、Lotus Connections 2.5 インフ
ォメーション・センターのトピック『IBM HTTP Server の構成』を参照してください。
6. pdadmin ユーティリティーを使用して、ユーザー・レジストリーに既に存在するすべてのユーザーをインポー
トし、そのうちの 1 人を Tivoli Access Manager ユーザーにします。例えば、既存のユーザー・レジストリー
定義から Aamir という名前のユーザーのユーザー情報をインポートするには、次のコマンドを入力します。
user import Aamir "cn=Aamir,cn=users,l=LDAP,dc=ibm,dc=com"
user modify Aamir account-valid yes
詳しくは、IBM Tivoli Access Manager インフォメーション・センターの『ユーザーのインポート』というトピック
を参照してください。
B. 次に、エクスポートした LTPA 鍵を使用して、Tivoli Access Manager で透過パス・ジャンクションを構成
する必要があります。これを行うには、以下の手順を実行します。
1. pdadmin コマンド行ユーティリティーを開きます。このユーティリティーは Tivoli Access Manager
Runtime パッケージの一部としてインストールされます。
2. それぞれのジャンクションに対して、次のコマンドを 1 回入力します。インストールされている機能ごとに、
透過パス・ジャンクションを 1つセットアップする必要があります。
注: コマンドの途中で改行しないでください。改行は印刷の便宜上追加したものです。
server task <WebSEAL-instance-name> create -t ssl
-h <backend-server-name> -x -p <backend-server-port> -i -b ignore -f -A -2
-F <ltpa-token> -Z <ltpa-password> <transparent-path-jct>
ここで、
•<WebSEAL-instance-name> は WebSEAL サーバーの名前です。次の構文を使用します。
<WebSEAL_instance>-webseald-<tam_host_name>
ここで、<WebSEAL_instance> は Lotus Connections を管理するためにセットアップした WebSEAL サ
ーバーのインスタンス名 (例: default) であり、<tam_host_name> は Tivoli Access Manager サーバー
のホスト名 (例: tam.server.example.com) です。以下に例を示します。
default-webseald-tam.server.example.com
•<backend-server-name> は Tivoli Access Manager で認証を管理するサーバーのドメイン・ネーム (例:
IBM HTTP Server) です。
•<backend-server-port> はバックエンド・サーバーで使用するポート番号です。
•<ltpa-token> は WebSphere Application Server からエクスポートした LTPA 鍵を格納するために作成し
たファイルの名前です。
•<ltpa-password> はユーザーが定義したパスワードであり、LTPA 鍵ファイルを暗号化するために使用したも
のです。
•<transparent-path-jct> は各機能の透過パス・ジャンクションです。これは、URL パターンと一致する必要
があり、各 URL パターンごとに 1 回作成する必要があります。オプションは以下のとおりです。
•/activities
•/blogs
•/communities
•/dogear
•/files
•/homepage
•/news
•/mobile
•/profiles
•/search
•/wikis
以下に例を示します。
server task default-webseald-tam.server.example.com create -t ssl
-h another.tam.server.example.com -x -p 443 -i -b ignore -f -A -2
-F c:¥ltpa.key -Z password /profiles
注:
•-2 パラメーターは、LTPA タイプ 2 を使用する場合にのみ必要です。WebSphere Application Server で
は、LTPA 1 と LTPA 2 の両方が許可されます。
•証明書が無効であるというエラーが発生した場合は、<backend-server-name> の証明書を WebSEAL 証
明書ストアにインポートしてからジャンクションを作成してください。
pdadmin コマンド行ユーティリティーの使用方法について詳しくは、Tivoli Access Manager インフォメーショ
ン・センターの『pdadmin を使用したジャンクションの作成 (Using pdadmin to create junctions)』のトピック
を参照してください。
Lotus Connections 2.5 のすべてのコンポーネントに対するジャンクションのリスト:
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /activities
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /blogs
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /communities
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /dogear
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /profiles
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /homepage
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /search
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /news
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /files
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /wikis
server task default-webseald-tam.server.example.com create -t ssl -A -2 -F C:¥ltpa.key -Zpassw0rd
-h http.lc.example.com -x -p 443 -i -b ignore -f /mobile
注: この資料では多数のコマンドについて言及しているため、複数の pdadmin コマンドが格納されたファイ
ル (1 行あたりに 1 つのコマンド) を作成しておくと便利です。それらのコマンドは、まとまって 1 つの完全な
タスクまたは一連のタスクを実行します。例えば、tasks.txt という名前のファイルに前述のコマンドを記述し、
次のコマンドを実行します。
C:¥Program Files¥Tivoli¥Policy Director¥bin>pdadmin -a admin_id -p password
tasks.txt
詳しくは、IBM Tivoli Access Manager インフォメーション・センターの『 複数コマンド・モード (Multiple
Command Mode)』というトピックを参照してください。
3. 次のコマンドを実行して、デフォルトの Lotus Connections アクセス制御リスト (ACL) を作成し、デフォ
ルトの WebSEAL ACL を上書きします。
acl
acl
acl
acl
acl
acl
create
modify
modify
modify
modify
modify
<default-acl-name>
<default-acl-name>
<default-acl-name>
<default-acl-name>
<default-acl-name>
<default-acl-name>
set
set
set
set
set
user sec_master TcmdbsvaBRlrx
any-other Tmdrx
unauthenticated T
group iv-admin TcmdbsvaBRrxl
group webseal-servers Tgmdbsrxl
4. 次のコマンドを実行して、新しいジャンクションに ACL を付加します。
acl
acl
acl
acl
acl
acl
acl
acl
acl
acl
acl
attach
attach
attach
attach
attach
attach
attach
attach
attach
attach
attach
/WebSEAL/lccntam.cn.ibm.com-default/activities <default-acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/blogs <default-acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/communities <default-acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/dogear <default-acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/profiles <default-acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/search <default-acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/news <default-acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/files <default-acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/wikis <default-acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/homepage <default-acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/mobile <default-acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/activities/service/getnonce/forms
<default-acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/activities/service/atom2/forms
<default-acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/roller-ui/feed_form
<default-acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/blogs/roller-ui/rendering/api_form<defau
lt-acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/services/atom_form
<default-acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/blogs/roller-ui/rendering/feed_form<defa
ult-acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/api_form
<default-acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/atom_form
<default-acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/communities/service/atom/forms<default-a
cl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/atom_fba
<default-acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/api_fba
<default-acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/atom/forms
<default-acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/atom2/forms
<default-acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/communities/forum/service/atom/forms<def
ault-acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/homepage/atomfba/mysearch
<default-acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/news/atomfba/service<default-acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/news/atomfba/stories/top<default-acl-nam
e>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/news/atomfba/stories/saved<default-acl-n
ame>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/news/atomfba/stories/container<default-a
cl-name>
C. Lotus Connections サーバーからの Atom フィードは、基本認証を使用して保護する必要があります。フ
ィード・リーダーの多くは、フォーム・ベースの認証を使用した認証をサポートしていないからです。このステップ
では、Atom の HTTP 要求を無保護リソースとして WebSphere Application Server にパススルーするよ
うに Tivoli Access Manager に指示します。WebSphere Application Server は、Lotus Connections の
機能を利用して、必要に応じて要求を認証します。
これを行うには、ACL を定義し、pdadmin コマンド行ユーティリティーを使用して、要求パターンを ACL に
付加します。
1. ACL を定義するには、次のコマンドを入力します。
acl
acl
acl
acl
acl
acl
create
modify
modify
modify
modify
modify
<acl-name>
<acl-name>
<acl-name>
<acl-name>
<acl-name>
<acl-name>
set
set
set
set
set
user sec_master TcmdbsvaBRlrx
any-other Tmdrx
unauthenticated Tmdrx
group iv-admin TcmdbsvaBRrxl
group webseal-servers Tgmdbsrxl
ここで、<acl-name> は 定義する ACL の名前です (例: connections-acl-default)。
注: any-other パラメーターは、他のパラメーターで定義されていない、認証済みユーザーを表します (例:
sec_master または iv-admin)。
2. 認証を必要としないリソースに ACL を付加するには、次のコマンドを実行します。
acl attach /WebSEAL/tam.server.example.com-default/
<object-path> <acl-name>
ここで、<acl-name> は、前のステップで定義した ACL 名です。
acl attach /WebSEAL/lccntam.cn.ibm.com-default/activities/email <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/activities/images/ <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/activities/serviceconfigs
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/msg.jsp <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/approvedmsg.jsp
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/confirmflagged.jsp
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/notify.jsp <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/notifyedit.jsp <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/notifyflagged.jsp
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/notifyquarantined.jsp
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/ownermsg.jsp <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/roller-ui/images/
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/nav/footer.html
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/serviceconfigs <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/communities/mail <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/communities/images/ <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/communities/serviceconfigs
<acl-name>
acl attach
acl attach
<acl-name>
acl attach
acl attach
acl attach
<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/dogear/templates/ <acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/dogear/serviceconfigs
/WebSEAL/lccntam.cn.ibm.com-default/profiles/mail <acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/profiles/images/ <acl-name>
/WebSEAL/lccntam.cn.ibm.com-default/profiles/serviceconfigs
/WebSEAL/lccntam.cn.ibm.com-default/search/atom/search <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/news/serviceconfigs<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/news/atom/stories/public<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/news/atom/stories/top<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/news/atom/stories/saved<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/news/atom/service<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/news/atom/stories/container<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/homepage/atom/mysearch
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/homepage/search <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/homepage/serviceconfigs
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/files/basic/anonymous/atom
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/files/form/anonymous/atom
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/wikis/basic/anonymous/api
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/wikis/form/anonymous/api
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/activities/service/atom
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/activities/service/atom2
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/activities/service/getnonce
<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/activities/service/html/autocompletememb
ers<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/activities/service/html/autocompleteacti
vityname<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/activities/service/html/autocompleteentr
yname<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/roller-ui/feed <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/roller-ui/rendering/api
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/services/atom <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/roller-ui/rendering/feed
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/api <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/atom <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/roller-ui/blog <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/services/xmlrpc
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/communities/service/atom
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/communities/service/json
<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/communities/forum/service/atom<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/atom <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/api <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/json <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/snippet <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/count <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/lisnippet <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/tagsets <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/tagslike <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/people <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/peoplelike <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/tags <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/dogear/xbel <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/atom <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/json <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/vcard <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/photo.do <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/audio.do <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/atom2 <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/search/atom/mysearch <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/files/basic/api <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/wikis/basic/api <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/blogsfeed <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/blogs/blogsapi <acl-name>
Microsoft の SharePoint プラグインの場合は、次のようになります。
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/ibm_semantictagservlet/css/sema
ntictagstyles.css <acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/nav/common/styles/base/standalo
nevcard.css <acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/resources/js-resources.js<acl-n
ame>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/resources/js-attr-resources.js<
acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/javascript/persontag.js<acl-nam
e>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/javascript/persontagui.js<acl-n
ame>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/ibm_semantictagservlet/rest/uns
ecure <acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/ibm_semantictagservlet/javascri
pt/semantictagservice.js <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/css/sametime/main.css
<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/nav/common/styles/images
<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/dojolite_1.2.3/dojo/nls
<acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/resourcestrings.do
<acl-name>
acl attach
/WebSEAL/lccntam.cn.ibm.com-default/profiles/nav/common/styles/base/semantic
tagstyles.css <acl-name>
acl attach /WebSEAL/lccntam.cn.ibm.com-default/profiles/nav/blankie.html
<acl-name>
3. ブログ機能および E メール通知をサポートするために、動的な URL パターンを指定します。
a. テキスト・エディターを使用して、dynurl. conf という名前の dynurl 構成ファイルを作成します。このファイ
ルは、オブジェクトからパターンへのマッピングが格納されたプレーン・テキスト・ファイルです。次に、このファイ
ルに次の内容を追加します。
/blogs/blogsfeed /blogs/*/feed/*
/blogs/blogsapi /blogs/*/api/*
<webseal-instance-docroot>/lib ディレクトリーにファイルを保存します。以下に例を示します。
•AIX®: /usr/Tivoli/PDWeb/www-default/lib
•Linux®: /opt/Tivoli/PDWeb/www-default/lib
•Windows: C:¥Program Files¥Tivoli¥PDWeb¥www-default¥lib
b. 前に作成した ACL を dynurl acl に付加するには、pdadmin コマンド行ユーティリティーを開き、次のコ
マンドを入力します。
注: コマンドの途中で改行しないでください。改行は印刷の便宜上追加したものです。
acl attach /WebSEAL/<tam.server.example.com>-default/blogs/blogsfeed
<acl-name>
acl attach /WebSEAL/<tam.server.example.com>-default/blogs/blogsapi
<acl-name>
ここで、
<tam.server.example.com> は Tivoli Access Manager サーバーのホスト名です。
<acl-name> は前に定義したアクセス制御リストの名前です。
以下に例を示します。
acl attach /default/tam.server.example.com-default/blogs/blogsfeed open
c.サイズの大きなブログを投稿できるようにするには、webseald.conf ファイルを開き、次のパラメーターを追
加 (または変更) します: dynurl-allow-large-posts = yes
d. WebSEAL インスタンスを停止し、再起動します。
4. https を介して WebSeal フォーム・ベースの認証を使用するように Tivoli Access Manager を構成します。
このためには、次のコマンド行を使用して webseald-<server-name>.conf ファイルの [forms] スタンザを更
新します。
forms-auth = https
5. webseald-<server-name>.conf ファイルに次の行を追加して、コンテンツ・フィルタリングを構成します。
[filter-content-types]
type = text/xml
type = application/atom+xml
[script-filtering]
script-filter = yes
rewrite-absolute-with-absolute = yes
6. webseald-<server-name>.conf ファイルを次のように更新して、Tivoli Access Manager を Lotus
Connections のリバース・プロキシーとして構成します。
[server] スタンザに「web-host-name =<tam.server.example.com>」という行を追加します。
[session] スタンザに「use-same-session = yes」という行を追加します。
7. 次の情報を使用して、LotusConnections-config.xml ファイルおよび dynamicHosts 構成要素を更新し
ます。
<dynamicHosts enabled="true">
<host href="http://tam.server.example.com"
ssl_href="https://tam.server.example.com"/>
</dynamicHosts>
注:
•wsadmin クライアントの connectionConfig.py スクリプトを使用して、このタスクを実行することもできま
す。
•web-host-name の完全修飾名と dynamicHosts 構成は一致している必要があります。
8. オプション (コミュニティー・ディレクトリー・サービス拡張機能またはプロフィール・ディレクトリー・サービス拡
張 機 能 を 使 用 可 能 に し た 場 合 の み 必 要 ): Tivoli Access Manager サ ー バ ー を 指 す よ う に 、 Lotus
Connections ディレクトリー・サービス拡張機能を構成します。
これを行うには、構成ファイル LotusConnections-config.xml を開き、次の例を参考にして、URL のホスト
名の部分が Tivoli Access Manager サーバーになるように変更します。
<sloc:serviceReference
communities_directory_service_extension_auth="DSX-Admin"
communities_directory_service_extension_auth_alias="connectionsAdmin"
communities_directory_service_extension_enabled="true"
communities_directory_service_extension_href=
"http://<tam.server.example.com>/communities/dsx/"
profiles_directory_service_extension_auth="DSX-Admin"
profiles_directory_service_extension_auth_alias="connectionsAdmin"
profiles_directory_service_extension_enabled="true"
profiles_directory_service_extension_href=
"http://<tam.server.example.com>/profiles/dsx/"
serviceName="directory"/>
構成設定の編集方法について詳しくは、Lotus Connections 2.5 インフォメーション・センターの『Lotus
Connections ディレクトリー・サービス拡張の使用可能化』のトピックを参照してください。
9. 次のように、LotusConnections-config.xml ファイルを編集して、Tivoli Access Manager authenticator
プロパティーを Lotus Connections の構成に追加します。
<customAuthenticator name="TAMAuthenticator">
<attribute key="AllowSelfSignedCerts" value="true"/>
<attribute key="CookieTimeout" value="9"/>
<attribute key="ConnectionTimeout" value="10"/>
<attribute key="SoTimeout" value="60"/>
<attribute key="MaxTotalConnections" value="40"/>
<attribute key="DefaultMaxConnectionsPerHost" value="15"/>
</customAuthenticator>
なお、CookieTimeout/ConnectTimeOut などの値は環境に応じて適切に設定する必要があります。
D. ユーザーが Lotus Connections をログアウトしたときのシステムの動作を指定します。デフォルトでは、
ユーザーは、SSO 環境で「ログアウト」ボタンをクリックしても、Lotus Connections から完全にログアウトする
訳ではありません。たとえば Tivoli Access Manager が用意する/pkmslogout 画面にリダイレクトさせるには
以下の設定を行います。
1. ログアウト後の動作を実装するには、IBM HTTP Server の構成ファイルを編集する必要があります。こ
のファイルは httpd.conf という名前で、デフォルトでは次のディレクトリーに格納されています。
•AIX: /usr/IBM/HTTPServer/conf
•Linux: /opt/IBM/HTTPServer/conf
•Windows: C:¥IBM¥HTTPServer¥conf
2. /ibm_security_logout への要求を収集し、/pkmslogout にリダイレクトするには、httpd.conf ファイルに
次の rewrite ルールを追加します。
RewriteEngine On
RewriteCond %{REQUEST_URI} /(.*)/ibm_security_logout(.*)
RewriteRule ^/(.*) /pkmslogout [noescape,L,R]
注: これらのルールは、HTTP と HTTPS の両方のエントリーに追加する必要があります。
E. LotusConnections-config.xml フ ァ イ ル 内 の
Cookie の
timeout 属 性 は 、
webseald-<server-name>.conf ファイルの timeout 属性および inactive-timeout 属性の値より小さくな
ければなりません。webseald-<server-name>.conf ファイルの [session] スタンザでこれらの値を確認し、
必要な場合は編集してください。
注 : Tivoli Access Manager 構 成 フ ァ イ ル の timeout パ ラ メ ー タ ー の 値 は 秒 単 位 で 指 定 し ま す が 、
LotusConnections-config.xml ファイルの Cookie Timeout 値は分単位で指定します。次の例を参考にして
ください。
資格情報キャッシュ内のエントリーの最大存続時間 (単位: 分)。これをゼロに設定すると、最大エントリー数で
指定された数のエントリーがキャッシュに入るまで、エントリーは期限切れになることなくキャッシュに残ります。
最大エントリー数に達すると、LRU (最長未使用時間) アルゴリズムに従って、エントリーが期限切れになりま
す。
timeout = 3600
資格情報キャッシュ内の非アクティブ・エントリーの存続時間 (単位: 秒)。無効にするには、ゼロに設定しま
す。
inactive-timeout = 600
6 トラブルシューティング
トラブルシューティングに役立ついくつかのヒントを以下に示します。
A. pdweb.debug および pdweb.snoop のトレース情報を取得するには、pdadmin ユーティリティーで以下
のコマンドを実行します。
pdadmin> server task default-webseald-tam.server.example.com trace set pdweb.debug
0 file path=C:¥pdweb.log
pdadmin> server task default-webseald-tam.server.example.com trace set pdweb.debug9 file
path=C:¥pdweb.log
B. Lotus Connections の問題を記録するために、WebSphere のトレース・ログ・レベルを次のように設定で
きます。
カスタム・オーセンティケーターの問題:
•com.ibm.connections.httpClient.*=all
ディレクトリー・サービスの問題:
•com.ibm.connections.directory.service.*=all
リバース・プロキシーの問題:
•com.ibm.lconn.core.url.*=all
•com.ibm.lconn.core.web.request.*=all
Ajax プロキシーの問題:
•com.ibm.ws.ajaxproxy.*=all
セキュリティーに関する一般的な問題:
•com.ibm.ws.security.*=all
•com.ibm.websphere.security.*=all
これを行うには、WebSphere Application Server の Integrated Solutions Console に管理者としてログ
インし、「ロギングおよびトレース」> <server_name> >「Diagnostic Trace Service」>「ログ詳細レベルの変
更」の順に選択し、必要に応じて前述のトレース・ログ・レベルを追加します (図 42 を参照)。
図 42. 「ログ詳細レベルの変更」ウィンドウ
C. ユーザーがホーム・ページにログインしようとすると「うまくいきません」というエラーが表示されます。
原因: この問題は、大/小文字の区別の問題が原因で発生します。WebSEAL からの有効な認証トークンであ
っても、大/小文字が正しく区別されていないと、WebSphere Application Server で拒否される場合がありま
す。
解決策: LDAP ユーザーを Tivoli Access Manager ユーザー・リポジトリーにインポートするときに、ユーザ
ーの識別名が WebSphere Application Server で指定されている基本識別名に一致していることを確認し
てください。特に、大/小文字の違いに注意してください。
7 まとめ
Lotus Connections 2.5 のシングル・サインオン・ソリューションとして IBM Tivoli Access Manager を構成
する手順を理解していただけたと思います。これで、強力なセキュリティー保護機能を使用して、ユーザーは 1
回ログインするだけで Lotus Connections の任意の機能にアクセスできるようになります。
商標
•IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines
Corp. の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があり
ます。現時点での IBM の商標リストについては、http://www.ibm.com/legal/copytrade.shtml をご覧くだ
さい。
•Microsoft および Windows は、Microsoft Corporation の米国およびその他の国における商標です。