こちらの知識不足なのだが、ssoを定義してwindowsPCにログイン後、GSSAPIを使って他のLinuxマシンへの
パスワードなしログインは出来ている。だが、それからさらに別のLinuxマシンにGSSAPIなssh接続ができない

チケットの問題かなぁって思うのだが、このOpenAMで回避出来るか確かめてみた
*解決した。ssh_configの設定でできた。samba/SSO#ad2c6ef3

参考:http://www.openam.jp/category/member/techtips
参考: http://www.openam.jp/wp-content/uploads/techtips_vol3.pdf(PDF 5MB)

OpenAMマシンの構築

参考資料はCentOS6で記載されているのでCentOS6で構築してます
また毎度同じく最小構成のマシンを作成
OpenAMの本体は https://backstage.forgerock.com/ にユーザ登録して入手可能
PDFにも書かれているが、本番環境で使うならサブスクリプションが必要なそうな

無償で使いたい場合はコミュニティー版(ソースコードのみ)を取得して自分でコンパイル.
https://github.com/ForgeRock/openam-community-edition
バイナリ版もそこにはあるのだが、CDDLではないようなので、やはり自分でコンパイル.

より最新版はここで得られるみたい
https://stash.forgerock.org/scm/openam/openam-public.git

[root@openam ~]# yum install git wget ntp tomcat6
 
 
[root@openam ~]# git clone https://github.com/ForgeRock/openam-community-edition.git
[root@openam ~]# wget http://repos.fedorapeople.org/repos/dchen/apache-maven/epel-apache-maven.repo -O \
                   /etc/yum.repos.d/epel-apache-maven.repo
[root@openam ~]# yum install apache-maven
 
[root@openam ~]# mvn -version
Apache Maven 3.3.9 (bb52d8502b132ec0a5a3f4c09453c07478323dc5; 2015-11-11T01:41:47+09:00)
Maven home: /usr/share/apache-maven
Java version: 1.7.0_141, vendor: Oracle Corporation
Java home: /usr/lib/jvm/java-1.7.0-openjdk-1.7.0.141.x86_64/jre
Default locale: ja_JP, platform encoding: UTF-8
OS name: "linux", version: "2.6.32-696.3.2.el6.x86_64", arch: "amd64", family: "unix"
 
[root@openam ~]# java -version
openjdk version "1.8.0_131"
OpenJDK Runtime Environment (build 1.8.0_131-b11)
OpenJDK 64-Bit Server VM (build 25.131-b11, mixed mode)
 
[root@openam ~]# cd openam-community-edition/
[root@openam openam-community-edition]# export MAVEN_OPTS="-Xmx1024m -XX:MaxPermSize=512m"
[root@openam openam-community-edition]# mvn -DskipTests=true clean install
 :
 (略
[INFO] OpenAM Distribution Kit ............................ SUCCESS [ 19.792 s]
[INFO] OpenAM Distribution Diagnostics .................... SUCCESS [  8.037 s]
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time: 26:27 min
[INFO] Finished at: 2017-07-04T02:55:25+09:00
[INFO] Final Memory: 193M/803M
[INFO] ------------------------------------------------------------------------
[root@openam openam-community-edition]#
 
[root@openam openam-community-edition]# ls -l openam-server/target/OpenAM-Community-Edition-11.0.3.war
-rw-r--r--. 1 root root 91262499  7月  4 02:53 2017 openam-server/target/OpenAM-Community-Edition-11.0.3.war
 
[root@openam openam-community-edition]#

周辺を調整します

[root@openam ~]# cat /etc/hosts
127.0.0.1   localhost.localdomain localhost
192.168.0.62 openam.sybyl.local
192.168.0.3  c.sybyl.local
 
[root@openam ~]# chkconfig ip6tables off
[root@openam ~]# chkconfig iptables off
[root@openam ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/sysconfig/selinux
[root@openam ~]# yum -y install ntp
 
[root@openam ~]# cat <<_EOF_> /etc/ntp.conf
driftfile /var/lib/ntp/drift
server 192.168.0.3
_EOF_
[root@openam ~]# echo 192.168.0.3 >> /etc/ntp/step-tickers
[root@openam ~]# chkconfig ntpd on && chkconfig ntpdate on && reboot

後はtomcat関係で /etc/sysconfig/tomcat6 を修正

[root@openam ~]# diff -u  /etc/sysconfig/tomcat6.orig /etc/sysconfig/tomcat6
--- /etc/sysconfig/tomcat6.orig 2017-03-17 04:58:55.000000000 +0900
+++ /etc/sysconfig/tomcat6      2017-07-04 03:14:29.799438552 +0900
@@ -29,6 +29,8 @@
 # Use JAVA_OPTS to set java.library.path for libtcnative.so
 #JAVA_OPTS="-Djava.library.path=/usr/lib"
 
+JAVA_OPTS="-server -Xmx2048m -XX:MaxPermSize=256m"
+
 # What user should run tomcat
 #TOMCAT_USER="tomcat"
 #TOMCAT_GROUP="${TOMCAT_GROUP:-`id -gn $TOMCAT_USER`}"
[root@openam ~]#

器の設定ができたので、前述のwarファイルをtomcat6に入れます

[root@openam ~]# cp -p ~/openam-community-edition/openam-server/target/OpenAM-Community-Edition-11.0.3.war \
                             /var/lib/tomcat6/webapps/openam.war

そしてtomcat6を起動させる

[root@openam ~]# /etc/init.d/tomcat6 start
Starting tomcat6:                                          [  OK  ]
[root@openam ~]# chkconfig tomcat6 on

ログ(/var/log/tomcat6/catalina.out)を読んで問題なさそうならOK

OpenAMセットアップ

ブラウザから「http://openam.sybyl.local:8080/openam」を開き、下記の様な画面が表示されたらOK
そして、「新しい設定の作成」リンクを押下する
2017y07m04d_032156462.png

  • カスタム設定オプション
    • 一般
      デフォルトユーザー「amAdmin」のパスワードを定義 ログインに使用する際は、すべて小文字のようです
    • サーバー設定
      サーバー URLhttp://openam.sybyl.local:8080
      Cookie ドメイン.sybyl.local
      プラットフォームロケールen_US
      設定ディレクトリ/usr/share/tomcat6/openam
    • 設定データストア設定
      全部規定値のまま
      設定データストアOpenAM
      SSL が有効OFF
      ホスト名localhost
      ポート50389
      Admin Port4444
      JMX Port1689
      暗号化鍵xxxxxxxxxx
      ルートサフィックスxxxxxx
    • ユーザーデータストア設定
      「OpenAM のユーザーデータストア」を選択
    • サイト設定
      「ロードバランサの背後に配備」なんてしてないので「いいえ」
    • デフォルトのポリシーエージェントユーザー
      デフォルトポリシーエージェントのパスワードを付与。「amAdmin」とは違うパスワードで作成
    • 設定ツールの概要と詳細
      2017y07m06d_003641852.png
      これで「設定の作成」ボタンを押下する
      すると、内部で設定が始まり、
      2017y07m06d_004006247.png
      暫くすると下記画面が表示されて完了となる
      2017y07m06d_004113700.png
      ここまできたら、記載の「ログインに進む」リンクを押下するか、
      http://openam.sybyl.local:8080/openam/」に進む

ログイン

http://openam.sybyl.local:8080/openam/」に進むと下記画面が表示される
ユーザ名には「amadmin」パスワードは前段で作ったパスワードを入力して管理者でログインします
2017y07m06d_005926390.png
トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2017-07-06 (木) 01:00:33 (2157d)