end0tknr's kipple - web写経開発

太宰府天満宮の狛犬って、妙にカワイイ

OpenAM + openLDAPによる シングル・サイン・オン(SSO)環境の構築 入門? 1

colinux環境へのopenldap install - ポイントは BerkeleyDB - end0tknrのkipple - web写経開発
今回は、前回構築したopenLDAPに対し、統合ユーザ認証を行うOpenAMを適用します

参考

詳細なインストール方法は、次のurlが参考になりますので、ここではポイントだけ記載しておきます。
http://openstandia.jp/oss_info/openam/
http://codezine.jp/article/detail/6319

OpenAMの入手

http://forgerock.com/products/open-identity-stack/openam/
2014/11現在、最新のOpenAMは、ver.11.0.2ですが、このverは subscription only となっていた為、ver.11.0.0のwarファイルを利用することにしました

$ wget https://backstage.forgerock.com/downloads/enterprise/openam/openam11/11.0.0/OpenAM-11.0.0.war

OpenAMのinstall

warファイルを配備し、tomcatを再起動するだけです

$ su -
# /etc/rc.d/init.d/tomcat stop
# cp /tmp/OpenAM-11.0.0.war /usr/local/tomcat/webapps/openam11_0_0.war
# /etc/rc.d/init.d/tomcat start

tomcatのinstall手順は省略しています

OpenAMの初期設定

OpenAMの初期設定は、tomcat起動後、ブラウザで行いますが、私の環境では、次のurlへアクセスします。
http://colinux.a4.jp:8080/openam11_0_0

最初の画面では「新しい設定の作成」を選択

OpenAMのroot (amadmin)のパスワード設定

OpenAMのサーバ設定


※サーバURLは、初期表示の「http://colinux.a4.jp:8080」を「http://colinux.a4.jp:8080/openam11_0_0」とすることで、この欄とCookieドメインの右側にチェックマークが表示されました。
※設定ディレクトリは、OpenAM自身の設定ですが、私の場合、デフォルトの「/root/openam11_0_0」のままとしました

OpenAMの設定データストア

先程の /root/openam11_0_0 以下に構築されるOpenAMの設定のことかと思いますが、初期表示のままとしました

OpenAMのユーザデータストア設定 - openLDAPの該当項目なし?

「データストアタイプ=汎用LDAP v3」を選択したいとこですが、選択にない為、最低限、次の画面に進める条件を入力しました。
※ユーザデータストアは、OpenAMの初期設定完了後でも可能です

※ルートサフィックス、ログインID、パスワードは、以前、私のcolinux環境にopenLDAPをinstallした際の値です
colinux環境へのopenldap install - ポイントは BerkeleyDB - end0tknrのkipple - web写経開発

OpenAMのサイト設定 - ロードバランサによる負荷分散

今回は単なるお試しなので、初期表示の内容のまま(ロードバランサ=なし)としました

OpenAMのエージェントユーザ(SP ?)のパスワード

デフォルト ポリシーエージェント(UrlAccessAgent)は、SP?がOpenAM IdPへ接続する際のパスワードのようです。

設定作成の実行

OpenAM サーバ(IdP)の初期表示は、ひと区切りです。まだ続きますが、このエントリが長くなってきたので、続きは別に記載します