名前
ssomksid - サービスIDファイルの作成
形式
ssomksid serviceidpath {-f FQDN | -n domain-name}
機能説明
以下の場合において必要になるサービスIDファイルを作成します。
JAAS認証を行う場合
Interstage Security Directorが提供するInterstage シングル・サインオン連携機能を使用する場合
本コマンドはSSO管理者が使用します。なお、本コマンドは絶対パスで実行する必要はありません。
以下に、ssomksidコマンドのオプションと引数を説明します。
serviceidpathには、サービスIDファイルの出力先ファイル名を絶対パスで指定します。
出力先ファイルがすでに存在する場合、または出力先ファイルを書き込む権限がない場合は、その旨をエラーメッセージで標準エラー出力に表示してエラーで終了します。
出力先ファイル名が絶対パスで指定されていない場合は、その旨をエラーメッセージで標準エラー出力に表示してエラーで終了します。
FQDNには、サービスIDを使用するJavaアプリケーション、または業務サーバを実行するサーバのホスト名、または業務サーバのホスト名をFQDN(Fully Qualified Domain Name)で指定します。なお、FQDNとdomain-nameは同時に指定することはできません。
domain-nameには、サービスIDを共有する範囲をドメイン名で指定します。業務サーバのサービスIDファイルを作成する場合のみ指定します。なお、FQDN(Fully Qualified Domain Name)とdomain-nameは同時に指定することはできません。
指定するドメイン名が2階層(.co.jpなど)の場合、ブラウザがCookieを受け付けない可能性があります。この場合、運用時にブラウザに403のHTTPのステータスコードが通知されます。3階層以上(.fujitsu.co.jpなど)のドメイン名を指定して、サービスIDファイルを作成し直してください。
指定するドメイン名は、以下の形式で設定してください。
英字、数字、ハイフン(-)、ピリオド(.)以外の文字は使用しないでください。
先頭1文字目は必ずピリオド(.)を設定してください。
2階層以上のドメイン名を指定してください。
以下の場合はエラーになります。設定しないでください。
ピリオド(.)を連続して設定した場合
ピリオド(.)に続けてハイフン(-)を設定した場合
末尾の文字列がピリオド(.)の場合
末尾の文字列がハイフン(-)の場合
サービスIDファイルの作成手順
サービスIDファイルを作成する際には、運用方法により以下の2つのどちらかを指定します。
サーバのFQDN(Fully Qualified Domain Name)を指定して作成する方法
認証情報をFQDNで指定したサーバのみで保持します。-fオプションにサーバのFQDNを指定し、サービスIDファイルを作成してください。通常はこの方法で作成してください。
サーバの属するネットワークのドメインを指定して作成する方法
認証情報をサーバの属するネットワークのドメイン単位で保持します。-nオプションにドメインを指定し、サービスIDファイルを作成してください。この場合、認証情報をドメインで共有するため、より高速な運用が行えます。
ただし、シングル・サインオン専用のドメインを用意するなどして、ドメイン内に不正なサーバが構築されることがないように、厳重に管理する必要があります。
サービスIDを共有するドメイン“.co.jp”と“.com”など全く異なるドメインの単位で設定してください。例えば“.abc.sample.co.jp”と“.sample.co.jp”といったような、包含関係となるドメインを指定しないでください。
また、同一のドメイン内で、-fオプションで作成したサービスIDファイルと、-nオプションで作成したサービスIDファイルを混在させて運用することはできません。例えば、業務サーバ(“hostA.sample.co.jp”)用のサービスIDファイルを-fオプションで“hostA.sample.co.jp”と指定して作成し、業務サーバ(“hostB.sample.co.jp”)用のサービスIDファイルを-nオプションで“.sample.co.jp”と指定して作成した場合も、“hostA.sample.co.jp”と“.sample.co.jp”が包含関係となるため指定しないでください。
例
以下のように、x.abc.co.jpとy.abc.comという業務サーバ用にサービスIDファイルを用意する場合、ドメインが異なっているため業務サーバごとに、“.abc.co.jp”と“.abc.com”でサービスIDファイルを作成します。
ssomksid C:\temp\sid-for-x -n .abc.co.jp
ssomksid C:\temp\sid-for-y -n .abc.com
以下のようにサービスIDを共有するドメインを“.abc.co.jp”と指定すると“x.abc.co.jp”と“y.domain.abc.co.jp”のどちらの業務サーバも同じサービスIDファイルを使用することができます。
ssomksid C:\temp\sid -n .abc.co.jp
例
以下のように、x.abc.co.jpとy.abc.comという業務サーバ用にサービスIDファイルを用意する場合、ドメインが異なっているため業務サーバごとに、“.abc.co.jp”と“.abc.com”でサービスIDファイルを作成します。
ssomksid /tmp/sid-for-x -n .abc.co.jp
ssomksid /tmp/sid-for-y -n .abc.com
以下のようにサービスIDを共有するドメインを“.abc.co.jp”と指定すると“x.abc.co.jp”と“y.domain.abc.co.jp”のどちらの業務サーバも同じサービスIDファイルを使用することができます。
ssomksid /tmp/sid -n .abc.co.jp
注意事項
本コマンドはセション管理の運用を行っていないリポジトリサーバで実行してください。
本コマンドはリポジトリサーバの環境構築後に実行してください。
本コマンドで出力されたファイルは編集しないでください。
本コマンドは管理者権限で実行してください。
本コマンドで作成したサービスIDファイルは、Administratorsグループのみアクセス可能となります。
本コマンドで作成したサービスIDファイルの所有者はスーパユーザとなり、スーパユーザのみアクセス可能となります。
サービスIDファイルを作成するときに、-fオプションに指定するFQDN、または-nオプションに指定するドメイン名が、業務サーバの定義ファイルのFQDNと一致していない場合には、業務サーバの起動時にエラーになるため、サービスIDファイルを再作成する必要があります。この場合、業務サーバとユーザID/パスワードで認証サーバに認証するJavaアプリケーションでサービスIDファイルを共用していた場合でも、Javaアプリケーションへの影響はありません。
において本コマンドを実行する場合は、以下の点に注意してください。
serviceidpathにDOSデバイス名を指定することはできません。
使用例
業務サーバ(FQDN=www.fujitsu.example.com)用のサービスIDファイルをFQDNで作成し、“C:\temp”ディレクトリの“atz.sid”に出力します。
ssomksid C:\temp\atz.sid -f www.fujitsu.example.com |
業務サーバ(FQDN=www.fujitsu.example.com)用のサービスIDファイルを共有するドメイン名“.example.com”で作成し、“C:\temp”ディレクトリの“atz.sid”に出力します。
ssomksid C:\temp\atz.sid -n .example.com |
業務サーバ(FQDN=www.fujitsu.example.com)用のサービスIDファイルをFQDNで作成し、“/tmp”ディレクトリの“atz.sid”に出力します。
/opt/FJSVssosv/bin/ssomksid /tmp/atz.sid -f www.fujitsu.example.com |
業務サーバ(FQDN=www.fujitsu.example.com)用のサービスIDファイルを共有するドメイン名“.example.com”で作成し、“/tmp”ディレクトリの“atz.sid”に出力します。
/opt/FJSVssosv/bin/ssomksid /tmp/atz.sid -n .example.com |
