CA SiteMinder の統合

このシナリオでは、セキュリティ管理者がオペレータ コンソール(OC)を設定して SiteMinder によって保護されるようにする方法について説明します。OC と共に SiteMinder を使用することにより、組織のセキュリティが向上します。さらに、OC およびその他の Web アプリケーションへのシングル サインオン アクセスを実装できます。
uim901
このシナリオでは、セキュリティ管理者がオペレータ コンソール(OC)を設定して SiteMinder によって保護されるようにする方法について説明します。OC と共に SiteMinder を使用することにより、組織のセキュリティが向上します。さらに、OC およびその他の Web アプリケーションへのシングル サインオン アクセスを実装できます。
目次
前提条件
CA UIM Monitor、CA SiteMinder、およびディレクトリ管理について詳しくない場合は、このシナリオの手順を実行しないでください。
このシナリオの手順を使用する前に、以下の前提条件を満たしていることを確認します。
  • CA UIM Monitor (UIM および OC) 7.5 以降がインストールおよび設定されている。
  • CA SiteMinder r12.51 以上が、運用状態の Secure Proxy Server と一緒にインストールされている。
  • SiteMinder 認証、および CA UIM Monitor へのリンク用の LDAP ディレクトリが存在している。以下のディレクトリ サービスがサポートされている。
    • Novell® eDirectory (TM) 8.8 SP1 (20114.57)および Novell ® KDC (Key Distribution Center)サーバ
    • SUN Java Directory Server v5.2
    • Windows 2008 および Windows 2012 Active Directory
LDAP マッピングの確認
以下の表に、ご使用のディレクトリと UIM ハブおよび OC をマップする必要があるユーザ属性とグループ属性を示します。アスタリスク(*)で指定された属性は、OC に対するマッピングが必要です。続行する前に、ご使用のディレクトリ サービス内でこれらの属性を決定することをお勧めします。
以下のセクションの手順を実行する場合、必要に応じてこの表を参照してください。
説明
UIM ハブのマッピング
OC のマッピング
LDAP の例
グループ識別子
filter_group
ldap.import.group.search.filter
objectClass=groupOfNames
グループ名
attr_grp_name
groupName
cn
グループ メンバ
attr_grp_member_name
user
member
グループの説明
attr_grp_description
description
description
ユーザ識別子
---
ldap.import.user.search.filter
objectClass=inetOrgPerson
* ユーザ名
---
screenName
cn
* ユーザ パスワード
---
password
userPassword
* ユーザの名前
attr_usr_firstname
firstName
givenName
* ユーザの姓
attr_usr_lastname
lastName
sn
* ユーザの電子メール
attr_usr_mail、filter_user
emailAddress
mail
ハブ プローブでの LDAP の設定
LDAP サーバにログイン リクエストを転送し、ユーザ グループを含むコンテナにアクセスするようにハブ プローブを設定します。
以下の手順に従います。
  1. インフラストラクチャ マネージャにログインし、ハブ プローブを特定します。
  2. Ctrl キーを押しながらハブ プローブを右クリックし、[RAW 設定]を選択します。
  3. ldap セクションを展開し、テンプレート セクションを展開します。
  4. 適切なディレクトリ サービスを選択し、キー filter_user の値が (&(<loginAttribute>=$loginname)) となるように編集します。
  5. 使用しているディレクトリ サービスに応じて、ディレクトリと一致するように、その他のキーの値を更新する必要がある可能性があります。非常に重要な意味を持つ可能性がある属性を以下に示します。
    • filter_group
    • filter_user
    • attr_grp_name
    • attr_grp_member_name
    • attr_grp_description
    • attr_usr_firstname
    • attr_usr_lastname
    • attr_usr_mail
  6. [OK]をクリックして、変更をコミットします。
    ハブ プローブが再起動します。
  7. インフラストラクチャ マネージャで、ハブ プローブを右クリックし、[Configure]をクリックします。
  8. [General]タブの右下で、[Settings]を選択します。
  9. [LDAP]タブで以下の操作を行います。
    1. [Direct LDAP]を選択します。
    2. [LDAP Authentication]を選択します。
    3. [サーバ名]フィールドで、LDAP サーバの <
      IP
      _
      address
      :
      port
      > を入力します。
    4. [Server Type]ドロップダウン メニューから適切なディレクトリ サービスを選択します。
    5. [LDAP]を選択し、[Authentication Sequence]ドロップダウン メニューから[UIM]を選択します。
    6. [User]フィールドに、管理者権限を持つディレクトリ ユーザの識別名(DN)を入力します。
    7. 必要に応じて、[Group Container (DN)]および[User Container (DN)]フィールドに識別名(DN)を入力します。
LDAP グループへの ACL のリンク
ACL を LDAP グループにリンクするには、以下の手順に従います。
以下の手順に従います。
  1. インフラストラクチャ マネージャで、[Security]-[Manage Access Control List]を選択します。
  2. アクセス制御リストから選択を行い、[Set LDAP Group]ボタンをクリックします。
  3. リストから LDAP グループを選択します。
  4. 必要に応じて、リスト内の権限を選択または選択解除します。
SiteMinder を有効にするためのポータル設定の変更
以下の手順に従い、portal-ext.properties ファイルを編集して、使用しているディレクトリを OC にマップします。
このセクションの手順では、<loginAttribute> としてディレクトリ属性
mail
を使用します。<loginAttribute> が
mail
でない場合、示されているように、特定の行を編集し直す必要があります。さらに、ポータルの ext.properties ファイルでは行番号は提供されますが、ユーザの portal-ext.properties のファイルの行番号と少し異なる可能性があります。
以下の手順に従います。
  1. インフラストラクチャ マネージャで、wasp プローブを非アクティブにします。
  2. OC システムで、以下のファイルを開いて編集します。
    <
    OC_installation
    >\probes\service\wasp\webapps\ROOT\WEB-INF\classes\portal-ext.properties
  3. 以下のように行 12 を変更します。
    company.security.auth.type=emailAddress
    : <loginAttribute> が
    mail
    でない場合は、以下のように行 12 を変更します。
    company.security.auth.type=screenName
  4. 以下のように行 16 および 17 をコメント アウトします。
    #auth.pipeline.pre=com.firehunter.ump.auth.NmsAuth
    #auth.pipeline.enable.liferay.check=false
  5. 次のように行 188 ~ 191 をコメント解除します。
    ldap.base.provider.url.0=ldap://<server:port>
    ldap.base.dn.0=ou=example,o=com
    ldap.security.principal.0=<DN of directory user>
    ldap.security.credentials.0=<password>
  6. 次のように行 195 および行 196 をコメント解除します。
    ldap.auth.search.filter.0=([email protected][email protected])
    ldap.import.user.search.filter.0=(objectClass=inetOrgPerson)
    : <loginAttribute> が
    mail
    でない場合は、以下のように行 195 を変更します。
    ldap.auth.search.filter.0=(<loginAttribute>[email protected][email protected])
  7. 以下のように行 199 をコメント解除します。
    ldap.import.method=user
  8. 行 201 ~ 203 をコメント解除し、必要に応じて、ディレクトリのマッピングを変更します。
    ldap.user.mappings.0=screenName=cn\npassword=userPassword\nemailAddress=mail\nfirstName=givenName\nlastName=sn\ngroup=ou
    ldap.import.group.search.filter.0=(objectClass=groupOfNames)
    ldap.group.mappings.0=groupName=cn\ndescription=description\nuser=member
    : <loginAttribute> が
    mail
    でない場合は、以下のように行 201 の screenName マッピングを変更します。
    screenName=<loginAttribute>
  9. portal-ext.properties ファイルを保存し、wasp プローブを再アクティブにします。
OC リソースが SiteMinder ポリシー サーバ内で保護されていることの確認
以下の手順に従い、使用している OC リソースが保護されていることを確認します。
以下の手順に従います。
  1. ポリシー サーバ管理 UI にログインします。
  2. <
    UIM_agent
    > など、OC の新規エージェントを作成します。
  3. SPS ACO をコピーし、<
    nimsoft_ACO
    > という名前に変更することで、新しい Agent Configuration Object(ACO)を作成します。
  4. デフォルトのエージェント名キーを変更します。
    DefaultAgentName: <
    nimsoft_agent
    >
  5. オプションでログとトレース パラメータを変更して有効にします。
  6. 作成したエージェント(<
    UIM_agent
    >)を使用して、OC リソースを保護するアプリケーションまたはドメイン ポリシーを定義します。
    1. SiteMinder 認証に使用されるディレクトリは、UIM ハブおよびポータルで定義されたディレクトリと同じです。
    2. 保護する特定の URL を以下に示します。
      • /web*
      • /documents*
      • /user*
      • /group*
    3. リソース タイプ WebAgent-HTTP-Header-Variable を作成します。Attribute Kind として、[User Attribute]を選択します。変数名 UMP_USER および属性名 <loginAttribute> を使用します。
      このレスポンスはすべてのリソースに対して有効にする必要があります。
Secure Proxy Server 設定の編集
このセクションの手順に従い、新しい Web エージェントを作成して OC サーバの仮想ホストを定義します。
OC サーバへの直接アクセスを許可しないでください。ファイアウォール ルールまたはその他の手段によってアクセスを制御する必要があります。
以下の手順に従います。
  1. Secure Proxy Server (SPS)ホストにログインします。
  2. CA SiteMinder Secure Proxy Server Administration Guide」の「Web Agent Settings for the Default Virtual Host」セクションの手順に従って、既存のエージェント設定ファイルをコピーします。
  3. 以下のコマンドを実行します。
    cd C:\Program Files (x86)\CA\secure-proxy\proxy-engine\conf\defaultagent\
    copy WebAgent.conf NimsoftWebAgent.conf
  4. 以下のようにファイル NimsoftWebAgent.conf を変更します。
    AgentConfigObject="<
    nimsoft_ACO
    >"
    ServerPath="ServerPath_nimsoft"
    AgentIdFile="C:\Program Files (x86)\CA\secure-proxy\proxy-engine\conf\defaultagent\NimsoftWebAgentId.dat"
  5. C:\Program Files (x86)\CA\secure-proxy\proxy-engine\conf\ ディレクトリにある SPS server.conf ファイルを編集し、OC 用の VirtualHost エントリをファイルの最後に追加します。
    # Nimsoft UMP Virtual Host
    <VirtualHost name="nimsoftump">
    # The hostname the user sees in their browser
    hostnames="user.visible.hostname.com"
    redirectrewritablehostnames="ALL"
    enableredirectrewrite="yes"
    enablerewritecookiedomain="yes"
    enableproxypreservehost="yes"
    <WebAgent>
    sminitfile="C:\Program Files (x86)\CA\secure-proxy\proxy-engine\conf\defaultagent\NimsoftWebAgent.conf"
    </WebAgent>
    </VirtualHost>
  6. C:\Program Files (x86)\CA\secure-proxy\proxy-engine\conf\ ディレクトリの proxyrules.xml を編集し、リクエストを OC サーバに転送するルールを追加します。
    <nete:proxyrules xmlns:nete="http://www.ca.com/">
    <nete:cond type="host">
    <nete:case value="user.visible.hostname.com:80">
    <nete:forward>http://nimsoft.ump.hostname.com$0>
    </nete:case>
    <nete:default>
    <nete:forward>http://some.other.host.com/404.html>
    </nete:default>
    </nete:cond>
    </nete:proxyrules>
  7. SiteMinder Proxy Engine Windows サービスを再起動します。
  8. このセクションで以前に定義した仮想ホストを介して OC にアクセスできることを確認します。