Interstage Application Server シングル・サインオン運用ガイド

目次 索引

2.4.3 負荷分散のため認証サーバを追加する

　ここでは、負荷分散のために認証サーバを追加する方法について説明します。

　Interstage Traffic Directorなどのロードバランサを用いて認証サーバの負荷分散を行う場合、すでに設置済の認証サーバと同一環境の認証サーバを用意する必要があります。

　Interstage シングル・サインオンでは、同一環境の認証サーバを構築するために、ssocloneacコマンドを提供しています。

　ssocloneacコマンドでは、Webブラウザに表示するメッセージの複製も行います。このため、認証サーバの複製を作成する前に、メッセージのカスタマイズも行うようにしてください。Webブラウザに表示するメッセージのカスタマイズの詳細については、“Webブラウザに表示するメッセージのカスタマイズ”を参照してください。

　以下に、ssocloneacコマンドを用いて、すでに設置済の認証サーバ（複製元のマシン）の環境を、追加する認証サーバ（複製先のマシン）に移行する手順を説明します。ssocloneacコマンドの詳細については“リファレンスマニュアル（コマンド編）”の“シングル・サインオン運用コマンド”を参照してください。

負荷分散を行うための事前準備

　運用中の認証基盤に、新たにInterstage Traffic Directorなどのロードバランサを追加する際は、以下の点に注意してください。

• 設置済の認証サーバのホスト名をInterstage Traffic Directorなどのロードバランサに設定し、認証基盤のURLを変更しないようにしてください。認証基盤のURLについては、“認証基盤のURLについて”を参照してください。
  なお、Interstage Traffic Directorの詳細については、Interstage Traffic Directorのマニュアルを参照してください。

複製先のマシンの準備

1. 複製元のマシンと同一のプラットフォーム、および同一バージョン・エディション・インストールディレクトリのInterstageがインストールされたマシンを用意します。
   なお、複製先のマシンのInterstage シングル・サインオン、Interstage HTTP Server、およびSSL通信を行うためのSSL定義は、インストール直後の状態でなければいけません。

環境情報の取り出し

1. 複製元のマシンでssocloneacコマンドを-pオプションで実行し、認証サーバ、Interstage HTTP Server、およびSSL通信を行うためのSSL定義(注)の環境情報を取り出します。
   負荷分散マシンで同一の証明書の使用が許可されている場合、かつSSLアクセラレータを使用していない場合は、scsexppfxコマンドを用いて、サイト証明書と秘密鍵を移出します。scsexppfxコマンドの詳細については“リファレンスマニュアル（コマンド編）”の“SSL環境設定コマンド”を参照してください。
2. 上記1で取り出した環境情報を、複製先のマシンに転送します。
   転送する場合には、第三者に盗聴などされないように注意してください。なお、転送の際、上記1で取り出した環境情報ファイルの権限は変更しないでください。

注）SSL通信を行うためのSSL定義は、認証サーバでSSL通信を行っている場合だけ取り出されます。

複製先のマシンの環境の構築

1. 認証サーバでSSL通信を行う場合は、複製先のマシンで、scsmakeenvコマンドを-eオプションで実行してInterstage証明書環境を作成します。
   scsmakeenvコマンドの詳細については“リファレンスマニュアル（コマンド編）”の“SSL環境設定コマンド”を参照してください。
2. 認証サーバでSSL通信を行う場合で、かつ負荷分散マシンで同一の証明書の使用が許可されている場合は、scsimppfxコマンドを用いてサイト証明書と秘密鍵を移入します。scsimppfxコマンドの詳細については“リファレンスマニュアル（コマンド編）”の“SSL環境設定コマンド”を参照してください。
   認証サーバでSSL通信を行う場合で、かつ負荷分散マシンで同一の証明書の使用が許可されていない場合は、“SSL通信を行うための準備”を参考に、新たにサイト証明書を取得し、Interstage証明書環境へ登録します。このときに、SSL通信に使用する証明書の取得申請時に設定するサイト証明書のニックネームと、SSL通信に使用する証明書の登録時に設定する認証局の証明書のニックネームは、設置済の認証サーバのマシンで設定したものと同じものを設定してください。
3. 複製先のマシンで、ssocloneacコマンドを-cオプションで実行し、認証サーバ、Interstage HTTP Server、およびSSL通信を行うためのSSL定義(注)の環境を複製します。
4. Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択し、[詳細設定[表示]]をクリックしてください。[リポジトリサーバ(参照系)との通信の設定]の[ホスト名、ポート番号]には、複写元の認証サーバの環境情報が設定されていますので、運用に合わせて変更し、[適用]ボタンをクリックしてください。
   Interstage管理コンソールで定義する項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。
5. リポジトリサーバ（参照系）の設定後、認証サーバを起動してください。
   認証サーバの起動方法については、“認証サーバの起動”を参照してください。
6. 認証サーバの環境情報ファイルを削除してください。

注）SSL通信を行うためのSSL定義は、認証サーバでSSL通信を行っている場合だけ複製されます。

• 認証サーバの負荷分散を行う場合、複数の認証サーバのInterstage シングル・サインオンは、同一のバージョン、エディション、インストールディレクトリである必要があります。また、プラットフォームも同一のものである必要があります。
• 同じクライアントからのリクエストは、同じ認証サーバにリクエストが転送されるようにロードバランサを設定してください。
• ロードバランサにInterstage Traffic Directorを使用する場合、以下のように設定してください。
  • 動作モード：ブリッジ
  • 負荷分散の方法と接続の一意性：ノード単位の分散
• 認証サーバの環境情報ファイルはセキュリティ上重要なファイルです。認証サーバの構築後は必ず削除してください。

目次 索引