3.3.3 アクセス制御情報の設定

Interstage Application Server シングル・サインオン運用ガイド

目次索引

第3章環境構築

> 3.3 業務サーバの環境構築

3.3.3 アクセス制御情報の設定

　SSOリポジトリのアクセス制御情報を業務サーバに格納する必要があります。
　業務サーバにアクセス制御情報を格納することで、業務サーバの処理を高速に行うことができます。また、リポジトリサーバの負荷を軽減することができます。

　業務サーバにアクセス制御情報を格納するには、以下の２つの方法があります。

自動で取り込む
アクセス制御情報更新コマンド（ssorfinfaz）を使用して取り込む

　なお、自動で取り込む方法は、環境構築時および業務サーバの追加時に有効です。
　ロール定義の変更、追加を行った場合は、業務サーバの定義ファイルの「repository-server」を設定し、業務サーバを再起動することでアクセス制御情報を格納することもできます。
業務サーバの定義ファイルについては、“業務サーバの定義ファイルの設定”の“詳細設定”を参照してください。

自動で取り込む

　業務サーバの定義ファイル設定時に業務サーバの定義ファイルの「AccessCtl」に“C:\Interstage\F3FMsso\ssoatzag\conf\ssoacsctl”を設定してください。設定値を変更する場合は、必ずC:\Interstage\F3FMsso\ssoatzag\conf配下に格納されているssoacsctlファイルを変更先に格納してください。
　また、業務サーバの定義ファイルの「repository-server」にリポジトリサーバのホスト名を設定してください。
　業務サーバの定義ファイルについては、“業務サーバの定義ファイルの設定”の“基本設定”および“詳細設定”を参照してください。

アクセス制御情報更新コマンド（ssorfinfaz）を使用して取り込む

　以下に、環境例に従ったアクセス制御情報更新コマンド（ssorfinfaz）の使用方法を説明します。
　アクセス制御情報更新コマンド（ssorfinfaz）を実行することで、リポジトリサーバから取り出したアクセス制御情報を格納するアクセス制御情報ファイルが作成されます。

　アクセス制御情報更新コマンド（ssorfinfaz）を使用するには、リポジトリサーバが動作している必要があります。

環境例

リポジトリサーバ(repository_server.fujitsu.com:10550/resinfo)のリポジトリに格納されている業務サーバ（www.fujitsu.com:443）のアクセス制御情報例
業務サーバのホスト名（FQDN）とポート番号
　アクセス制御情報更新コマンド（ssorfinfaz）の"Host:Port"オプションに指定します。
　　www.fujitsu.com:443
リポジトリサーバから取り出したアクセス制御情報を格納するファイルの絶対パス名（業務サーバの定義ファイルの「AccessCtl」に設定するアクセス制御情報ファイルの絶対パス名）
　アクセス制御情報更新コマンド（ssorfinfaz）の-acオプションの後に指定します。
　
　C:\Interstage\F3FMsso\ssoatzag\conf\ssoacsctl
　
　/etc/opt/FJSVssoaz/conf/ssoacsctl
リポジトリサーバのホスト名（FQDN）とポート番号とハンドラ名（ハンドラ名とは、リポジトリサーバを起動しているWebサーバ（Interstage HTTP Server）の定義ファイル（httpd.conf）に設定した「SetHandler ssoatcsv-resourceinfo-handler」の"<Location /"の後に指定した名前）
　アクセス制御情報更新コマンド（ssorfinfaz）の-suオプションの後に指定します。
　　repository_server.fujitsu.com:10550/resinfo
業務サーバに格納したサービスIDファイルの絶対パス名（業務サーバの定義ファイルの「ServiceIDPath」に設定するサービスIDファイルの絶対パス名）
　アクセス制御情報更新コマンド（ssorfinfaz）の-sfオプションの後に指定します。
　
　C:\Interstage\F3FMsso\ssoatzag\conf\domainsid
　
　/etc/opt/FJSVssoaz/conf/domainsid
リポジトリサーバ(repository_server.fujitsu.com:10550/resinfo)のリポジトリに格納されている業務サーバ（www.fujitsu.com:443）のアクセス制御情報にアクセスできるBIND dn
　アクセス制御情報更新コマンド（ssorfinfaz）の-Bdオプションの後に指定します。
　　cn=admin

　以下に上記環境例に従ったアクセス制御情報更新コマンド（ssorfinfaz）の使用例を示します。

ssorfinfaz www.fujitsu.com:443 -ac C:\Interstage\F3FMsso\ssoatzag\conf\ssoacsctl -su repository_server.fujitsu.com:10550/resinfo -sf C:\Interstage\F3FMsso\ssoatzag\conf\domainsid -Bd cn=admin
BIND Password:　　← -Bdオプションで指定したDNに対するパスワードを入力します。(注)

注）入力したパスワードは表示されません。

ssorfinfaz www.fujitsu.com:443 -ac /etc/opt/FJSVssoaz/conf/ssoacsctl -su repository_server.fujitsu.com:10550/resinfo -sf /etc/opt/FJSVssoaz/conf/domainsid -Bd cn=admin
BIND Password:　　← -Bdオプションで指定したDNに対するパスワードを入力します。(注)

注）入力したパスワードは表示されません。

アクセス制御情報は運用する業務サーバごとに定義します。
違う業務サーバのアクセス制御情報を格納して運用した場合、運用した業務サーバの環境とアクセス制御情報が合わず、正しく認可されない場合があります。
業務サーバの前にロードバランサやInterstage Traffic Directorを設置して運用する場合は、host:portオプションにはロードバランサやInterstage Traffic Directorで設定した仮想IPアドレスのホスト名とポート番号を指定してください。
SSOリポジトリで保護リソース情報やパス定義の追加／変更／削除を行った場合は、アクセス制御情報更新コマンド（ssorfinfaz）を実行して、アクセス制御情報ファイルを更新してください。なお、更新系リポジトリサーバと参照系リポジトリサーバを配置して負荷分散している場合は、利用者が少ない夜間などの時間帯にアクセス制御情報ファイルを更新するよう考慮してください。
業務サーバを起動後は必ず保護リソースにアクセスして、認証／認可が行われる事を確認してください。認証／認可が正しく行われない場合は、業務サーバの定義ファイルの設定に誤りがある可能性があります。システムのログに登録されるメッセージ内容を確認し要因を取り除いて下さい。メッセージの詳細については、“メッセージ集”の“メッセージ番号がssoで始まるメッセージ”を参照してください。
アクセス制御情報更新コマンド（ssorfinfaz）の詳細については、“リファレンスマニュアル（コマンド編）”を参照してください。

目次索引