|
Interstage Application Server シングル・サインオン運用ガイド
|
目次
索引
 
|
2.4.3 負荷分散のため認証サーバを追加する
ここでは、負荷分散のために認証サーバを追加する方法について説明します。
ロードバランサを用いて認証サーバの負荷分散を行う場合、すでに構築済の認証サーバと同一環境の認証サーバを作成する必要があります。
以下に、ssobackupコマンドを用いて、すでに認証サーバが構築されている移出マシンから認証サーバの環境を移出し、ssorestoreコマンドを用いて、認証サーバを追加する移入マシンに認証サーバの環境を移入する手順を説明します。
ssobackup、およびssorestoreの詳細については“リファレンスマニュアル(コマンド編)”の“バックアップコマンド”を参照してください。
ssobackupコマンドでは、Webブラウザに表示するメッセージの移出も行います。このため、認証サーバの移出を行う前に、メッセージのカスタマイズも行うようにしてください。Webブラウザに表示するメッセージのカスタマイズの詳細については、“Webブラウザに表示するメッセージのカスタマイズ”を参照してください。
負荷分散を行うための事前準備
運用中の認証基盤に、新たにロードバランサを追加する際は、以下の点に注意してください。
- 設置済の認証サーバのホスト名をロードバランサに設定し、認証基盤のURLを変更しないようにしてください。認証基盤のURLについては、“認証基盤のURLについて”を参照してください。
移入マシンの準備
移出するマシンと同じディスク構成のマシンを用意します。
移出マシンの資源の取り出し
- 移出マシンでssobackupコマンドを-acオプションで実行し、認証サーバ資源を資源格納ファイルに取り出します。(注)
以下の資源も合わせて移出してください。
- Interstage HTTP Server(注)
- 認証サーバでSSL通信を行っている場合は、Interstage証明書環境を移出してください。(注)
- 統合Windows認証を行っている場合は、IJServerの資源を移出してください。(注)
- 上記1から3で取り出した資源を、移入マシンに転送します。
転送する場合には、第三者に盗聴などされないように注意してください。なお、転送の際、上記1で取り出した資源格納ファイルの権限は変更しないでください。
移入マシンの環境の構築
- 移入マシンで、ssorestoreコマンドを実行し、認証サーバ資源を移入します。(注)
以下の資源も合わせて移入してください。
- Interstage HTTP Server(注)
- 認証サーバでSSL通信を行っている場合は、移出マシンから取り出したInterstage証明書環境資源を移入してください。(注)
認証サーバでSSL通信を行い、かつ負荷分散マシンで同一の証明書の使用が許可されていない場合は、“SSL通信を行うための準備”を参考に、新たにサイト証明書を取得し、Interstage証明書環境へ登録します。このときに、SSL通信に使用する証明書の取得申請時に設定するサイト証明書のニックネームと、SSL通信に使用する証明書の登録時に設定する認証局の証明書のニックネームは、設置済の認証サーバのマシンで設定したものと同じものを設定してください。
- 統合Windows認証を行っている場合は、移出マシンから取り出したIJServerの資源を移入してください。(注)
- リポジトリサーバ(参照系)を構築している場合は、Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブを選択し、[詳細設定[表示]]をクリックしてください。[リポジトリサーバ(参照系)との通信の設定]の[リポジトリサーバ(参照系)のURL]には、移出した認証サーバの環境情報が設定されていますので、運用に合わせて変更し、[適用]ボタンをクリックしてください。
Interstage管理コンソールで定義する項目の詳細についてはInterstage管理コンソールのヘルプを参照してください。
- すべての認証サーバを起動してください。
認証サーバの起動方法については、“認証サーバの起動”を参照してください。
- 移出マシンから取り出した資源格納ファイルを削除してください。
注)資源の移出、および移入については、“運用ガイド(基本編)”の“メンテナンス(資源のバックアップ)”−“他サーバへの資源移行”を参照してください。
ロードバランサを、以下のように設定してください。
■分散方法
認証基盤のURLへのアクセスが、すべての認証サーバに分散されるように設定してください。
|
設定項目 |
設定値 |
|
分散方式 |
ラウンドロビン以外の方式 |
■セションの一意性の保証機能(セッション維持機能)
|
設定項目 |
設定値 |
|
保証方式 |
Cookie、またはURL埋め込みパラメタ(その他)によりセションを識別する |
|
保証時間 |
アイドル監視時間(注)より大きい値 |
|
キーワード |
fj-is-sso-disperse= |
注)アイドル監視時間については、リポジトリサーバのInterstage管理コンソールを使用して、[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ] > [環境設定]タブの[セション管理詳細設定[表示]]をクリックし、[アイドル監視]の[アイドル監視時間]より確認してください。
- 認証サーバの負荷分散を行う場合、複数の認証サーバのInterstage シングル・サインオンは、同一のバージョン、エディション、インストールディレクトリである必要があります。また、プラットフォームも同一のものである必要があります。
- 同じクライアントからのリクエストは、同じ認証サーバにリクエストが転送されるようにロードバランサを設定してください。
- セションの管理を行わない場合は、“ロードバランサの設定”に記載した設定は不要です。
- 認証サーバから取り出した資源格納ファイルはセキュリティ上重要なファイルです。認証サーバの構築後は必ず削除してください。
Copyright 2007 FUJITSU LIMITED