|
Interstage Application Server シングル・サインオン運用ガイド
|
目次
索引
 
|
3.4.3 認証サーバとリポジトリサーバを複数配置し負荷分散するシステム構成(大規模システム)
認証サーバとリポジトリサーバを複数配置することにより、“認証サーバを複数配置し負荷分散するシステム構成(中規模システム)”よりもクライアント台数や同時アクセス数が多い大規模向けのシステムを構成することができます。
リポジトリサーバを更新系と参照系と用途に応じて使い分けることにより、認証処理におけるリポジトリサーバの負荷を分散することができます。また、認証サーバに複数の参照系リポジトリサーバを指定することで、運用系と待機系のリポジトリサーバを構築することができます。このシステム構成により、リポジトリサーバにトラブルが発生した場合でも運用を継続することができます。なお、更新系リポジトリサーバのSSOリポジトリの情報を更新した場合は、InfoDirectoryのシャドウイング機能を使用することにより参照系リポジトリサーバのSSOリポジトリへ更新内容を自動的に反映することができます。シャドウイング機能の詳細については、“InfoDirectory使用手引書”を参照願います。
業務サーバ/認証サーバ/リポジトリサーバは、別々のマシン上に構築します。
上記の設定例では、“autneticate_server1.fujitsu.com”と“autneticate_server2.fujitsu.com”の認証サーバを配置します。ロードバランサには、それぞれの認証サーバのホスト名を設定するのではなく、“autneticate_server.fujitsu.com”という論理的な1つのホスト名を設定します。また、2台の参照系リポジトリサーバの一方に負荷が集中しないように考慮し、各認証サーバが最初に接続する参照系リポジトリサーバを変更しています。
- 認証サーバ“autneticate_server1.fujitsu.com”の場合
更新系リポジトリサーバ :“repository_server1.fujitsu.com”
参照系リポジトリサーバ(正):“repository_server2.fujitsu.com”
参照系リポジトリサーバ(副):“repository_server3.fujitsu.com”
- 認証サーバ“autneticate_server2.fujitsu.com”の場合
更新系リポジトリサーバ :“repository_server1.fujitsu.com”
参照系リポジトリサーバ(正):“repository_server3.fujitsu.com”
参照系リポジトリサーバ(副):“repository_server2.fujitsu.com”
(正)は優先して接続される参照系リポジトリサーバのことを指します。
(副)は(正)がダウンしていた場合に接続される参照系リポジトリサーバのことを指します。
本システム構成では、以下に示す点について注意してください。
- 複数の認証サーバは、論理的に同じホスト名となるようにロードバランサやInterstage Traffic Directorを設定してください。上記の例では、認証サーバは「authenticate_server1.fujitsu.com」と「authenticate_server2.fujitsu.com」というホスト名ですが、「authenticate_server.fujitsu.com」というホスト名で、ポート番号を443で設定してください。
- 複数の認証サーバで使用するSSL通信の証明書の所有者名には、論理的に同じホスト名となるように設定されたホスト名をFQDN(Fully Qualified Domain Name)で指定する必要があります。上記の例では、「authenticate_server.fujitsu.com」というホスト名で証明書の取得申請を行い、発行された証明書をSSL通信の環境に登録してください。
- 認証サーバの定義ファイルは、接続する参照系リポジトリサーバ(reference-repository)を除き同じ設定内容としてください。
- 参照系リポジトリサーバの定義ファイルは、更新系リポジトリサーバと同じ設定内容としてください。ただし、SSOリポジトリの管理者DN(repository-bind-dn)およびパスワードから作成したBINDパスワード管理ファイル(repository-bind-password-path)が参照系リポジトリサーバと更新系リポジトリサーバで異なる場合は、それぞれの環境に合わせて設定してください。また、サービスIDファイルは更新系リポジトリサーバで作成したものをコピーして使用してください。
- 更新系リポジトリサーバと参照系リポジトリサーバは、同じエディション/バージョンで構成してください。
- 認証サーバの定義ファイルに参照系リポジトリサーバ(reference-repository)を設定した場合は、設定した順番にしたがって認証サーバから接続を試みます。設定した参照系リポジトリサーバすべてに対して接続を試み、接続できなかった場合は再度最初に接続した参照系リポジトリサーバに接続を試み、すべて接続できなかった場合には利用者の認証に失敗します。また、更新系リポジトリサーバに接続できなかった場合も、利用者の認証に失敗します。
- 業務サーバの定義ファイルに設定する「AuthServerURL」は、ロードバランサやInterstage Traffic Directorで設定した仮想IPアドレスのホスト名を設定してください。上記の例では、「authenticate_server.fujitsu.com」を設定します。
- ロックアウトの解除などSSOリポジトリの内容を変更する場合は、更新系リポジトリのSSOリポジトリを変更してください。変更後、InfoDirectoryのシャドウイング機能にて参照系リポジトリのSSOリポジトリに変更内容が反映されます。
- ロックアウトとなった場合やロックアウトを解除した場合は、更新系リポジトリサーバのアクセスログやシステムのログに登録されます。
- InfoDirectoryのシャドウイング機能を設定する場合、更新系リポジトリサーバのDSAを“サプライヤ”、参照系リポジトリのDSAを“コンシューマ”として設定してください。なお、“サプライヤ”と“コンシューマ”のDSAを作成する際には、必ず連携アプリスキーマとして【Interstage シングル・サインオン】を設定してください。また、“コンシューマ”のDSAを作成する場合は、トップエントリには何も設定しないでください。
“サプライヤ”側のマシンで、“コンシューマDSAの詳細設定”を行う場合は、【パスワードシャドウ】を設定してください。
- 雛型のLDIFファイルを使用する場合は、更新系リポジトリサーバのSSOリポジトリ(“サプライヤ”のDSA)に適用してください。適用した内容は、InfoDirectoryのシャドウイング機能により参照系リポジトリサーバのSSOリポジトリ(“コンシューマ”のDSA)に反映されます。
- SSOリポジトリに格納されているロール定義の変更/追加/削除した場合は、更新系リポジトリサーバと参照系リポジトリサーバの両サーバ上でロール情報更新コマンド(ssorfinfsv)を実行してください。なお、InfoDirectoryのシャドウイング機能を使用して更新系リポジトリサーバのSSOリポジトリの変更内容を参照系リポジトリサーバに反映している場合は、参照系リポジトリサーバのSSOリポジトリに変更内容が反映されているかInfoDirectoryの管理ツールなどを使用し、確認してからロール情報更新コマンド(ssorfinfsv)を実行してください。あるいは、利用者が少ない夜間などの時間帯にロール情報更新コマンド(ssorfinfsv)を実行するよう考慮してください。
- Windows Server(TM) 2003では、InfoDirectoryのシャドウイング機能を使用して更新系SSOリポジトリと参照系SSOリポジトリの内容の同期を取る事ができません。
InfoDirectoryのシャドウイング機能の設定や“サプライヤ”のDSA、“コンシューマ”のDSAの作成方法については“InfoDirectory使用手引き”−“D.3 シャドウイング設定”を参照してください。
ロール情報更新コマンド(ssorfinfsv)の詳細については、“リファレンスマニュアル(コマンド編)”を参照してください。
3.4.3.1 基本認証による運用を行う場合
- 3.4.3.2 証明書認証による運用を行う場合
- 3.4.3.3 利用者ごとに基本認証と証明書認証による運用を使い分ける場合
- 3.4.3.4 基本認証と証明書認証の両方の認証方式を使用し強固なユーザ認証を行う場合
All Rights Reserved, Copyright(C) 富士通株式会社 2005