
ポータル設定
概要 #
ポータルインスタンス全般の多くの設定は「ポータル設定」から行えます。
- 共通:会社名、ドメイン名、仮想ホスト名、会社ロゴなどポータルインスタンス用の設定を行えます
- 認証:ログインID、LDAP、SSOを設定を行えます
- ユーザ:「項目」、「予約語」、「デフォルト設定」の3つのタブがあります。「項目」ページでは、「誕生日」や「性別」などの項目をユーザ設定ページに表示/ひ表示するかを設定します。「予約語」パージでは、アカウント名及びメールアドレスで利用を禁止する用語を設定します。「デフォルト設定」ページでは、ユーザを作成した場合のデフォルトコミュニティ、ロール、ユーザグループを指定します。なお、既に作成されたユーザにもこれらのデフォルト設定を適用する場合は「既存のユーザにも適用」をチェックしてください
- メールホスト名:利用するメールホスト名を行毎に入力してください。例えば、ドメイン名がhozawa.comの場合で、送信するメールの差出人をhozawa-newsletter.comにする場合は、「hozawa-newsletter.com」を入力します
- メール通知:Liferayから送信する各種類の通知などで使う差出人やメッセージの設定を行えます
共通 #
ポータルインスタンスの会社名などの設定できます。設定された名前は、ポータルのデフォルトコミュニティ名となります。デフォルトは「liferay.com」です。バーチャルホスト、メールアドレスドメインなどの設定を行えます。
認証 #
認証ページからユーザ認証の設定を行えます。LDAP、OpenSSOなど、外部認証基盤毎に設定ページがあります。
認証:共通 #
「共通」ページの設定はLiferay本体への設定です。認証基盤との連携設定は含まれていません。
共通認証設定ページからは以下の項目を設定を行います:
- 認証を行う項目:ログイン認証を行う項目。「メールアドレス」、「アカウント名」、「ユーザID」から選択。ユーザIDはLiferayが内部処理用に自動生成するIDですので利用は推奨しません。(ユーザIDを参照するには、コントロールパネル->ユーザを選択して、IDを表示するユーザの右の「操作」ボタンから「編集」)
- 自動ログインを表示:チェックされている場合は、ログインページに「ログイン情報を記録する」チェックボックスを表示します。このログインページのチェックボックスをチェックすると、ユーザのログイン情報をWebブラウザのクッキーに保存し、再びログインする場合に使用されます
- パスワードの再発行を表示:チェックされている場合は、ログインページにパスワードの再発行リンクを表示します
- パスワードリセットのリンクを表示:チェックされている場合は、パスワードリセットリンクを表示します
- アカウントの作成を表示:チェックされていると、ポータルをインターネットで公開している場合に、登録されているメールアドレスのドメイン以外のメールアドレスからのアカウント作成申請を受け入れます
- 登録ドメインのアカウント作成を許可:チェックすると、Liferayに登録されているメールドメインからのアカウント申請を受け入れます。イントラネットのすべてのアカウントはLDAPで管理されている場合は、チェックを外してLiferayらかのアカウント作成を禁止します
- 確認メールを送信:チェックすると、アカウント申請に入力されたメールアドレスにポータルページへのリンクを含むメールを送ります
デフォルトでは、最後の項目以外はすべてチェックされます。
以下の理由で、デフォルトではメールアドレスで認証を行うようになっています:
- メールアドレスはユーザ毎に異なる
- ユーザは自分のメールアドレスを覚えている。長い間、ポータルを利用していないユーザでもメールを毎日のように使われていることが多い。そのため、メールアドレスを覚えている場合は多い。反対に、ユーザIDや自動的にアカウント名を生成した場合は、それを忘れる可能性は高い
- ユーザのメールアドレスを変更した場合は、個人プロフィールのメールアドレスも変更することを推奨している。Liferayポータルはこのアドレスへ通達や申し込まれた掲示板などの書き込みなどを送信するため、メールアドレスが更新されていないとメールがユーザに届きません。ログイン認証にメールアドレスを利用することで、更新するのを忘れないようにします
認証:LDAP #
ユーザ情報をユーザ毎にLiferayに登録する代わりに、LDAPからユーザ情報を取得するように設定できます。LDAPの設定は[portal-ext.properties|日本語portal properties]又はコントロールパネルから設定できます。コントロールパネルから設定を行った場合は、データベースに設定は保存されます。両方から設定を行った場合は、コントロールパネルの設定が優先されます。また、コントロールパネルから設定を行った場合は、Liferayを再起動する必要はありません。そのため、コントロールパネルから設定を行うことを推奨します。
しかし、同じLDAPを利用する複数のポータルインスタンスがある場合は、ポータルインスタンス毎にコントロールパネルから設定するよりも、[portal-ext.properties|日本語portal properties]で設定した方が便利な場合もあります。
- 有効:LDAP認証を有効にする場合はチェックします
- 必須:LDAP認証を必須にする場合はチェックします。チェックすると、Liferayは必ずユーザがログインする時にLDAPを参照します。管理者でログインする場合もLDAPサーバを参照するので、もしLDAP設定を間違って設定するとログインして修正ができなくなりますので注意してください
- LDAPサーバ:利用するLDAPサーバを指定します。複数のLDAPサーバを指定した場合は、上/下矢印を使って優先順位を設定することができます。LDAPサーバを追加する場合は「追加」ボタンを押下して、接続情報を設定します:
デフォルト値:代表的なディレクトリサーバ一覧が表示されます。該当するサーバを選択すると以降項目はそのサーバの標準的値でか記入されます。該当するサーバが無い場合は、「その他のディレクトリサーバ」を選択してください。 接続:基本的なLDAP接続設定
ベースプロバイダURL:LDAPのURL。LiferayサーバとLDAPサーバが論理的に通信できる必要があります。ファイアウィールを超える必要がある場合は、利用するポートが開いていることを確認してください ベースDN:LDAPディレクトリの識別名。通常は企業の組織構成に基づいてい設定されています。例:dc=ogis,dc=co,dc=jp 管理者ID:管理者のID。デフォルトLDAP管理者を削除した場合は、完全修飾名で管理者IDを入力してください。Liferayは、この管理者IDを使ってLDAPとユーザ情報の同期を取ります 管理者パスワード:管理者IDのパスワード
以上の情報でLDAPディレクトリと接続することができます。必要に応じて以降の情報を設定してください。LDAPサーバの接続を確認するには「LDAPユーザを確認」ボタンを押下してください。
パスワードを暗号化するためにLDAPでSSLを利用している場合は、両システムで暗号化キーを共有するための設定が必要です。例えばMS Windows 2003サーバでMS Active Directoryを稼動している場合は、以下の手順でキーを共有します。
MS Windows 2003のドメインコントローラから「証明書」MMCテンプレートを開きます。「証明書(ローカルコンピュータ)」MMCテンプレート->「信頼されたルート証明機関」->「MyRootCACertificateName」を選択して、ルート証明機関の証明書をエクスポートします。証明書を右クリックして、「すべてのタスク」->「エクスポート」->「DER encoded binary X.509.CER」を選択します。エクスポートされた.cerファイルをLiferayポータルサーバに複写してください。
CASをインストールする場合と同様に、証明書を次のコマンドを使ってcacertsキーストアにインポートします。
keytool -import -trustcacerts -keystore /some/path/jdk1.5.0_11/jre/lib/security/cacerts -storepass パスワード -noprompt -alias MyRootCA -file /some/path/MyRootCA.cer
keytoolユティリティは、Java JDKに付属しています。
証明書をインポートをした後は、LifarayのコントロールパネルのLDAPを開いてください。「ベースDN」のLDAP URLを以下のようにhttpsプロトコルとポート636を使うように修正したください。
ldaps://myLdapServerHostname:636
設定を保存してください。この設定により、LiferayポータルはSSLを使ってLDAPに接続します。
- ユーザ:LDAPディレクトリで該当したユーザを検索する設定を行います
認証検索フィルタ:ユーザログイン時に使用する検索条件を設定します。Liferayはデフォルトでユーザログイン名にメールアドレスを使います。もしアカウント名又はユーザIDを利用するように変更した場合は、認証検索フィルタを変更する必要があります。例えば、アカウント名を利用するように変更した場合は、検索フィルタを以下のように変更します:
(cn=@screen_name@)
インポート検索フィルタ:LDAPサーバによってユーザを特定する方法は異なります。通常はデフォルト設定(object-Class=inetOrgPerson)で問題はありませんが、一部のユーザ又はユーザのオブジェクトクラスが異なる場合は、この項目を変更します
- ユーザマッピング:LDAP属性とLiferay項目を対応付ける設定です。LDAPサーバによって、ユーザ属性は異なりますが、Liferayと連携する場合は5つの項目の対応が必要です。次のLiferay項目に対応してLDAP属性を指定してください:
- アカウント名
- パスワード
- メールアドレス
- 姓名
- 名
- ミドル名
- 姓
- 肩書き
- グループ
コントロールパネルは、一般的に使われるLDAP属性との対応をデフォルトで設定します。必要に応じて修正してください。
- LDAPユーザを確認:LDAPとLiferayのユーザ対応を確認する場合に利用します。ボタンを押下すると、LDAPからユーザ情報を取得してページに表示します。
- グループ:LDAPグループとLiferayコミュニティとの対応を設定します。
インポート検索フィルタ:Liferayのコミュニティに対応するためのLDAPグループ検索フィルタです。対応用に取得するLDAPグループ属性を指定してください。次の属性を対応付けることができます: グループ名 説明 ユーザ
グループ対応の設定を入力した後は「LDAPグループを確認」ボタンを押下して、設定が正しいか確認してください。
- エクスポート
ユーザDN:LDAPツリーでユーザ情報を保存する場所を指定します。Liferayはこの場所にユーザ情報をエクスポートします ユーザのデフォルトオブジェクトクラス:ユーザ情報をエクスポートする際、指定されたデフォルトオブジェクトクラスでユーザは作成されます。デフォルトオブジェクトクラスを確認する場合は、JXplorerのようなLDAPブラウザツールを使ってユーザを探し、Object Class属性を表示してください グループDN:LDAPツリーでグループ情報を保存する場所を指定します。Liferayはこの場所にコミュニティ情報をエクスポートします グループのデフォルトオブジェクトクラス:コミュニティ情報をエクスポートする際、指定されたデフォルトオブジェクトクラスでグループは作成されます。デフォルトオブジェクトクラスを確認する場合は、JXplorerのようなLDAPブラウザツールを使ってグループを探し、Object Class属性を表示してください
すべての設定を入力して、内容を確認した後に「保存」ボタンを押下してください。
- インポート/エクスポート
- インポートを有効:LDAPディレクトリから一括インポートを行う場合はチェックします。ユーザログイン毎にしかLiferayのユーザ情報とLDAPを同期しない場合はチェックを外してください。クラスタ環境の場合も、チェックを外してください。チェックされていると、クラスタノードが起動する度にLDAPからユーザ情報を一括インポートします。この項目をチェックすると次の項目が表示されます:
- 起動時にインポート:Liferayの起動時に一括インポートを行う場合はチェックします
- エクスポートを有効:LiferayからLDAPにユーザ情報をエクスポートする場合はチェックします。Liferayはリスナーを使ってユーザオブジェクトの変更を監視します。チェックされている場合は、ユーザオブジェクトが更新された場合にLDAPサーバにユーザ情報を送信します。デフォルト設定では、ログイン毎にLastLoginDateは更新されます。この項目がチェックされている場合は、ユーザがログインする毎にユーザの情報をエクスポートします。[portal-ext.properties|日本語portal properties]でこの項目を無効にする場合は、以下の行を追加します:
users.update.last.login=false
- パスワードポリシー
- LDAPのパスワードポリシーを利用:Liferayはデフォルトは、Liferay独自のパスワードポリシーを利用します(コントロールパネル->パスワードポリシー)。LDAPディレクトリのパスワードポリシーを利用する場合は、この項目をチェックします。この項目をチェックすると、パスワードポリシーページにLiferayのパスワードポリシーを利用していないとメッセージが表示されます。LDAPパスワードプロシーの設定はLDAPディレクトから行う必要があります。LiferayはLDAPディレクトリから返されるメッセージを解析することでこれを実現します。デフォルトでは、LiferayはFedora Directory Server形式のメッセージを期待します。別のLDAPディレクトリを利用されている場合は[portal-ext.properties|日本語portal properties]にldap設定を追加する必要があります。
- コントロールパネルから設定できないLDAP設定 殆どのLDAP設定はコントロールパネルから行えますが、[portal-ext.properties|日本語portal properties]のみから設定できる項目もあります。将来的にはコントロールパネルからも出来るようにもなりますが、現Liferayバージョンでは[portal-ext.properties|日本語portal properties]に設定を追加してください。コントロールパネルで設定した項目を[portal-ext.properties|日本語portal properties]でも設定した場合は、コントロールパネルの設定が優先されます。
- ldap.auth.method:LDAP認証方式を、bind又はpassword-compareに設定してください。たいていのベンダーは、暗号化方式を気にせずにすむbind方式を推奨しています。password-compareに設定した場合は、LDAPからユーザパスワードを読みだし、それを複合化し、Liferayのユーザパスワードと比較し、同期を取ります。
ldap.auth.method=bind #ldap.auth.method=password-compare
ldap.auth.password.encryption.algorithm:ldap.auth.method=password-compareに設定した場合に、パスワードを比較するのに使うパスワード暗号化ほプ式を指定します
ldap.auth.password.encryption.algorithm= ldap.auth.password.encryption.algorithm.types=MD5,SHA
ldap.import.method:userに設定した場合は、LiferayはLDAPツリーの指定範囲からすべてのユーザ情報をインポートします。groupに設定した場合は、すべてのグループを検索し、グループ毎にユーザをインポートします。即ち、グループに所属していないユーザはインポートされません。
ldap.import.method=[user,group]
ldap.error.password:LDAPサーバから返される可能性のあるエラーメッセージ句です。ユーザがLDAPにバインドする際、サーバは成功又は失敗のメッセージにコントロールを付けて返す場合もあります。このコントロールにエラーメッセージや返事の回答が含まれます。コントロールは、すべてのLDAPディレクトリの種類で同じでありますが、返事は異なる場合があります。Liferayはデフォルトでは、Red HatのFedora Directory Serverの返事を設定しています。別のLDAPサーバソフトウエアを利用している場合は、そのソフトウエアに該当した設定に変更してください。
ldap.error.password.age=age ldap.error.password.expired=expired ldap.error.password.history=history ldap.error.password.not.changeable=not allowed to change ldap.error.password.syntax=syntax ldap.error.password.trivial=trivial ldap.error.user.lockout=retry limit
SSO #
SSO(シングルサインオン)は、一回ログインで複数のアプリケーションを利用できるようにします。SSOで認証すると、Liferayを含む他のSSO認証対応のアプリケーションにも自動的にログインされます。
LiferayはCASやOpenSSOなど、複数のSSO実装との連携に対応しています。
注:LiferayはSSOと連携することができますが、SSOは含まれていません。SSOを導入する場合は、別途に導入してください。
認証:CAS #
CASは、元はイェール大学で作成された認証システムです。多くのオープンソース製品で対応されており、Liferayが最初にサポートしてSSO実装でもあります。
CASの利用する場合は、先ずCASサーバから提供されているドキュメントの手順に従って、どこかのサーバに導入してください。
CASサーバを導入して後に、CASクライアント.jarファイルをLiferayのlibフォルダに複写してください。アプリケーションサーバにTomcatを利用している場合は、Tomcatホーム/webapps/ROOT/WEB-INF/libフォルダになります。複写した後に、Liferayを再起動してください。再起動するとLiferayからCASクライアントが利用できるようになります。
CASサーバを利用するには、サーバにSSL(セキュアソケットレイヤー)を設定します。証明書キーを生成する場合は、JDKのkeytoolを使います。次に生成したキーをファイルに保存して、Javaキーストアにインポートします。インターネットに公開する場合は、認証局からキーを取得することを推奨します。社内イントラネットの場合は、キーを自社で生成してWebブラウザをキーを信用するように設定できます。
キーを生成するにはCASサーバでコマンドラインを開いて、以下のコマンドを実行します:
keytool -genkey -alias tomcat -keypass パスワード -keyalg RSA
- パスワードはパスワードを置き換えてください
- Tomcatを利用していない場合は、Tomcatの代わりに利用されているアプリケーションサーバ名を記述してください
- 姓と名には、localhostもしくはサーバのホスト名を入力してください(IPアドレスは使用しないでください)
キーをファイルにエクスポートするには、次のコマンドを実行してください:
keytool -export -alias tomcat -keypress パスワード -file server.cert
最後に、Javaキーストアにキーをインポートするには、次のコマンドを実行してください:
keytool -import -alias tomcat -file %FILE_NAME% -keypass パスワード -keystore $JAVA_HOME/jre/lib/security/cacerts
MS Windowsを使っている場合は、$JAVA_HOMEを%JAVA_HOME%に置き換えてください。
CASサーバが正常に動作するようになったら、Liferayと連携できます。コントロールパネルから「ポータル設定」->「認証」->「CAS」を選択してください。「有効」をチェックして、各URLをCASサーバに設定してください。
- 有効:CASを有効にする場合は、チェックします
- LDAPからインポート:CASでユーザ認証を行っても、Liferayポータルにユーザが登録されていない場合もあります。チェックされていると、Liferayポータルにおユーザが未登録の場合はLDAPからユーザ情報を取得してLiferayポータルに登録します
以下のURLにはデフォルトの設定がされています。デフォルト値のlocalhostをCASサーバ名に置き換えてください。
- ログインURL:CASのログイン処理のURL
- ログアウトURL:CASのログアウト処理のURL
- サーバ名:CASサーバ名
- サーバのURL:CASサーバのURL
- サービスURL:CASサーバのSSOサービスのURL
すべての情報を入力した後に「保存」ボタンを押下してください。次回、ユーザがLiferayからログインを選択すると、CASサーバにリダイレクトされます。
認証:Facebook #
Facebookのユーザアカウントを使ってLiferayにログインするように設定することもできます。FacebookのユーザアカウントでLiferayにログインする場合は、「有効」をチェックして、Facebookから提供された「アプリケーションID」と「アプリケーションシークレット」を入力します。
Facebook SSOは、Facebookの主メールアドレスをLiferayユーザテーブル(User_)で検索します。メールアドレスが見つかった場合は、ログインされます。該当するメールアドレスが見つからない場合は、FacebookのユーザをLiferayに追加するか問い合わせメッセージが表示されます。追加を選択されると、Facebookから名、姓、メールアドレス、性別の情報を取得して、Liferayに登録します。
認証:NTLM #
「NTLM」はMS Internet Explorerでの認証に使えるマイクロソフトの認証プロトコルです。マイクロソフトは最新版の製品ではKerberosを利用していますが、ワークグループの認証にはまだNTLMを利用しています。
Liferayポータルは、NTLM v2に対応しています。
- 有効:NTLM認証を有効にする場合は、チェックします
- ドメインコントローラ:ドメインコントローラのIPアドレスを入力します。ドメインコントローラにLiferayで使うユーザ情報が登録されていることを前提とします
- ドメイン:ドメイン/ワークグループ名を入力します
- サービスアカウント:ドメインコントローラを参照するためのユーザ名
- サービスパスワード:サービスアカウントのパスワード
認証:OpenID #
OpenIDは複数のベンダーから実装を提供されているシングルサインオンの標準です。「有効」をチェックします。基本的な考えは、複数のベンダが標準に準拠してサービスを実装して、ユーザは一番信用したベンダにユーザ登録を行えることです。ベンダから発行された認証を使って、OpenIDに対応してWebページを利用することができるようになります。OpenIDに加盟しているサイトについてはOpenIDサイト(http://www.openid.net)を参照してください。
ユーザは、Webサイト毎に登録する必要がなくなります。OpenIDの認証を一回、登録するだけで、OpenIDに対応しているサイトを閲覧することができるようになります。
多くユーザは個人情報を入力して登録するのに躊躇います。OpenIDはユーザが信用しているベンダに一回登録するだけで、サイト毎の登録が不要になるため、より多くのサイトに参加されることが期待されています。
LiferayポータルをOpenIDの利用者として設定できます。OpenIDアカウントをもっているユーザは、そのIDでLiferayにログインすることができます。
デフォルトではOpenIDは有効になっています。無効にする場合は、「有効」のチェックを外してください。
備考:LiferayはOpenID4Java(http://code.google.com/p/openid4java/])を利用しています。|http://code.google.com/p/openid4java/|http://code.google.com/p/openid4java/])を利用しています。
認証:OpenSSO #
OpenSSOは、SunのSystem Access Managerを元にしたシングルサインオンの実装です。LiferayをOpenSSOと連携することができます。連携すると、複数のIDリポジトリの複数の認証スキーマを使うことが可能になります。
OpenSSOをLiferayと同じサーバもしくは別のサーバにセットアップすることができます。OpenSSOのセットアップはhttp://opensso.dev.java.net]を参照してください。|http://opensso.dev.java.net|http://opensso.dev.java.net]を参照してください。
OpenSSOをセットアップした後は、OpenSSOにLiferay管理者用のアカウントを作成してください。LiferayとOpenSSOはアカウント名で関連付けられます。Liferayはデフォルトで管理者アカウントtestを作成しますので、OpenSSOにIDをtest、メールアドレスをtest@liferay.comのユーザを登録します。ユーザを作成した後に、このユーザでOpenSSOにログインしてください。
WebブラウザからLiferayにtest@liferay.comでログインします。コントロールパネル->ポータル設定->認証->OpenSSOを選択します。「ログインURL」、「ログアウトURL」、「サービスURL」をOpenSSOサーバに設定して、「有効」をチェックします。この設定によって、Liferayの「ログイン」を選択すると、OpenSSOへリダイレクトします。
認証: SiteMinder #
SiteMinderは、Computer Associatesから提供さらえているシングルサインオンの実装です。
SiteMinderを有効にするには、「有効」をチェックします。SiteMinderをLDAPを利用する場合は、「LDAPからインポート」をチェックします。
「ユーザヘッダ」には、SiteMinderがユーザを追跡するためのヘッダを指定します。
ユーザ #
「ユーザ」ページには「項目」、「予約語」、「デフォルト設定」タブがあります。
- 利用規約の同意確認:チェックするとユーザが初めてログインする時に利用規約を表示します。
- アカウント名の自動生成:チェックするとアカウント名を自動生成します
- 誕生日:チェックすると「誕生日」項目をユーザプロフィルページ表示
- 性別:チェックすると「性別」項目をユーザプロフィルページに表示
「予約語」ページでは、アカウント名及びメールアドレスで利用を禁止する単語の指定を行えます。管理者になりすました名前の利用を禁止することができます。
「デフォルト設定」ページでは、新規ユーザがデフォルトで参加するコミュニティ及びユーザグループとデフォルトのロールの設定を行えます。Liferayのデフォルト設定では、ユーザは「パワーユーザ」及び「一般ユーザ」のロールが割りつけられます。
パワーユーザは多くのポートレットを利用する権限を持っています。もしパワーユーザをデフォルトロールから外す場合は、ユーザがWikiや掲示板などのようのポートレットを利用する別のロールを割り当てることを推奨します。
もし新規にユーザグループ、コミュニティ、ロールなどを作成した場合は、ここに追加することもできます。例えば、すべてのユーザ用のページテンプレートを作成した場合は、そのテンプレート用のユーザグループを作成して、そのユーザグループをこのページに登録すると、作成されてページテンプレートがすべてのユーザのページに複写されます。
既に作成されあたユーザにも設定を反映する場合は、「既存ユーザにも適用」をチェックします。
メールホスト名 #
必要に応じて、共通ページに入力した以外の会社のメールホスト名を行毎に入力してください。メールホスト名は、アカウントを申請したユーザが社員なのかを判断するのに使われます。
メール通知 #
「メール通知」ページには、「差出人」、「アカウント作成の通知」、「パスワード変更の通知」、「パスワードリセットの通知」タブがあります。「差出人」ページからは、ポータルインスタンス管理者の名前とメールアドレスの設定を行えます。デフォルト設定では名前は「Joe Bloggs」、メールアドレスは「test@liferay.com」です。ポータルから送信されるメールの差出人に使う名前とメールアドレスを設定してください。
「アカウント作成の通知」、「パスワード変更の通知」、「パスワードリセットの通知」タブは、これらのイベントが発生した場合にLiferayが送信するメールの内容を設定します。
個人情報 #
個人情報からは、住所、電話番号、メールアドレス、Webサイトなど個人情報を設定します。Liferayプラグインの開発者は、これらの個人情報を使うプラグインを開発することができます。
その他:表示設定 #
ポータルインスタンスでデフォルトで使う言語とタイムゾーンの設定を行えます。ポータルページの左上に表示するロゴの指定も行えます。ロゴを選択する場合は、大きさに注意してください。大き過ぎると、ナビゲーションが正しく表示されない場合もあります。