LoginSignup
0
0

More than 5 years have passed since last update.

@i7a7467

Securing OpenAM 実践Ⅱ

Last updated at Posted at 2017-01-10

前回の続きから、記録。

デフォルト deployment URI の変更

When installing OpenAM, do not use /openam or /opensso as the deployment URI.

ダウンロードしたOpenAM-13.0.0.warをopenam.warやopensso.war以外の名前に変更します、(iam.warとか)、以上。

デフォルト管理者 amadmin の変更

Create an administrator in the Top Level Realm with a different ID than the default amadmin.

Administration Guideの↓に記載がありました。
https://backstage.forgerock.com/docs/openam/13/admin-guide#change-amadmin-uid

しかし、Warningのところを読むと、openamのソースコードの中に、amadminでハードコーディングしている部分があるとのこと。改善を計画されているらしく、それまではamadminを使うことを推奨しているようです。

でも、せっかくドキュメントに記載されているので、とりあえずやってみました。

1.代わりのユーザを作成

[TopLevelRealm]-[Subjects]-[新規]からamadminに代わるユーザを作成します。

create_superroot.jpg

2.管理者ユーザの設定変更(com.sun.identity.authentication.super.user)

[CONFIGURATION]-[サーバーおよびサイト]-[サーバ名]-[セキュリティー]-[高度]に以下のように1.で作成ユーザのDNを設定します。

com.sun.identity.authentication.super.user :
uid=superroot,ou=people,dc=openam,dc=forgerock,dc=org

superuser.jpg

3.OpenAM再起動

amadminでログインしてみると

amadmin.jpg

superroot(代わりのユーザ)でログインしていると

superroot.jpg

確かに変更できているみたいですね。

 メモ

OpenAM13.0で試してみましたが、13.5のAdministration Guide↓がどうなっているのか気になったので、調べてみました。

一文目にハードコーディングのことは書いていますが、com.sun.identity.authentication.super.userの設定に関する記載がなくなっているように見えますね。別の章に記載が移動したのかな。。。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0