前回の続きから、記録。
デフォルト deployment URI の変更
When installing OpenAM, do not use /openam or /opensso as the deployment URI.
ダウンロードしたOpenAM-13.0.0.warをopenam.warやopensso.war以外の名前に変更します、(iam.warとか)、以上。
デフォルト管理者 amadmin の変更
Create an administrator in the Top Level Realm with a different ID than the default amadmin.
Administration Guideの↓に記載がありました。
https://backstage.forgerock.com/docs/openam/13/admin-guide#change-amadmin-uid
しかし、Warningのところを読むと、openamのソースコードの中に、amadminでハードコーディングしている部分があるとのこと。改善を計画されているらしく、それまではamadminを使うことを推奨しているようです。
でも、せっかくドキュメントに記載されているので、とりあえずやってみました。
1.代わりのユーザを作成
[TopLevelRealm]-[Subjects]-[新規]からamadminに代わるユーザを作成します。
2.管理者ユーザの設定変更(com.sun.identity.authentication.super.user)
[CONFIGURATION]-[サーバーおよびサイト]-[サーバ名]-[セキュリティー]-[高度]に以下のように1.で作成ユーザのDNを設定します。
com.sun.identity.authentication.super.user :
uid=superroot,ou=people,dc=openam,dc=forgerock,dc=org
3.OpenAM再起動
amadminでログインしてみると
superroot(代わりのユーザ)でログインしていると
確かに変更できているみたいですね。
メモ
OpenAM13.0で試してみましたが、13.5のAdministration Guide↓がどうなっているのか気になったので、調べてみました。
一文目にハードコーディングのことは書いていますが、com.sun.identity.authentication.super.userの設定に関する記載がなくなっているように見えますね。別の章に記載が移動したのかな。。。