ここでは、ログイン認証で使用する管理ユーザーの登録手順を説明します。
管理ユーザーの登録情報を更新した場合、asadminコマンド/Interstage Java EE管理コンソールの認証時や、Interstage Java EE DAS/Interstage Java EE Node Agentサービスの起動時に指定する管理ユーザーも更新する必要があります。指定方法の詳細は、「6.1.7 管理ユーザーの指定」を参照してください。
本製品には、システム組み込みのレルムとしてadmin-realmが登録されています。
admin-realmは、asadminコマンド/Interstage Java EE管理コンソールのログイン認証時に使用するための専用のレルムです。
インストール時、または初期化コマンド(ijinitコマンド)実行時のadmin-realmのデフォルトの設定は、以下です。また、admin-realmは削除することができません。
レルムの種類 | ユーザ名 | パスワード | グループ名 |
|---|---|---|---|
fileレルム | admin | なし | asadmin |
注意
asadminグループについて
ユーザーがasadminグループに所属していない場合、ログイン認証に失敗します。このため、ログインユーザーのグループには、asadminグループを必ず含めてください。
admin-realmをfileレルム/ldapレルムに切り替えるには、以下のいずれかの方法を選択できます。
詳細は、Interstage Java EE管理コンソールのヘルプ、またはコマンドの説明を参照してください。
Interstage Java EE管理コンソール
注意
レルムの種類を変更する際は、以下のすべての設定を同一内容で更新してください。各サービス、IJServerクラスタの設定内容が同一でない場合、その後の運用操作に失敗する場合があります。
Interstage Java EE DASサービス
Interstage Java EE Node Agentサービス
すべての作成済みIJServerクラスタ
IJServerのデフォルト設定
以下の手順により、管理ユーザーを編集することができます。fileレルムの詳細は、「6.3.6 fileレルムの設定」を参照してください。
Interstage Java EE管理コンソールを使用する場合
Interstage Java EE管理コンソールへログイン後、[設定]>[server-config]>[セキュリティ]>[レルム]>[admin-realm]を選択し、設定を行います。
注意
レルムの種別、設定はJava EEの全サービス、IJServerクラスタで同一とする必要があります。
各サービス、IJServerクラスタの設定内容が同一でない場合、その後の運用操作に失敗する場合があります。
設定後、必ず以下画面でも同一内容を反映してください。
[設定]>[default-config]>[セキュリティ]>[レルム]>[admin-realm]
[設定]>[クラスタ名-config]>[セキュリティ]>[レルム]>[admin-realm]
[ノードエージェント]>[ijna]>[承認レルム]
注意
「クラス名」「JAASコンテキスト」「キーファイル」は以下の値以外に変更しないでください。
設定名 | 指定値 |
|---|---|
クラス名 | com.sun.enterprise.security.auth.realm.file.FileRealm |
JAASコンテキスト | fileRealm |
キーファイル | ${com.sun.aas.instanceRoot}/config/admin-keyfile |
[ユーザーを管理]ボタンを選択し、ユーザー/グループの追加・更新・削除を行います。
注意
操作は、[設定]>[server-config]>[セキュリティ]>[レルム]>[admin-realm]で表示される画面から行ってください。
Interstage Java EE管理コンソールからログアウト後の次回ログイン時から設定が反映されます。
setサブコマンドを使用する場合
以下のファイルを作成します。
【設定ファイル例】
server-config.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm
server-config.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm
server-config.security-service.auth-realm.admin-realm.property.file=${com.sun.aas.instanceRoot}/config/admin-keyfile
default-config.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm
default-config.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm
default-config.security-service.auth-realm.admin-realm.property.file=${com.sun.aas.instanceRoot}/config/admin-keyfile
testcluster-config.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm
testcluster-config.security-service.auth-realm.admin-realm.property.jaas-context=fileRealm
testcluster-config.security-service.auth-realm.admin-realm.property.file=${com.sun.aas.instanceRoot}/config/admin-keyfile
node-agent.ijna.auth-realm.classname=com.sun.enterprise.security.auth.realm.file.FileRealm
node-agent.ijna.auth-realm.property.jaas-context=fileRealm
node-agent.ijna.auth-realm.property.file=${com.sun.aas.instanceRoot}/config/admin-keyfile
※「testcluster」は作成したIJServerクラスタ名
1.で作成したファイルを--fileオプションに指定し、setサブコマンドを実行します。
setサブコマンドの詳細については、「11.1.4.2 setサブコマンド」を参照してください。
注意
setサブコマンドを使用する場合は、一回のsetサブコマンドの実行でまとめて設定を変更する必要が
あります。
fileレルムのユーザの作成/削除/更新/一覧表示、グループの一覧表示に対応する以下のサブコマンドを実行してください。
注意
上記のサブコマンドを使用して管理ユーザを管理する場合、--authrealmnameオプションに「admin-realm」を指定してください。
上記のサブコマンドを使用して管理ユーザを管理する場合、ターゲットに「server」を指定してください。
注意
「グループの割り当て」について
「グループの割り当て」にasadminグループを指定した場合、admin-realmのすべてのユーザーに、強制的にasadminグループが割り当てられます。admin-realmで管理されるすべてのユーザーにJava EE環境へのログインを許可する場合にのみ指定します。
注意
ユーザアカウント作成時の注意事項
パスワード
8~20文字(推奨値)以内で指定してください。
ユーザの削除
「グループの割り当て」でasadminグループを指定しているかどうかにかかわらず、admin-realmには、グループリストにasadminグループを含むユーザーが最低1名は登録されている必要があります。最後の1名を削除しようとするとエラーとなります。
ログイン後の管理ユーザーのパスワード変更方法
admin-realmにfileレルムを使用している場合、ログイン後の管理ユーザーのパスワードを、asadminコマンドまたはInterstage Java EE管理コンソールから変更することができます。
change-admin-passwordサブコマンド
Interstage Java EE管理コンソールへログイン後、[ドメイン]>[管理者パスワード]を選択して、以下の項目を設定します。
新しいパスワード
新しいパスワードを確認
以下の手順により、管理ユーザを編集することができます。ldapレルムについての詳細は、「6.3.5 ldapレルムの設定」を参照してください。
Interstageディレクトリサービスに、ユーザ/グループを追加します。
注意
ディレクトリサービスでのグループに基づくログイン制限が必要な場合は、asadminグループを登録し、ユーザーを所属させる必要があります。
admin-realmを設定します。
Interstage Java EE管理コンソールへログイン後、[設定]>[server-config]>[セキュリティ]>[レルム]>[admin-realm]を選択し、設定してください。
注意
レルムの種別、設定はJava EEの全サービス、IJServerクラスタで同一とする必要があります。
各サービス、IJServerクラスタの設定内容が同一でない場合、その後の運用操作に失敗する場合があります。
設定後、必ず以下画面でも同一内容を反映してください。
[設定]>[default-config]>[セキュリティ]>[レルム]>[admin-realm]
[設定]>[クラスタ名-config]>[セキュリティ]>[レルム]>[admin-realm]
[ノードエージェント]>[ijna]>[承認レルム]
注意
「クラス名」「JAASコンテキスト」は以下の値以外に変更しないでください。
設定名 | 指定値 |
|---|---|
クラス名 | com.sun.enterprise.security.auth.realm.ldap.LDAPRealm |
JAASコンテキスト | ldapRealm |
Interstage Java EE管理コンソールからログアウト後の次回ログイン時から設定が反映されます。
以下のファイルを作成します。
【設定ファイル例】
server-config.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm
server-config.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm
server-config.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389
server-config.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com
server-config.security-service.auth-realm.admin-realm.property.search-filter=uid=%s
server-config.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d
server-config.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com
server-config.security-service.auth-realm.admin-realm.property.group-target=CN
default-config.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm
default-config.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm
default-config.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389
default-config.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com
default-config.security-service.auth-realm.admin-realm.property.search-filter=uid=%s
default-config.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d
default-config.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com
default-config.security-service.auth-realm.admin-realm.property.group-target=CN
testcluster-config.security-service.auth-realm.admin-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm
testcluster-config.security-service.auth-realm.admin-realm.property.jaas-context=ldapRealm
testcluster-config.security-service.auth-realm.admin-realm.property.directory=ldap://localhost:389
testcluster-config.security-service.auth-realm.admin-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com
testcluster-config.security-service.auth-realm.admin-realm.property.search-filter=uid=%s
testcluster-config.security-service.auth-realm.admin-realm.property.group-search-filter=member=%d
testcluster-config.security-service.auth-realm.admin-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com
testcluster-config.security-service.auth-realm.admin-realm.property.group-target=CN
node-agent.ijna.auth-realm.classname=com.sun.enterprise.security.auth.realm.ldap.LDAPRealm
node-agent.ijna.auth-realm.property.jaas-context=ldapRealm
node-agent.ijna.auth-realm.property.directory=ldap://localhost:389
node-agent.ijna.auth-realm.property.base-dn=ou=interstage,o=fujitsu,dc=com
node-agent.ijna.auth-realm.property.search-filter=uid=%s
node-agent.ijna.auth-realm.property.group-search-filter=member=%d
node-agent.ijna.auth-realm.property.group-base-dn=ou=Group,ou=interstage,o=fujitsu,dc=com
node-agent.ijna.auth-realm.property.group-target=CN
※「testcluster」は作成したIJServerクラスタ名
1.で作成したファイルを—fileオプションに指定し、setサブコマンドを実行します。setサブコマンドの詳細については、「11.1.4.2 setサブコマンド」を参照してください。
注意
setサブコマンドを使用する場合は、一回のsetサブコマンドの実行でまとめて設定を変更する必要が
あります。
注意
「グループの割り当て」について
「グループの割り当て」にasadminグループを指定した場合、Interstageディレクトリサービスへの問い合わせ結果でヒットした全ユーザに、強制的にasadminグループが割り当てられます。
ディレクトリサービスでのグループに基づくログイン制限が不要な場合にのみ指定することを推奨します。
注意
サービスの自動起動について
admin-realmにldapレルムを使用している場合、Interstage Java EE DASサービス、および、Interstage Java EE Node Agentサービスの起動時にInterstageディレクトリサービスを利用した認証が行われます。
システム起動時にInterstageディレクトリサービスよりも先にJava EEのサービスが起動した場合は、サービス起動に失敗するため、システム起動時にInterstage Java EE DASサービス、および、Interstage Java EE Node Agentサービスを自動起動せず、Interstageディレクトリサービスの起動完了後に手動で起動操作を行う必要があります。
サービスの自動起動設定については、「5.2 コマンドを利用した運用」を参照してください。
Interstage Java EE DAS サービスおよびInterstage Java EE Node Agentサービスの再起動
admin-realmの設定を変更した場合は、Interstage Java EE DAS サービスおよびInterstage Java EE Node Agentサービスの再起動を行ってください。
loginサブコマンドおよびchange-service-adminuserサブコマンドの再実施
以下に該当する操作により管理ユーザーの情報が変更されても、loginサブコマンドで生成/更新される「.asadminpass」ファイル、および、設定されているサービス管理ユーザーの情報には反映されません。
admin-realmとして使用するレルムの種類を切り替えた(fileレルム⇔ldapレルム)ことにより、管理ユーザーの増減やパスワードの変更が発生した。
管理ユーザーの削除、所属するグループの変更、またはパスワードの更新を行った。
必要に応じて再度loginサブコマンドを実行してください。
また以下に該当する場合は、asadmin change-service-adminuserサブコマンドにより、サービス管理ユーザーの情報を再設定の上、Interstage Java EE DAS サービスおよびInterstage Java EE Node Agentサービスを再起動してください。
サービス管理ユーザーとして設定しているユーザーが削除された。
サービス管理ユーザーとして設定しているユーザーがasadminグループに属さなくなった。
サービス管理ユーザーのパスワードが変更された。
admin-realmの設定を変更した。
再設定および再起動を行わない場合、Interstage Java EE DAS/Interstage Java EE Node Agentサービスの起動操作が行えなくなります。
長いパスワード
推奨値(8~20文字)を超えるパスワードを使用する場合、以下となることがあります。
asadminコマンド実行時のパスワード入力で、入力が途中で打ち切られる。
この場合は、推奨値以内のパスワードを使用してください。
パスワードの設定方法によっては、長いパスワードが設定できるにもかかわらず、コマンドラインからの入力が行えず、ログインできないことがあります。
admin-realmとしてfileレルム使用時には、Java EE管理コンソールよりログインし、以下によりパスワードを推奨値以内に変更してください。
「ドメイン」>「管理者パスワード」
ldapレルムを使用している場合は、Interstageディレクトリサービスのエントリ管理ツール等を使用してパスワードを推奨値以内としてください。
管理ユーザーIDが「-」で始まる場合
asadminコマンド実行時のオプションで管理ユーザーIDを指定する場合、オプション値として「-」で始まるユーザー名を指定すると、オプションの値が指定されていない、またはオプションが不正である旨のメッセージが出力され、コマンド実行に失敗する場合があります。
例
asadmin change-admin-password --user -a
⇒ISJEE_CLI011メッセージ出力
その場合は、オプションに対する値を「=」により指定してください。
例
asadmin change-admin-password --user=-a
管理ユーザーID、管理者パスワードに使用可能な文字
管理ユーザーIDは1文字以上、255文字以内とし以下の文字で構成してください。
英数字
アンダースコア「_」
ダッシュ「-」
ドット文字「.」
また、管理者パスワードには、マルチバイト文字および、空白や制御コードは使用できません。
パスワードの推奨値については、「1.3.12 Java EEで使用するパスワードに関する注意事項」を参照してください。
上記以外の文字を使用した場合、認証処理や運用操作に失敗する場合があります。
