LoginSignup
0

More than 5 years have passed since last update.

Securing OpenAM 実践

Posted at

OpenAMのAdministration Guideに記載されているSecuring OpenAMの項目をOpenAM13.0で実践してみようかなと思い、とりあえずしてみました。

cookie名の変更

Change the default iPlanetDirectoryPro cookie name both in OpenAM (com.iplanet.am.cookie.name) and in your policy agent profiles (com.sun.identity.agents.config.cookie.name).

まずデフォルトのcookie名がiPlanetDirectoryProなので、それを変更してみます。

OpenAMの管理画面の
[CONFIGURATION]-[サーバーおよびサイト]-[サーバ名]-[セキュリティー]-[Cookie]から
cookie名を確認したところ、編集がどうやらできないらしい...

default_cookie_config.jpg

調べてみたらssoAdminTools(CLI)もしくはssoadm.jsp(GUI)を使うことで変更できるらしい。今回はssoadm.jspを使ってみます。

1.ssoadm.jspの無効化を解除する

ssoadm.jspはデフォルトでは無効化されているので、それを解除します。
[CONFIGURATION]-[サーバーおよびサイト]-[サーバ名]-[セキュリティー]-[高度]に

ssoadm.disabled=false

を設定します。

2.ssoadm.jspからcookie名を変更する

OpenAM Deployment URL/ssoadm.jspにアクセスし、update-server-cfgにいきます。

update-serer-cfg.jpg

サーバ名にOpenAM Deployment URLを設定し、
属性の値にcom.iplanet.am.cookie.name=新cookie名を設定します。

設定が終了したので、cookie名の設定を確認してみると、変更されてました。

update_cookie_config.jpg

3.OpenAMを再起動する

再起動後にcookie名を確認してみます。

check_cookie_name.jpg

どうやら、うまく変更できたらしい。

4.ssoadm.jspを無効化する

ssoadm.jspはAdministration Guideに記載されているように、無効化しておかないとマズいので、変更し終えたら無効化しておきます。

Leave ssoadm.jsp disabled in production. (Advanced property: ssoadm.disabled=true)

ssoAdminToolsでもやってみようか検討中。。。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0