OpenAM インストール

目次

FrontPage
・Windows11
・Chromebook
・Random
・機械学習
・さくらVPS
・Fedora13
・SuSe10
・Docker
・Ansible
・Java
・Scala
・Python
・Ruby
・Lisp
・Computer
・GIS
・HTML
・Culture
・Link

訪問者

total: 52142
today: 1
yesterday: 0
now: 1

更新

最新の10件

人気の10件

MenuBar

Open AMってなんじゃ？ †

• SSO (Single Sign On) を実現するためのアプリケーション。
• ユーザは、一回認証するだけで、複数のサービスを使うことができる
• Open AM は、サーバ と Agent からなる
  • サーバは、Java EE アプリ (warで提供される)
  • アプリケーションが載っている HTTP サーバには、Agent を組み込む
• 利用シナリオ
  1. ユーザが、Java EE アプリにアクセスする
  2. Glassfish の Agent が、Open AM サーバのログイン画面へのリダイレクト要求をブラウザに返却する。Java EE アプリへの処理要求は実行されない
  3. ブラウザは、Open AM サーバのログイン画面を表示
  4. ユーザが正しいユーザ名・パスワードを入力
  5. Open AM サーバは、SSO Token と 最初の Java EE アプリへの処理要求へのリダイレクト要求をブラウザに返却する
  6. ブラウザは、最初の Java EE アプリへの処理要求を再実行する (SSO Token を添付)
  7. Glassfish の Agent は、Open AM サーバと通信を行い、SSO Token をチェック。OK ならば Java EE アプリへ処理要求をスルーする
  8. ユーザが、Apache の CGI アプリへ処理要求を行う (SSO Token を添付)
  9. Apache の Agent は、Open AM サーバと通信を行い、SSO Token をチェック。OK ならば CGI アプリへ処理要求をスルーする。 このとき認証は不要(SSO!)
• Open AM は、ユーザ情報を Unix PAM、Active Directory、RDB、LDAP ・・・ に格納する。(Open LDAP には正式対応していない)
• Java EE サーバに Agent を組み込むと、JAAS として機能する。(req.getRemoteUser?() とか、req.getPrincipal() とか、req.isUserInRole?() とかが使える)
• Web サーバの場合には、環境変数に SSO Token が格納される。SSO Token をキー項目として Open AM の REST インタフェースでユーザ情報を取得可能。
• 生い立ち

                                                |
  OpenSSO Express 8    → OpenSSO Express 9β ─|→ Forge Rock OpenAM 9
          ↓                                    |
  Sun OpenSSO Enterprise 8  ──────────|→ (開発中止)
                                                |
                                     Oracle による Sun 買収(2009)

  • Sun は、オープンソースコミュニティと共同で Open SSO を開発していた
    • 無料の Express版 をオープンソースコミュニティで開発
    • Express版を修正し、サポート契約をつけた Enterprise版を販売
  • Oracle による Sun 買収後、開発中止になる。（Enterprise 版の有償サポートは継続)
  • Open SSO の開発コミュニティーおよび元Sunの社員が Forge Rock 社を創設し、開発が中断されていた Open SSO の開発を Open AM として継続 (だから Open AM はバージョン 9から始まる)

/etc/hosts の設定 †

• http://locahost:9080/openam や http://127.0.0.1:9080/openam で管理コンソールにアクセスして設定してはいけない
• http://locahost:9080/openam で管理コンソールにアクセスして設定を行うと、本番で別マシンから SSO のログインをするときに、http://locahost:9080/openam にリダイレクトされてしまう。
  
• 管理コンソールにアクセスした URL で、SSO のログイン画面の URL が設定されるので、実運用時に使われる URL (http://mycompany.com/openam など)で管理コンソールにアクセスする必要あり
• 今回はお試しなので、/etc/hosts に自マシン名を登録

  $ cat /etc/hosts
  127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4 pine.hondou.homedns.org
  ::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

Javaのインストール †

1. Open JDK 6

   $ sudo yum -y install java-1.6.0*
   
   (中略)
   
   Installed:
    java-1.6.0-openjdk-demo.x86_64 1:1.6.0.0-1.40.1.9.10.el6_1                    
    java-1.6.0-openjdk-devel.x86_64 1:1.6.0.0-1.40.1.9.10.el6_1                   
    java-1.6.0-openjdk-javadoc.x86_64 1:1.6.0.0-1.40.1.9.10.el6_1                 
    java-1.6.0-openjdk-src.x86_64 1:1.6.0.0-1.40.1.9.10.el6_1                     

2. JAVA_HOME の設定

   #!/bin/sh
   
   JAVA_HOME=/usr/lib/jvm/java-1.6.0/
   export JAVA_HOME
   
   JAVA_OPTS="-Xmx1024m -XX:MaxPermSize=256m"
   export JAVA_OPTS

   最近は、 /etc/bashrc に直接記述するのではなく、/etc/profile.d に起動スクリプトを書くらしい。/etc/profile.d/java.sh を作成した。

JavaEEコンテナのインストール †

• Open AM 9.5.3 は、残念ながら Glassfish 3.1 には deploy できない
   
  

  Error occurred during deployment: Exception while loading the app :
  java.lang.IllegalStateException: ContainerBase.addChild: start: 
  org.apache.catalina.LifecycleException:
  org.apache.catalina.LifecycleException:
  javax.servlet.ServletException:
  com.sun.xml.ws.transport.http.servlet.WSServletException:
  WSSERVLET11:
  failed to parse runtime descriptor:
  javax.xml.ws.WebServiceException:
  WSP1007: Policy exception occured when finishing WSDL parsing.. Please see server.log for more details.

• Tomcat 6 / JDK 6 を使う
  • どーせ、Open AM サーバと、アプリケーションが動く Java EE サーバとは別にしないといけないからいいか
  • Agent を アプリ用 Java EE サーバにインストールするとき、[Open AM サーバ起動中] [アプリ用 Java EE サーバ停止] でないといけない。つまり、Open AM サーバに Agent をインストールすることができない
  • Tomcat 7 / JDK 7 にしない方が吉 (2011-11-11現在)

    	Tomcat 6 & JDK 6	Tomcat 7 & JDK 7
    OpenAM サーバ	○	○
    OpenAM コマンドラインツール	○	×
    OpenAM Agent	○	×

1. http://tomcat.apache.org/download-60.cgi から apache-tomcat-6.0.33.tar.gz をダウンロード
2. 展開

   $ cd /opt
   $ sudo mkdir openam
   $ cd openam
   $ sudo tar -xf ~/ダウンロード/apache-tomcat-6.0.33.tar.gz 

3. /etc/rc.d/init.d/openam

   #!/bin/sh
   #
   # openam
   #
   # chkconfig: 35 84 16
   # description: Manage OpenAM SSO Server
   CATALINA_HOME=/opt/openam/apache-tomcat-6.0.33
   export CATALINA_HOME
    
   JAVA_HOME=/usr/lib/jvm/java-1.6.0/
   export JAVA_HOME
   
   JAVA_OPTS="-Xmx1024m -XX:MaxPermSize=256m"
   export JAVA_OPTS
   
   CATALINA_OPTS="-Dcom.iplanet.am.cookie.c66Encode=true"
   export CATALINA_OPTS
   
   case "${1}" in
   start)
     "${CATALINA_HOME}/bin/startup.sh"
     exit ${?}
     ;;
   stop)
     "${CATALINA_HOME}/bin/shutdown.sh"
     exit ${?}
     ;;
   *)
     echo "Usage:  $0 { start | stop }"
     exit 1
     ;;
   esac

   • com.iplanet.am.cookie.c66Encode=true はきわめて重要 > http://blogs.oracle.com/madan/entry/resolvin_cookie_encoding_decoding_issues
   • 環境変数の設定は、$CATALINA_HOME/bin/setenv.sh でやってもよい (startup.sh から呼び出される catalina.sh のなかで setenv.sh が呼び出される)
   • $CATALINA_OPTS は startup 時にしか設定されない。$JAVA_OPTS は startup / shutdown で設定される
4. 自動起動設定

   $ sudo chmod +x /etc/rc.d/init.d/openam
   $ sudo /sbin/chkconfig --add openam
   $ sudo /sbin/chkconfig --list openam
   openam 0:off	1:off	2:off	3:on	4:off	5:on	6:off

5. apache と ajp で接続する場合には、起動順を考える必要がある

   起動時	tomcat(S84) → apache(S85)
   停止時	apache(K15) → tomcat(K16)

   Scientific Linux 6.1 の場合、apache (httpd) は S85, K15 なので、tomcat は S84, K16 にする

   # ls /etc/rc*/* | grep httpd
   /etc/rc0.d/K15httpd
   /etc/rc1.d/K15httpd
   /etc/rc2.d/K15httpd
   /etc/rc3.d/S85httpd
   /etc/rc4.d/K15httpd
   /etc/rc5.d/S85httpd
   /etc/rc6.d/K15httpd

    

   # ls /etc/rc*/* | grep openam
   /etc/rc0.d/K16openam
   /etc/rc1.d/K16openam
   /etc/rc2.d/K16openam
   /etc/rc3.d/S84openam
   /etc/rc4.d/K16openam
   /etc/rc5.d/S84openam
   /etc/rc6.d/K16openam

6. ポートの変更 (9080に変更。アプリケーションを配備する Tomcat と同居するので、デフォルト設定の 8080 からずらす)

   $ cd /opt/openam/apache-tomcat-6.0.33/conf
   $ sudo diff -u server.xml.original server.xml
   --- server.xml.original	2011-11-11 22:56:31.192690899 +0900
   +++ server.xml	2011-11-11 22:57:22.313132730 +0900
   @@ -19,7 +19,7 @@
         define subcomponents such as "Valves" at this level.
         Documentation at /docs/config/server.html
     -->
   -<Server port="8005" shutdown="SHUTDOWN">
   +<Server port="9005" shutdown="SHUTDOWN">
    
      <!--APR library loader. Documentation at /docs/apr.html -->
      <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />
   @@ -66,9 +66,9 @@
             APR (HTTP/AJP) Connector: /docs/apr.html
             Define a non-SSL HTTP/1.1 Connector on port 8080
        -->
   -    <Connector port="8080" protocol="HTTP/1.1" 
   +    <Connector port="9080" protocol="HTTP/1.1" 
                   connectionTimeout="20000" 
   -               redirectPort="8443" />
   +               redirectPort="9443" />
        <!-- A "Connector" using the shared thread pool-->
        <!--
        <Connector executor="tomcatThreadPool"
   @@ -81,13 +81,13 @@
             connector should be using the OpenSSL style configuration
             described in the APR documentation -->
        <!--
   -    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
   +    <Connector port="9443" protocol="HTTP/1.1" SSLEnabled="true"
                   maxThreads="150" scheme="https" secure="true"
                   clientAuth="false" sslProtocol="TLS" />
        -->
    
        <!-- Define an AJP 1.3 Connector on port 8009 -->
   -    <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
   +    <Connector port="9009" protocol="AJP/1.3" redirectPort="9443" />
    
    
        <!-- An Engine represents the entry point (within Catalina) that processes

Opem AM のインストール †

• アプリケーションの取得
  • http://forgerock.org/openam.html
  • openam_953.war をダウンロード
• Tomcat に配備

  $ sudo cp openam_953.war /opt/openam/apache-tomcat-6.0.33/webapps/openam.war

• Tomcat を起動

  $ sudo /etc/rc.d/init.d/openam start

• http://pine.hondou.homedns.org:9080/openam にアクセス。localhost や 127.0.0.1 を使ってはいけない
  
• デフォルト設定の作成 (amAdmin / ampassword 、UrlAccessAgent? / agpassword)
  
   
  
   
  
• ログイン画面で amadmin / ampassword を入力　
  
• 管理コンソールにログインできた
  
• 設定情報はどこに格納されたか？
  • Tomcat の実行ユーザ (root) のホームディレクトリに、Open AM 組み込みの Open DS のディレクトリが格納されている

    # ls /root/openam/
    amAuthSafeWord.xml  bootstrap  install.log  openam  template
    amAuthUnix.xml      config     ldif         opends

  • 設定情報は、2種類
    • Configuration Store : 設定情報を格納
    • Identity Store : ユーザ情報を格納
  • デフォルトインストールでは、どちらも組み込みの Open DS に格納される
  • 外部の LDAP にも格納できるけど・・・スキーマの設定とかめっちゃたいへんなので、インストーラーが作る組み込みの Open DS を使うのが吉

    	Configuration Store	Identity Store
    Sun Directory Server	○	○
    組み込み Open DS	○	○
    Active Directory	×	○
    IBM Tivoli DS	×	○
    外部 Open DS	×	○
    Open LDAP	×	△(*)

    (*) 未対応。ただし一手間加えれば使える。
  • /root/openam/ を消すと初期状態に戻る

Open AM Admin Tool のインストール †

• はまった!!!! I was stacked and lost a lot of time !!! The Open AM Admin Tool 9.5.3 don't run under Java 7. We must use Java 6.

  # /opt/openam/tools/openam/bin/ssoadm --version
  
  OpenSSO 9.5.3 Build 934 (2011-July-29 00:15)
  
  
  Logging configuration class "com.sun.identity.log.s1is.LogConfigReader" failed
  java.lang.NullPointerException
  Exception in thread "main" java.lang.ExceptionInInitializerError
  	at com.sun.identity.log.LogManagerUtil.<clinit>(LogManagerUtil.java:66)
  	at com.sun.identity.log.Logger.<clinit>(Logger.java:84)
  	at com.sun.identity.cli.CommandManager.destroySSOTokens(CommandManager.java:784)
  	at com.sun.identity.cli.CommandManager.<init>(CommandManager.java:203)
  	at com.sun.identity.cli.CommandManager.main(CommandManager.java:150)
  Caused by: java.lang.NullPointerException
  	at com.sun.identity.log.LogManager.addLogger(LogManager.java:131)
  	at java.util.logging.LogManager$1.run(LogManager.java:199)
  	at java.security.AccessController.doPrivileged(Native Method)
  	at java.util.logging.LogManager.<clinit>(LogManager.java:175)
  	... 5 more

• アプリケーションの取得
  • http://forgerock.org/openam.html
  • ssoAdminTools_953.zip をダウンロード
• インストール

  $ sudo mkdir /opt/openam/ssoAdminTools
  $ cd ssoAdminTools/
  $ sudo unzip ~/ダウンロード/ssoAdminTools_953.zip 
  $ su
  # ./setup 
  OpenAM サーバーの設定ファイルのパス (例: /opensso):/root/openam
  デバッグディレクトリ:/opt/openam/ssoAdminTools/debug
  ログディレクトリ:/opt/openam/ssoAdminTools/log
  スクリプトは次のディレクトリに正しく設定されています:  /opt/openam/ssoAdminTools/openam
  デバッグディレクトリは /opt/openam/ssoAdminTools/debug です。
  ログディレクトリは /opt/openam/ssoAdminTools/log です。
  この tools.zip のバージョン:  9.5.3 Build 934 (2011-July-29 00:15)
  サーバーインスタンスのバージョン:  9.5.3 Build 934 (2011-July-29 00:15)

  ${TOOLS_DIR}/${INSTANCE NAME}/bin に、該当する Open AM の INSTANCE を操作するためのコマンドが展開される。
  仕組みとしては、複数の INSTANCE 向けのコマンドを展開できる（それじゃあ SSO の意味がないんで、そうするかは別にして・・・)

Open AM Admin Tool (GUI版) †

• GUI版はインストール時には無効にされているので有効化する

1. [設定]-[サーバおよびサイト]
   
2. [高度] で、'ssoadm.disabled' = 'false' を設定する
   
3. /openam/ssoadm.jsp が使えるようになった
   
   

• 参考文献 : https://wikis.forgerock.org/confluence/display/openam/Activate+ssoadm.jsp

ユーザのノードからグループ名をたどれるようにする †

• OpenAM 9.5.3 のデフォルト設定では、ユーザノードにはグループ名を記載しないようになっている (OpenSSO からの移植ミス? )
• [アクセス制御]-[/最上位のレルム]-[データストア]-[embedded] で、グループメンバーシップの属性名 に memberOf を指定する
  
• これがないと、CGI / J2EE アプリでロール名を取得できない
• この設定をせずに、ユーザを作ってしまった場合には、直に LDAP を操作してつじつまを合わせる。(Group の UniqueMember? を全部消してから、OpenAM で権限を再設定するなど)

ユーザ管理 †

1. [アクセス制御]-[/最上位のレルム]
   
    
   
   • レルム毎に、ユーザ・Agent を設定できる
2. [対象]-[ユーザ] でユーザの追加・削除ができる
   
    
   
3. [対象]-[グループ] でグループの追加・削除ができる
   
4. [対象]-[ユーザ]-[ユーザ名クリック]-[グループ]でユーザをグループに参加させる
   

Open AM の Identity Store †

• Apache Direcotry Studio でのぞいてみる
• 組み込みの Open DS について

  URL	localhost:50389
  管理ユーザ	cn=Directory Manager
  パスワード	ampassword (amadmin のパスワードと同じ)
  Base DN	dc=opensso,dc=java,dc=net

• Identity Store の構造
  
  • ou=groups に権限グループ
  • ou=people にユーザ
• ユーザはこんな感じ
  
• グループはこんな感じ
  
   
  
• 悪いこと言わないから、組み込み以外の LDAP を使おうとは思わないこと (1週間無駄にした )

Java#OpenAM