サンプル カスタム コネクタの試用
独自のコネクタの開発に役立つように、カスタム コネクタ ソフトウェアには 2 つのサンプル ターゲット コネクタが付属しています。
capam33
独自のコネクタの開発に役立つように、カスタム コネクタ ソフトウェアには 2 つのサンプル ターゲット コネクタが付属しています。
- エコー ターゲット コネクタ(echoTargetConnector.war)– このサンプル コネクタは、アプライアンスから TCF に送信されるリクエストを表示します。このサンプルを使用して、コネクタの UI 定義およびデータ フローを検証します。
- サンプル ターゲット コネクタ(exampleTargetConnector.war)– このサンプルでは、Linux ターゲット デバイス上でパスワードを表示および更新できます。
これらのサンプル コネクタ用 .war ファイルは、
samples
フォルダにあります。これらの一方または両方を使用して、カスタム ターゲット コネクタの動作を理解してください。
サンプル ターゲット コネクタを実稼働環境で使用しないでください。
2
カスタム ターゲット コネクタの設定手順は、標準のコネクタとまったく同じです。サンプル コネクタ アウトを試用する場合は、以下の図に示されている手順に従います。
認証情報マネージャ ターゲット設定タスク
/content/credential_manager_target_configuration_tasks.png/_jcr_content/renditions/original)
一般的な実稼働環境では、アクセス ポリシーが設定されます。このポリシーに基づいて、ユーザまたは管理者は UI の[アクセス]ページから認証情報を表示および更新できます。サンプル ターゲット コネクタをテストするために、以下の手順では代わりの方法を使用します。ターゲット アカウント ページから認証情報を表示および更新します。
エコー ターゲット コネクタを使用した TCF へのリクエストの追跡
エコー ターゲット コネクタは、アプライアンスから TCF に送信されるリクエストを示します。エコー ターゲット コネクタからの情報は、カスタム コネクタ サーバ上の catalina.out ログ ファイルにエコーされます。ログを調べることで、uiDefinitions.json ファイルから使用可能なすべての UI フィールドおよびコントロールを確認できます。また、ターゲット コネクタが TCF によって送信されたペイロードから抽出した情報を表示することもできます。
エコー ターゲット コネクタを設定し、カスタム コネクタ サーバ上で catalina.out ファイルを表示するには、以下の手順に従います。
- リモート ターゲット サーバを指定します。
- UI で、エコー ターゲット コネクタ アプリケーションを追加します。
- エコー ターゲット コネクタ アプリケーションにアカウントを追加します。
- パスワードを更新し、catalina.out ログ ファイルを表示します。
各手順については、以下のセクションで説明します。
リモート ターゲット サーバの指定
エコー ターゲット コネクタを使用する場合、実際のターゲット サーバは必要ありません。このコネクタは、アプライアンスと TCF 間の通信のみをテストします。ただし、UI での設定のために、偽のエントリであってもターゲット サーバを指定する必要があります。
以下の手順に従います。
- Privileged Access ManagerUI にログインします。
- UI で、[デバイス]-[デバイスの管理]を選択します。
- [デバイス]ページから、[追加]を選択します。
- [デバイスの追加]ダイアログ ボックスで、[基本情報]タブの必須フィールドに入力します。
- [デバイス タイプ]で、[パスワード管理]チェックボックスをオンにします。[アクセス]チェックボックスはオンのままにしてください。
- [アクセス方法]タブに移動し、SSH などのアクセス プロトコルを指定します。アプライアンスは、このアクセス方法を使用してリモート ターゲット サーバに接続します。
- [OK]を選択して、設定を完了します。
次に、以下の手順の指示に従ってターゲット アプリケーションを追加します。
エコー ターゲット コネクタ アプリケーションの追加
エコー ターゲット コネクタ アプリケーションを設定します。
以下の手順に従います。
- [認証情報]-[ターゲット管理]-[アプリケーション]を選択します。
- [追加]を選択します。
- 以下のフィールドで値を選択または入力します。
- ホスト名: 虫眼鏡アイコンを選択して、前の手順で定義したターゲット サーバを選択します。
- デバイス名: 追加したターゲット サーバの名前を入力します。
- アプリケーション名: echoapp などのアプリケーション名を指定します。アプリケーション名は、特定のターゲット サーバに対して一意である必要があります。
- [アプリケーション タイプ]フィールドで、[Echo Target Connector (エコー ターゲット コネクタ)]を選択します。[Echo - Application]という新しいタブが表示されます。
- [Echo - Application]タブで、このページのデフォルト設定を変更します。設定を変更した場合は、認証情報を確認するときに Tomcat catalina.out ファイルで新しい値を確認できます。
- [OK]を選択します。
作業を続行し、エコー ターゲット アプリケーション用のターゲット アカウントを追加します。
ターゲット アカウントの追加
ターゲット アプリケーションと関連付けるターゲット アカウントを追加します。ターゲット アカウントを設定するときに、そのアカウントのターゲット アプリケーションを特定します。ターゲット アカウント ユーザ名は、特定のターゲット アプリケーションに対して一意である必要があります。
以下の手順に従います。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- [追加]を選択します。
- 以下のフィールドに値を入力します。
- ホスト名:定義したリモート ターゲット サーバの IP アドレスを入力します。
- デバイス名:ターゲット サーバの名前を入力します。
- アプリケーション名:前の手順で設定したエコー ターゲット アプリケーション名を選択します。
- アカウント名:指定されたターゲット アプリケーションに一意のアカウント名を割り当てます。エコー ターゲット コネクタはターゲット サーバに接続されないため、任意の名前を入力できます。例: echo
- パスワード表示ポリシー:デフォルトのパスワード表示ポリシーをそのまま使用します。
- プロトコル:デバイスを指定すると、このフィールドに自動的に入力されます。
- パスワード:リモート ターゲット サーバのユーザ アカウントのパスワードです。エコー ターゲット コネクタをテストするために、[認証情報を生成する]アイコン(鍵束)を選択することをお勧めします。生成されたパスワードはパスワード構成ポリシーに従っており、ターゲット サーバで自動的に更新されます。
- アカウント タイプ:デフォルトの特権アカウントをそのまま使用します。
- [OK]をクリックしてアカウントを保存します。
- アカウント ページ開いたまま、次の手順に進みます。
認証情報の更新とログ ファイルの確認
- 作成したアカウント ページで、[認証情報を生成する]アイコン(鍵束)を選択し、新しいパスワードを生成します。
- [OK]を選択して新しいパスワードを保存します。
- [認証情報の検証]アイコン(緑色のチェックマーク付きの人物)を選択し、[OK]を選択します。
- TCF を展開した Tomcat システムにログインします。
- catalina.out ファイルを開き、REST Web サービスの内容を探します。更新された認証情報のエントリを確認します。
ログ ファイル エントリは、アプライアンスと TCF 間の交換を示しています。また、このファイルには、UI のエコー ターゲット コネクタ アプリケーションと[アカウント]タブをレンダリングする UI 定義も含まれています。
サンプル ターゲット コネクタを使用したパスワードの表示および更新
サンプル ターゲット コネクタは、エンドツーエンドの通信フローを示します。アプライアンスから開始し、コネクタは TCF へのリクエスト(ターゲット コネクタを通過し、リモート ターゲット サーバで終了する)を示します。
サンプル ターゲット コネクタを実稼働環境で使用しないでください。
サンプル ターゲット コネクタを使用する前に、以下を行う必要があります。
- 前提条件を完了する
- カスタム コネクタ サーバでの SSH ユーティリティのインストール
- 手順に従ってアプライアンス上でターゲット サーバ、ターゲット アプリケーション、およびターゲット アカウントを設定する。
これらのタスクを完了したら、パスワードを表示と更新を試行します。
前提条件
- リモート Linux ターゲット サーバのセットアップ
- パスワードを変更できるユーザ アカウントをセットアップします。そのユーザとして Linux にログインできることを検証します。Linux システムに接続するには、SSH を使用します。ユーザがログインできる場合、サンプル ターゲット コネクタはターゲットと通信できます。
カスタム コネクタ サーバでの SSH ユーティリティのインストール
サンプル ターゲット コネクタでは、UNIX ターゲット デバイス上でパスワードを検証および更新できます。サンプル ターゲット コネクタを使用するには、TCF がインストールされているカスタム コネクタ サーバ上でユーティリティをインストールします。
UNIX または Windows システム上でカスタム コネクタ サーバをインストールすることができます。ただし、サンプル ターゲット コネクタは UNIX ターゲット デバイスでのみ使用します。
これらのユーティリティでコマンドを実行する必要はありません。サンプル ターゲット コネクタは、自動的にコマンドを実行します。
Tomcat が実行されている UNIX システムでの sshpass のインストール
カスタム コネクタ サーバが UNIX プラットフォーム上で実行されている場合は、
sshpass
ユーティリティをインストールします。sshpass ユーティリティでは、非対話型モードでキーボード対話型認証を実行できます。sshpass をインストールするコマンドは、使用している UNIX システムのタイプによって異なります。インストール コマンドの例
- Linux システムでは、以下のコマンドを入力します。$ sudo yum install sshpass
- Debian/Ubuntu システムでは、以下のコマンドを入力します。$ sudo apt-get install sshpass
Tomcat が実行されている Windows システムでの PuTTY Link ユーティリティのインストール
カスタム コネクタ サーバが Windows システム上で実行されている場合は、PuTTY SSH クライアントをダウンロードしてインストールします。このクライアントには、非対話型 SSH セッションを実行するために使用できる Plink ユーティリティが含まれています。サンプル ターゲット コネクタは、Plink を使用します。
リモート Linux ターゲット サーバの指定
Linux ターゲット サーバをターゲット デバイスとして追加します。
以下の手順に従います。
- Privileged Access ManagerUI にログインします。
- UI で、[デバイス]-[デバイスの管理]を選択します。
- [デバイス]ページから、[追加]を選択します。
- [デバイスの追加]ダイアログ ボックスで、[基本情報]タブの必須フィールドに入力します。
- [デバイス タイプ]で、[パスワード管理]チェックボックスをオンにします。[アクセス]チェックボックスはオンのままにしてください。
- [アクセス方法]タブに移動し、SSH などのアクセス プロトコルを指定します。アプライアンスは、このアクセス方法を使用してリモート ターゲット サーバに接続します。
- [OK]を選択して、設定を完了します。
次に、サンプル ターゲット アプリケーションを追加します。
サンプル ターゲット コネクタ アプリケーションの追加
サンプル ターゲット コネクタ アプリケーションを設定します。
UI で以下の手順に従います。
- [認証情報]-[ターゲット管理]-[アプリケーション]を選択します。
- [追加]を選択します。
- 以下のフィールドに値を入力します。
- ホスト名: 虫眼鏡アイコンを選択して、ターゲット サーバを選択します。
- デバイス名: Linux ターゲット サーバの名前を入力します。
- アプリケーション名: exampleapp などのアプリケーション名を指定します。アプリケーション名は、特定のターゲット サーバに対して一意である必要があります。
- [アプリケーション タイプ]フィールドで、[Example Target Connector (サンプル ターゲット コネクタ)]を選択します。[Example - Application]という新しいタブが表示されます。
- [Example - Application]タブで、設定を変更することをお勧めします。設定を変更した場合は、認証情報を確認するときに Tomcat catalina.out ファイルで新しい値を確認できます。
- [OK]を選択します。
次に、サンプル ターゲット アカウントを追加します。
サンプル ターゲット アカウントの追加
ターゲット アカウントとして Linux ユーザ アカウントを追加します。ターゲット アカウント ユーザ名は、特定のターゲット アプリケーションに対して一意である必要があります。
以下の手順に従います。
- [認証情報]-[ターゲットの管理]-[アカウント]を選択します。
- [追加]を選択します。
- 以下のフィールドに値を入力します。
- ホスト名:ドロップダウン リストからリモート Linux システムを選択します。
- デバイス名:リモート Linux システムの名前を入力します。
- アプリケーション名:前の手順で設定したサンプル アプリケーションを選択します。[Example - Account]タブが表示されます。このタブで、必要に応じてアカウントの説明を追加し、ユーザの代理としてログインする権限を持つマスタ アカウントを選択します。
- アカウント名:指定されたターゲット アプリケーションに一意のアカウント名を割り当てます。入力するアカウント名は、ターゲット システムで使用されるアカウント名と一致している必要があります。たとえば、Linux システムでは、アカウント名はユーザ ID (userid)です。
- パスワード表示ポリシー:デフォルトのパスワード表示ポリシーを使用します。
- プロトコル:デバイスを指定すると、このフィールドに自動的に入力されます。
- パスワード:この例では、[パスワードの生成]アイコン(鍵束)を選択することをお勧めします。生成されたパスワードはパスワード構成ポリシーに従っており、ターゲット サーバで自動的に更新されます。
- アカウント タイプ:デフォルトの特権アカウントをそのまま使用します。
- [OK]をクリックしてアカウントを保存します。
- アカウント ページ開いたまま、次の手順に進みます。
パスワードの表示と更新
[Example - Application]およびターゲット アカウントを指定したら、パスワードを検証および変更できます。
以下の手順に従います。
- ターゲット アカウントを選択し、[更新]を選択します。
- [パスワード]タブを選択します。
- [Update both the Credential Manager System and the target server (認証情報マネージャ システムとターゲット システムの両方を更新する]オプションを選択します。
- [OK]を選択します。アプライアンスは、ターゲット システムでパスワードを検証します。検証が成功した場合は、ターゲット アカウント エントリの[検証済み]列に緑のチェックマークが配置されます。
- ターゲット アカウント エントリを再び選択し、[更新]を選択します。
- [パスワード]フィールドの隣にある[認証情報の表示]アイコン(目)を選択して、現在のパスワードを表示します。
- [パスワードの生成]アイコン(鍵束)を選択します。
- [OK]を選択します。パスワードが更新されます。
- [認証情報の検証]アイコン(緑色のチェックマーク付きの人物)を選択し、[OK]を選択します。検証が成功したら、再度パスワードを表示して、変更されたことを確認します。
続いて、「カスタム コネクタ コンポーネントの使用方法の学習」を参照してください。独自のターゲット コネクタを構築する前に、この情報を注意深く確認してください。