OpenAMのAdministration Guideに記載されているSecuring OpenAMの項目をOpenAM13.0で実践してみようかなと思い、とりあえずしてみました。
cookie名の変更
Change the default iPlanetDirectoryPro cookie name both in OpenAM (com.iplanet.am.cookie.name) and in your policy agent profiles (com.sun.identity.agents.config.cookie.name).
まずデフォルトのcookie名がiPlanetDirectoryProなので、それを変更してみます。
OpenAMの管理画面の
[CONFIGURATION]-[サーバーおよびサイト]-[サーバ名]-[セキュリティー]-[Cookie]から
cookie名を確認したところ、編集がどうやらできないらしい...
調べてみたらssoAdminTools(CLI)もしくはssoadm.jsp(GUI)を使うことで変更できるらしい。今回はssoadm.jspを使ってみます。
1.ssoadm.jspの無効化を解除する
ssoadm.jspはデフォルトでは無効化されているので、それを解除します。
[CONFIGURATION]-[サーバーおよびサイト]-[サーバ名]-[セキュリティー]-[高度]に
ssoadm.disabled=false
を設定します。
2.ssoadm.jspからcookie名を変更する
OpenAM Deployment URL/ssoadm.jspにアクセスし、update-server-cfgにいきます。
サーバ名にOpenAM Deployment URLを設定し、
属性の値にcom.iplanet.am.cookie.name=新cookie名を設定します。
設定が終了したので、cookie名の設定を確認してみると、変更されてました。
3.OpenAMを再起動する
再起動後にcookie名を確認してみます。
どうやら、うまく変更できたらしい。
4.ssoadm.jspを無効化する
ssoadm.jspはAdministration Guideに記載されているように、無効化しておかないとマズいので、変更し終えたら無効化しておきます。
Leave ssoadm.jsp disabled in production. (Advanced property: ssoadm.disabled=true)
ssoAdminToolsでもやってみようか検討中。。。