とあるきっかけでSSOについて調べてみると、オープンソースでSSOの仕組みを構築出来る、
OpenAMと言うのを見つけた。
ADドメイン環境のWindows端末でSSOが出来るDesktop SSOを試してみたときのmemo
だけど、かなりいろいろ出来る上にLDAPとかの知識ないと、使いこなすのは難しそう。
インストール
現時点での安定版は、OpenAM 11だと思うんだけど、コミュニティ版のページだと、10か開発版しかないみたいです。
ForgeRock BackStageと言うサイトでユーザ登録すると、安定版の11をダウンロードすることが出来ます。
WARファイルをダウンロードして、TomcatのApp Managerから展開するのが楽かな。
デフォルトでアップロード出来るWARファイルのサイズがおそらく50MBとかで、
制限に引っかかるのでmanager/WEB-INF/web.xmlあたりでアップロード出来るサイズを大きくする必要があるかも。
あと、以下の環境変数が必要
- JAVA_OPTS
- -Xmx1024m -XX:MaxPermSize=256m
- CATALINA_OPTS
- -Dcom.iplanet.am.cookie.c66Encode=true
初期設定
いろんなサイトでいろんな事が書かれているんだけど、自分が試した感じだとポイントは次の通り
- インストールする時にアクセスするURLはIPアドレスではなく、FQDNで指定したホスト名で有る必要がある
- Cookieのドメインに関係していて、 http://192.168.100.100:8080/ とかだとダメ。 http://openam.example.com:8080/ で有る必要がある
- 画面イメージ
- ホスト名の逆引きが出来る必要がある
- 環境変数 HOMEに書込が出来ないとダメ
- Tomcatが動いているユーザのホームディレクトリにログなどをはき出すディレクトリが作成されるため
- 画面イメージ
- OpenAMのページにアクセスする
- デフォルト設定の作成をクリック
- デフォルトユーザとデフォルトポリシーエージェントのパスワードを入力
それぞれ8文字以上で、それぞれ別のパスワードである必要がある - 設定の作成をクリック
- 設定が完了しました。と言う表示が出れば、とりあえずOK
ピンバック: OpenAMを使ってみる(2) | TATSUYA.info