この章では、Microsoft Internet Information Server(Windows環境の場合はIIS Webサーバー)を使用するOracle Access Manager 10.1.4 Webコンポーネント(WebPass、ポリシー・マネージャ、WebGate)の構成時に実行する必要があるアクティビティの概要を説明します。特に明記しないかぎり、この章の情報および手順は、32ビットのWebGateと64ビットのWebGateの両方のインストールに適用されます。次の項目について説明します。
ISAPIは、IIS Webサーバーと通信するWebサーバー・コンポーネント(WebPass、ポリシー・マネージャ、WebGate)の識別にOracle Access Managerで使用される、インターネットWebサーバーの拡張機能です。たとえば、IISに対応するOracle Access Manager Webコンポーネントをインストールするには、次のパッケージが必要です。
Oracle_Access_Manager10_1_4_3_0_Win32_ISAPI_WebPass
Oracle_Access_Manager10_1_4_3_0_Win32_ISAPI_Policy_Manager
Oracle_Access_Manager10_1_4_3_0_Win32_ISAPI_WebGate
64ビットのWebGate: Oracle_Access_Manager10_1_4_3_0_Win64_ISAPI_WebGate.exe
Oracle Access Manager Webコンポーネントのインストール時には、IIS Webサーバー構成ファイルを更新する必要があります。IIS Webサーバーの場合、構成の更新には、ISAPIフィルタの追加およびOracle Access Managerで必要な拡張機能の作成によるWebサーバーの直接の更新が含まれます。フィルタは、フィルタがインストールされているサイトへのすべてのリクエストをリスニングします。フィルタは、受信データ・ストリームと送信データ・ストリームの両方を検査および変更できます。これにより、IISの機能が拡張されます。ISAPI拡張機能はDLLとして実装されます。このDLLは、IISによって管理されるプロセスにロードされます。IISでは、ASPやHTMLのページのようにファイル・システムのDLLファイルの仮想的な場所を使用して、IISによって処理されるURLネームスペースにISAPI拡張機能がマップされます。
IIS Webサーバー構成ファイルは、Oracle Access Manager Webコンポーネントのインストール中に自動的に更新することをお薦めします。自動更新には数分以上かかることがあります。一方、IIS Webサーバー構成ファイルの手動更新は自動更新より時間がかかり、意図しないエラーが発生する場合あります。
詳細なガイドラインは、次を参照してください。
WebPassは、ポリシー・マネージャと同じディレクトリ・レベルで、ポリシー・マネージャと同じWebサーバー・インスタンス上にインストールする必要があります。WebPassインストーラでは、複数のWebサーバー・インスタンスを更新できません。複数のIIS Webサーバー・インスタンスがインストールされている場合は、各Webサーバー・インスタンスに個別のWebPassをインストールしてください。
Webサーバーは、WebPassと連動するように構成する必要があります。WebPassのインストール中に、自動的にWebサーバー構成を更新することをお薦めします。
ポリシー・マネージャは、WebPassと同じディレクトリ・レベルで、WebPassと同じWebサーバー・インスタンス上にインストールする必要があります。ポリシー・マネージャのインストーラでは、複数のWebサーバー・インスタンスを更新できません。複数のIIS Webサーバー・インスタンスがインストールされている場合は、各Webサーバー・インスタンスに個別のポリシー・マネージャをインストールしてください。
IIS Webサーバーに対応するポリシー・マネージャのインストールに次を使用する場合は、注意してください。
Windows 2000: IISを実行しているWindows 2000にポリシー・マネージャをインストールする場合は、Everyone
という名前のグループに\tempディレクトリおよび\tempディレクトリが属するドライブ(CやDなど)への完全なアクセス権があることを確認してください。TEMP
変数は、システム全体またはIISユーザーに対して、有効なディレクトリを指すように設定する必要があります。TEMP
変数はシステム全体に対して設定することをお薦めします。
Active Directory: ポリシー・マネージャのインストール中にWindows Server 2003上のActive Directoryをディレクトリ・サーバーとして指定すると、動的補助クラスをサポートするかどうかを尋ねる新しいページが表示されます。ADSIを使用している場合は、ポリシー・マネージャのインストール後および設定前に、IIS Webサーバーの匿名ユーザー・ログイン・アカウントをドメイン・ユーザーに設定する必要があります。Active Directoryの詳細は、付録Aを参照してください。
IIS Webサーバーにインストールされたポリシー・マネージャは、レジストリに依存して\PolicyManager_install_dirを取得します。1台のコンピュータ上に2つのポリシー・マネージャ(1つはIIS Webサーバーとともに、もう1つはSun Webサーバーとともに)をインストールする場合のレジストリ内の競合を回避するため、次の手順で説明しているようにポリシー・マネージャをインストールする必要があります。
タスクの概要: IISおよびSunのWebサーバーのインスタンスの競合の回避の手順
Sun Webサーバーのポリシー・マネージャを最初にインストールします。
次に、IIS Webサーバーのポリシー・マネージャをインストールします。
ポリシー・マネージャのインストールの詳細は、第7章を参照してください。
この項では、1つのIIS Webサーバーに対して1つのWebGateをインストールする場合の一般的な情報について説明します。また、1つのIIS Webサーバーに対して複数のWebGateをインストールしたり、64ビットのWebGateを使用したりできます。
特に明記しないかぎり、これらの詳細は32ビットのWebGateと64ビットのWebGateの両方に適用されます。
関連項目:
|
WebGateをインストールする前に、IIS Webサーバーがロックダウン・モードでないことを確認してください。ロックダウン・モードの場合、サーバーが再起動されてメタベースが再初期化されるまで、つまり、ロックダウン後に発生したアクティビティをIISが無視するまで、処理が進行しているように表示されます。
NTFSをサポートするファイル・システムにインストールする場合にのみ、IIS WebGateでは、/accessディレクトリに対する様々な権限の設定が必要です。たとえば、FAT32ファイル・システムを実行しているWindows 2000コンピュータに、シンプル・モードまたは証明書モードでISAPI WebGateをインストールするとします。最後のインストール・パネルには、FAT32ファイル・システム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、この指示は無視してください。
各IIS仮想Webサーバーには、独自のWebGate.dllファイルを仮想レベルでインストールするか、全サイトに影響を与える1つのWebGateをサイト・レベルでインストールできます。WebGate.dllをサイト・レベルでインストールしてすべての仮想ホストを制御するか、1つまたはすべての仮想ホスト用にWebGate.dllをインストールします。
postgate.dllファイルをコンピュータ・レベルでインストールする必要がある場合もあります。postgate.dllは、「IIS Webサーバー上におけるpostgate.dllのインストール」で説明されているように、\WebGate_install_dirにあります。インストールを複数回実行すると、このファイルの複数のバージョンが作成され、異常なOracle Access Managerの動作が発生する場合があります。この場合は、webgate.dllおよびpostgate.dllがそれぞれ1つずつ存在することを確認してください。
注意: postgate.dllは、常にサイト・レベルでインストールされます。なんらかの理由でWebGateを再インストールすると、postgate.dllも再インストールされます。この場合は、postgate.dllのコピーがサイト・レベルで1つのみ存在することを確認してください。 |
他のOracle Access Manager Webコンポーネントの場合と同様に、WebGateと連動するようにWebサーバーを構成する必要があります。インストール中に、自動的にWebサーバー構成を更新することをお薦めします。この他にも、次のことに留意してください。
WebGateのインストール中に、特別な指示が表示されることがあります。たとえば、NTFSをサポートするファイル・システムにインストールする場合にのみ、IIS WebGateでは、/accessディレクトリに対する様々な権限の設定が必要です。最後のインストール・パネルには、FAT32ファイル・システム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、この指示は無視してください。
IIS上で、クライアント証明書認証を使用する場合、WebGateのクライアント証明書を有効化する前にWebGateをホストするIIS Webサーバー上のSSLを有効化する必要があります。また、様々なフィルタが特定の順序でインストールされていることを確認する必要があります。さらに、postgate.dllをISAPIフィルタとしてインストールする必要がある場合があります。
WebGateのインストールの詳細は、第9章を参照してください。
このWebGateは、他のWebGateと同様に第9章の手順に従ってインストールします。WebGateのインストール時に手動でIISを構成するように選択した場合、次のパスにある詳細情報にアクセスできます。
WebGate_install_dir\access\oblix\lang\en-us\docs\dotnet_isapi.htm
WebGateのインストールとIISの構成を行い、「64ビットのWebGateのインストールの終了」のタスクを実行します。
特に明記しないかぎり、この項の詳細は32ビットのWebGateと64ビットのWebGateの両方に適用されます。
IIS v6.0では複数のWebサイトを1つのWebサーバー上でホストできます。また、Oracle Access Manager ISAPI WebGateでは各Webサイトを異なるWebGateで保護できます。
Oracle Access Manager ISAPI WebGateの以前のリリースでは、1つのIIS Webサーバー・インスタンスに対して複数のWebGateを使用できませんでした。上位レベルのすべてのWebサイトに対して1つのWebGateをインストールするか、Webサイト・レベルでWebGateを構成して1つのWebサイトを保護する必要がありました。
IIS 6では、仮想サーバーの実行に使用するアプリケーション・プールが用意されています。アプリケーション・プールは、ワーカー・プロセスまたはワーカー・プロセスのセットによって処理される1つ以上のURLのグループと考えることができます。アプリケーション・プールは、1つ以上のアプリケーションが1つ以上のワーカー・プロセスのセットにリンクされる構成です。アプリケーション・プールにあるアプリケーションは、ワーカー・プロセスの境界によって他のアプリケーションと切り離されるため、あるアプリケーション・プールのアプリケーションで問題が発生しても、他のアプリケーション・プールのアプリケーションには影響しません。現在、WebGateの各インスタンスは個別のプロセス領域で実行できます。
1つのIIS v6.0 Webサーバー・インスタンス上に複数のWebサイトがある場合、ユーザーのリクエストが正しいWebサイトに到達する必要があります。このためには、次に示す3つの一意の識別子のうち少なくとも1つを使用して、サーバー上の各サイトに一意のIDを構成する必要があります。
ホスト・ヘッダー名
IPアドレス
TCPポート番号
注意: 1つのサーバー上に複数のWebサイトがあり、これらをIPアドレスとポートで識別する場合、複数のWebGateは必要ありません。10.1.4.2.0のリリースから、ApacheおよびIIS 6.0上で仮想ホストが使用できるようになりました。このため、上位レベルにWebGateが1つあれば、IPアドレスが異なっていてもすべてのWebサイトを保護できます。これは、Webサイトごとに異なるホスト識別子を使用して処理されます。 |
同じIIS Webサーバー・インスタンスの各Webサイトに対してそれぞれWebGateをインストールできます。ただし、手動によるいくつかの手順が必要になります。
最新のOracle Access Managerの動作保証は、次のOracle Technology Networkを参照してください。
http://www.oracle.com/technology/products/id_mgmt/coreid_acc/pdf/oracle_access_manager_certification_10.1.4_r3_matrix.xls
WebPassをインストールしてWebサーバー構成を更新した場合、WebPassのインストール・ディレクトリに正常に実行するための適切な権限があることを確認する必要があります。
次のディレクトリを検索します。
\WebPass_install_dir\identity\oblix\apps\webpass\bin
\binディレクトリを右クリックして、「プロパティ」を選択します。
「セキュリティ」タブを選択して、読取りおよび書込み権限の許可がユーザー"SERVICE"に付与されていることを確認します。
「シンプル」または「証明書」モードでWebPassが設定された場合の検証の手順
\WebPass_install_dir\identity\oblix\config\password.xmlを検索します。
password.xmlを右クリックして、「プロパティ」を選択します。
「セキュリティ」タブを選択して、読取り権限の許可がユーザーに付与されていることを確認します。
"IUSR_<computer_name>"
"IWAM_<computer_name>"
"NETWORK SERVICE"
"IIS_WPG"(IIS 6.0のみ)
構成をポリシー・マネージャのインストール中に自動的に更新する場合、または手動で更新する場合のいずれも、ディレクトリ権限がOracle Access Managerに対して正しく設定されていることを容易に検証できます。
ポリシー・マネージャのIIS Webサーバー構成の検証の手順
Webブラウザを起動し、必要に応じて次のファイルを開きます。次に例を示します。
\PolicyManager_install_dir\access\oblix\lang\langTag\docs\config.htm
「Webサーバーの手動構成」でも示しているように、画面の表から該当するWebサーバー・インタフェース構成プロトコルを選択します。
ディレクトリ権限を確認して、ポリシー・マネージャのWebサーバーに設定されたディレクトリ権限と比較します。
特に明記しないかぎり、この項の詳細は32ビットのWebGateと64ビットのWebGateの両方に適用されます。
関連項目:
|
IIS WebサーバーでWebGateのインストールを完了するには、インストールの完了後に次のアクティビティを行います。
タスクの概要: IIS WebGateのインストールの完了に含まれる手順
特に明記しないかぎり、この項の詳細は32ビットのWebGateと64ビットのWebGateの両方に適用されます。
クライアント証明書認証を使用する場合は、IIS Webサーバー上のSSLを有効化する必要があります。設定中にクライアント証明書認証を選択する場合、ISAPIフィルタの1つとしてcert_authn.dllも追加する必要があります。
この手順はIIS v5用の手順です。ユーザーの環境とは異なる場合があります。
必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット インフォメーション サービス」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
「既定の Web サイト」(または該当するWebサイト)を開いてから、\access\oblix\apps\webgate\binを開きます。
cert_authn.dllを右クリックして、「プロパティ」を選択します。
「プロパティ」パネルの「ファイル セキュリティ」タブを選択します。
「セキュアな通信」サブパネルで、「編集」をクリックします。
「クライアント証明書認証」サブパネルで、「証明書の承認」を選択して「OK」をクリックします。
cert_authn.dllの「プロパティ」パネルで「OK」をクリックします。
次の手順、「ISAPIフィルタとしてのcert_authn.dllの追加の手順」に進みます。
ISAPIフィルタとしてのcert_authn.dllの追加の手順
必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット インフォメーション サービス」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
該当するWebサイトを右クリックして、「プロパティ」パネルを表示します。
「ISAPIフィルタ」タブをクリックし、「追加」ボタンをクリックして「フィルタのプロパティ」パネルを表示します。
フィルタ名cert_authnを入力します。
「参照する」ボタンをクリックして、次のディレクトリに移動します。
\WebGate_install_dir\access\oblix\apps\webgate\bin
cert_authn.dllを実行可能ファイルとして選択します。
「フィルタのプロパティ」パネルで「OK」をクリックします。
「ISAPIフィルタ」パネルで「適用」をクリックします。
「OK」をクリックします。
フィルタが正しい順序で一覧表示されていることを確認します。
特に明記しないかぎり、この項の詳細は32ビットのWebGateと64ビットのWebGateの両方に適用されます。
WebGate ISAPIフィルタが正しい順序で含まれていることを確認する必要があります。
注意: このタスクは、IIS Webサーバー・インスタンスごとにインストールするWebGateの数に関係なく同じです。 |
必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット インフォメーション サービス」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
Webサイトを右クリックして、「プロパティ」を選択します。
「プロパティ」をクリックして、ISAPIフィルタを選択します。
次の.dllファイルが表示されることを確認します。
次に例を示します。
必要に応じて欠落したフィルタを追加し、フィルタ名を選択して、手順5で示すように上矢印および下矢印を使用してフィルタの順序を調整します。
警告: 1つのwebgate.dllおよび1つのpostgate.dllフィルタのみがあることを確認してください。1台のコンピュータ上で複数のWebGateのインストールを実行する場合、複数のバージョンのpostgate.dllファイルが作成され、異常なOracle Access Managerの動作が発生する場合があります。 |
特に明記しないかぎり、この項の詳細は32ビットのWebGateと64ビットのWebGateの両方に適用されます。
WebGateのインストールに従い、postgate.dllを手動でインストールする必要がある場合があります。
注意: POSTデータは、(AzMan許可プラグインなどの)ルール・パラメータを含む許可決定で使用されます。この場合、postgate.dllをインストールする必要があります。ただし、1つのIIS Webサーバー・インスタンスに対して複数のWebGateがインストールおよび構成されている場合、postgate.dllはサポートされません。 |
WebGateの拡張メソッド(WebGateがフォームのアクションの場合)の使用時、IIS Webサーバー上のフォーム・ログイン中のパススルーのためにPOSTデータが必要です。つまり、IIS Webサーバー上のフォーム認証スキームはパススルー・オプションにより構成され、ログイン・フォームのターゲットは、フォームによりポストされたデータを必要とし、WebGate拡張メソッド(WebGate DLLがフォームのアクションの場合)は使用できません。そのかわり、WebGateのフィルタ・メソッド(フォームのアクションがWebGate DLLでない保護されたURLの場合)を使用する必要があり、postgate DLLをインストールおよび有効化する必要があります。
次の手順は、IIS Webサーバーのコマンドを理解していることを前提としています。2つの手順が用意されています。
IIS 6 Webサーバーの場合のみ、WWWサービスをIIS 5.0分離モードで実行する必要があります。これは、ISAPIポストゲート・フィルタで必要となります。
必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット インフォメーション サービス」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
Webサイトを右クリックして、「プロパティ」を選択します。
「Webサイトのプロパティ」ウィンドウの「サービス」タブを選択します。
「Run WWW service in IIS 5.0 Isolation Mode」の横のボックスを選択します。
「OK」をクリックします。
1つのWebGateインストールに対して、次の順序でフィルタをインストールする必要があります。
ISAPI WebGateフィルタは、sspifittフィルタの後、およびその他のフィルタの前にインストールする必要があります。
その他すべてのOracle Access Managerフィルタは最後にインストールできます。
注意: インストール前(またはアンインストール後)にフィルタを手動で削除する必要があります。複数のコピーのフィルタがインストールされている場合、このことは、新規フィルタのインストール前にこれらが手動で削除されなかったことを意味します。 |
コンピュータの(上位の)Webサイト・レベルで構成できるのは、1つのpostgate.dllのみです。上位レベルのWebサイトとは異なるレベルで複数のwebgate.dllを構成できます。ただし、これらは同一のpostgate.dllを共有します。1台のコンピュータ上で複数のWebGateのインストールを実行する場合、複数のバージョンのpostgate.dllファイルが作成され、異常なOracle Access Managerの動作が発生する場合があります。
注意: 1つのIIS Webサーバー・インスタンスに対して複数のWebGateがインストールおよび構成されている場合、postgate.dllはサポートされません。 |
次の手順は、1つのIIS Webサーバー・インスタンスに対して1つのWebGateをインストールしている場合に、ポストゲートISAPIフィルタをインストールおよび配置するためのガイドです。
必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット インフォメーション サービス」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
Webサイトを右クリックして、「プロパティ」を選択します。
「Webサイトのプロパティ」ウィンドウの「ISAPIフィルタ」タブを選択します。
「追加」ボタンをクリックして、「フィルタのプロパティ」パネルを表示します。
フィルタ名postgateを入力します。
「参照する」ボタンをクリックして、次のディレクトリに移動します。
\WebGate_install_dir\access\oblix\apps\webgate\bin
postgate.dllを実行可能ファイルとして選択します。
「フィルタのプロパティ」パネルで「OK」をクリックします。
「ISAPIフィルタ」パネルで「適用」をクリックします。
IISの再起動およびポストゲートISAPIフィルタの位置の変更の手順
必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。
ローカル・コンピュータを右クリックして、「すべてのタスク」を選択し、「IISを再起動」を選択します。
「プロパティ」パネルの「ISAPIフィルタ」タブを選択します。
ポストゲート・フィルタを選択し、上矢印を使用してWebGateの前に移動します。
次に例を示します。
IISを再起動するか、次の「デフォルト・サイトが設定されていない場合のWebサイトの保護」に進みます。
特に明記しないかぎり、この項は32ビットのWebGateと64ビットのWebGateの両方に適用されます。
「既定の Web サイト」が構成されていないIIS Webサーバー上にWebGateをインストールする場合、インストーラは「仮想ディレクトリへのアクセス」を作成しません。これは、次の手順を使用して手動で実行する必要があります。
必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。
保護するWebサイトの名前を選択します。
保護するWebサイトの名前を右クリックして、メニューの「新規作成」→「仮想ディレクトリ」を選択します。
「次へ」をクリックします。
「別名」accessを選択して、「次へ」をクリックします。
ディレクトリ: /accessディレクトリへのフルパスを入力してから、「次へ」をクリックします。
WebGate_install_dir\access
「読み取り」、「スクリプトの実行」、および「実行」を選択してから、「次へ」をクリックします。
「終了」をクリックします。
IISを再起動します。次に例を示します。
net start w3svc
と入力します。特に明記しないかぎり、この項は32ビットのWebGateと64ビットのWebGateの両方に適用されます。
この項では、同じIIS Webサーバー・インスタンスの各Webサイトに対してそれぞれWebGateをインストールおよび構成する方法について説明します。いくつかの手順は手動で、1つのIISインスタンスに対して1つのWebGateをインストールする場合に実行する手順とは異なります。1つのIISインスタンスに対して複数のWebGateをインストールする場合、次のようになります。
webgate.dllは、デフォルト(上位)のWebサーバー・レベルではなく個々のWebサイト・レベルでISAPIフィルタとして構成する必要があります。
/access仮想ディレクトリは、Webサイト・レベルでWebGateインストールの各/accessディレクトリにマップされます。
複数のWebGateの偽装DLLを構成する場合、オペレーティング・システムとして機能するようにユーザーを構成する必要があります。
マシンの(上位の)Webサイト・レベルで構成できるのは、1つのpostgate.dllのみです。ただし、上位レベルのWebサイトの下に異なるレベルで複数のwebgate.dllを構成できます。1台のマシン上で複数のWebGateのインストールを実行する場合、複数のバージョンのpostgate.dllファイルが作成され、異常なOracle Access Managerの動作が発生する場合があります。
タスクの概要: 1つのIISインスタンスに対する複数のWebGateのインストールおよび構成
次のタスクを実行します。このタスクはIIS Webサーバー・インスタンスごとにインストールするWebGateの数に関係なく同じです。
特に明記しないかぎり、この項は32ビットのWebGateと64ビットのWebGateの両方に適用されます。
ISAPI WebGateをインストールしたら、ここで説明されているようにいくつかの手順を実行します。
デフォルトでは、webgate.dllは(上位の)Webサイト・レベルのISAPIフィルタとして構成されます。1つのIISインスタンスに対して複数のWebGateをインストールする場合、それぞれのwebgate.dllを上位レベルから削除して、各WebGateのインストール後に該当する個々のWebサイトに対して構成する必要があります。
注意: 1台のマシン上で複数のWebGateのインストールを実行する場合、複数のバージョンのpostgate.dllファイルが作成され、異常なOracle Access Managerの動作が発生する場合があります。1つのIIS v6 Webサーバー・インスタンスに対して複数のWebGateが構成されている環境では、postgate.dllはサポートされません。 |
1つのIISインスタンスに対して複数のWebGateがある場合に各WebGateをインストールする手順
第9章の説明に従ってISAPI WebGateをインストールします。
保護するWebサイトに移動し、次の手順を実行してwebgate.dllをISAPIフィルタとして構成します。
インターネット・インフォメーション・サービス(IIS)マネージャを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット インフォメーション サービス (IIS) マネージャ」をクリックします。
「Web サイト」を右クリックして、「プロパティ」オプションを選択します。
「ISAPI フィルタ」タブをクリックしてwebgate.dllのパスを探します。フィルタ内に存在する場合はそれを選択して、「削除」ボタンをクリックします。
「Web サイト」で、保護するWebサイトの名前を右クリックし、「プロパティ」オプションを選択します。
「ISAPI フィルタ」タブをクリックしてフィルタのDLLを追加します。
webgate.dllファイルのパスを識別するために次のフィルタを追加し、webgateという名前を付けます。
WebGate_install_dir/access/oblix/apps/webgate/bin/webgate.dll
これらの変更内容を保存して適用します。
「ディレクトリ セキュリティ」タブに移動します。
Oracle Access ManagerでこのWebサーバーの認証を行えるように「匿名アクセス」と「基本認証」が選択されていることを確認します。
これらの変更内容を保存して適用します。
保護するWebサイト・レベルに移動し、新しくインストールしたWebGate_install_dirを示す/access仮想ディレクトリを次のように作成します。
「Web サイト」で、保護するWebサイトの名前を右クリックします。
「新規作成」を選択して、該当のWebGate_install_dir/accessを示す新しい仮想ディレクトリaccess
を作成します。
「アクセス許可」で、「読み取り」、「ASP などのスクリプトを実行する」および「ISAPI アプリケーションや CGI などを実行する」を選択します。
これらの変更内容を保存して適用します。
ファイル・システムで、次のようにOracle Access Managerのディレクトリ権限を設定します。
ファイル・システムで、WebGate_install_dir\accessを見つけて右クリックし、「プロパティ」を選択します。
「セキュリティ」タブをクリックします。
IUSR_machine_nameユーザーを追加して、「変更」に対して「許可」を選択します。
たとえば、Oracleのmachine_nameとしてIUSR_ORACLEを選択します。
IWAM_machine_nameユーザーを追加して、「変更」に対して「許可」を選択します。
たとえば、Oracleのmachine_nameとしてIWAM_ORACLEを選択します。
IIS_WPGユーザーを追加して、「変更」に対して「許可」を選択します。
NETWORK SERVICEユーザーを追加して、「変更」に対して「許可」を選択します。
Administratorsグループで、「変更」に対して「許可」を選択します。
「シンプル」または「証明書」モードでWebGateが設定されている場合は、次の手順を実行します。
ファイル・システムで、WebGate_install_dir\access\oblix\config\password.xmlのpassword.xmlファイルを見つけて右クリックします。
「セキュリティ」タブをクリックします。
IUSR_machine_name、IWAM_machine_name、IIS_WPG、NETWORK SERVICEユーザーの「読み取り」権限に対して「許可」を選択します。
次の手順を実行して新しいWebサービス拡張機能を追加します。
「Web サービス拡張」を右クリックし、「新しい Web サービス拡張を追加...」を選択します。
拡張名Oracle WebGate
を追加します。
「追加」をクリックして拡張機能ファイルのパスを追加し、該当のwebgate.dllのパスを入力します。
WebGate_install_dir\access\access\oblix\apps\webgate\bin\webgate.dll
「OK」をクリックして変更内容を保存します。
「拡張の状態を許可済みに設定する」の横にあるチェック・ボックスを選択します。
「OK」をクリックして変更内容を保存します。
上位のWebサイト・レベル(「Web サイト」)のISAPIフィルタにwebgate.dllがないことを確認します。
次の項目の手順に従い次の一連のタスクを実行します。
IISインスタンスに対して次のWebGateをインストールするには、これらの手順を繰り返します。
特に明記しないかぎり、この項は32ビットのWebGateと64ビットのWebGateの両方に適用されます。
クライアントのアクセス・トークンは偽装トークンとも呼ばれます。偽装トークンでは、クライアント、クライアントのグループおよびクライアントの権限が識別されます。トークン内の情報は、スレッドがクライアントのかわりにリソースへのアクセスをリクエストする際に、アクセス・チェックに使用されます。
アクセス・システムによってユーザーの認証および認可が行われます。ワイルドカード拡張機能のOAMのIISImpersonationExtension.dllは、Webサーバーへの各リクエストのフィルタのように機能します。アクセス・システムでは、「アクセス・ゲート構成」ページの偽装ユーザー名/パスワードを使用して、別のユーザーを偽装する権限を持つ特別なユーザーを構成することでユーザーを指定します。指定されたユーザーにはオペレーティング・システムとして機能する権限が必要です。DLLは、OAMによって認証および認可されたユーザーを偽装し、偽装トークンを生成します。
次の手順を実行し、1つのIIS Webサーバー・インスタンスのWebサイトを保護する各WebGateに偽装DLLを設定します。これは、前述の項のインストール・タスクの直後に行うことも、まとめて一度に実行することもできます。
注意: このタスクは、1つのIIS Webサーバー・インスタンスの個々のWebサイトを保護する各WebGateに対して実行する必要があります。 |
個々のWebサイトのIIS構成に偽装DLLを追加する手順
必要に応じて、インターネット・インフォメーション・サービス(IIS)マネージャを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット インフォメーション サービス (IIS) マネージャ」をクリックします。
左側のペインにあるローカル・コンピュータのアイコンの横のプラス・アイコン(+)をクリックしてWebサイトを表示します。
左側のペインで「Web サービス拡張」をクリックします。
右側のペインで「WebGate」をダブルクリックし、「プロパティ」パネルを開きます。
「必要なファイル」タブをクリックします。
「追加」をクリックします。
「ファイルのパス」テキスト・ボックスでIISImpersonationExtension.dllのフルパスを入力し、「OK」をクリックします。次に例を示します。
WebGate_install_dir\access\oblix\apps\webgate\bin\IISImpersonationExtension.dll
この例ではデフォルトのパスを表しています。この場合、WebGate_install_dirが、該当のWebGateをインストールしたファイル・システムのディレクトリになります。
WebGateのアイコンの横にある「許可」ボタンがグレー表示されていることを確認します。グレー表示されていれば、dllをWebサービス拡張機能として実行できます。
Webサイト名を右クリックして、「プロパティ」をクリックします。
「ホーム ディレクトリ」タブをクリックし、「構成」ボタンをクリックします。
ワイルドカードのアプリケーションのマッピングのリスト・ボックスで、IISImpersonationExtension.dll
のエントリをクリックして強調表示し、「編集」をクリックします。
ボックスの選択が解除されていないことを確認し、「OK」をクリックします。
IIS Webサーバー・インスタンスのWebサイトとWebGateのペアごとにこれらの手順を繰り返します。
次の作業を実行します。
クライアント証明書認証: 「複数のWebGateに対するSSLとクライアント認証の有効化」
このタスクを実行し、1つのIIS Webサーバー・インスタンスのWebサイトを保護する各WebGateに有効なクライアント認証を設定します。これは、偽装DLLを個々のWebサイトに追加した直後に行うことも、まとめて一度に実行することもできます。
注意: 特に明記しないかぎり、この項の手順は32ビットのWebGateと64ビットのWebGateの両方に適用されます。 |
設定中にクライアント証明書認証を選択する場合、各WebサイトのISAPIフィルタの1つとしてcert_authn.dllも追加する必要があります。
必要に応じて、インターネット・インフォメーション・サービス(IIS)マネージャを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット インフォメーション サービス (IIS) マネージャ」をクリックします。
ローカル・コンピュータのアイコンを開き、Webサイトを表示します。
該当するそれぞれのWebサイトを開いてから、\access\oblix\apps\webgate\binを開きます。
cert_authn.dll
を右クリックして、「プロパティ」を選択します。
「プロパティ」パネルの「ファイル セキュリティ」タブを選択します。
「セキュリティで保護された通信」サブパネルで、「編集」をクリックします。
「クライアント証明書」サブパネルで、「クライアント証明書を受諾する」を選択して「OK」をクリックします。
cert_authn.dllの「プロパティ」パネルで「OK」をクリックします。
このホストにインストールした各WebGateに対して同じ処理を繰り返します。
次のタスク、「ISAPIフィルタとしてのcert_authn.dllの追加の手順」に進みます。
ISAPIフィルタとしてのcert_authn.dllの追加の手順
必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。
ローカル・コンピュータを開き、Webサイトを表示します。
該当するWebサイトを右クリックして、「プロパティ」パネルを表示します。
「ISAPI フィルタ」タブをクリックし、「追加」ボタンをクリックして「フィルタのプロパティ」パネルを表示します。
フィルタ名cert_authn
を入力します。
「参照」ボタンをクリックして、次のディレクトリに移動します。
\WebGate_install_dir\access\oblix\apps\webgate\bin
cert_authn.dll
を実行可能ファイルとして選択します。
「フィルタのプロパティ」パネルで「OK」をクリックします。
「ISAPI フィルタ」パネルで「適用」をクリックします。
「OK」をクリックします。
このホストにインストールした各WebGateに対して同じ処理を繰り返します。
フィルタが正しい順序で一覧表示されていることを確認します。
「複数のWebGateのインストールの確認」に進みます。
このタスクは32ビットのWebGateと64ビットのWebGateの両方に適用されます。
1台のマシン上で複数のWebGateのインストールを実行する場合、複数のバージョンのpostgate.dllファイルが作成され、異常なOracle Access Managerの動作が発生する場合があります。1つのIIS v6 Webサーバー・インスタンスに対して複数のWebGateが構成されている環境では、postgate.dllはサポートされません。
この項では、64ビットのWebGateをインストールする方法について説明します。32ビットのWebGateをインストールする場合、この項はスキップできます。その場合、かわりに「IISでのWebGateのインストールの完了」を参照してください。
このタスクを開始する前に、第9章の説明に従ってWebGateがインストールされていることを確認してください。また、該当のWebGateに対応するWebサーバー構成の更新は、WebGateのインストール時に自動で完了させておくか、「IIS v6に対応する64ビットのWebGate」の説明に従って手動で完了させておく必要があります。
タスクの概要: 64ビットのWebGateのインストールの終了
「アクセス権限、ISAPIフィルタおよびディレクトリのセキュリティ認証の設定」の手順を実行します。
必要に応じて、クライアント証明書を有効化します。詳細は、「クライアント証明書認証の設定」を参照してください。
これらを完了したら、次を実行できます。
「IISへのWebGateのインストールの確認」の説明に従って操作を確認します。
『Oracle Access Managerアクセス管理ガイド』の説明に従って、該当のドメインを保護するポリシー・ドメインを作成します。
『Oracle Access Manager統合ガイド』の説明に従ってWindows偽装を実装します。
特に明記しないかぎり、この項は32ビットのWebGateと64ビットのWebGateの両方に適用されます。この項では、デフォルトとして使用するWebサイトのアクセス権限の設定について説明します。
IISインスタンスに対してポリシー・マネージャをすでにインストールしている場合、次の手順を実行して権限を確認できます。
アクセス権限、ISAPIフィルタおよびディレクトリのセキュリティ認証を設定または確認する手順
インターネット・サービス・マネージャを起動します。たとえば、「スタート」メニューから「プログラム」→「管理ツール」→「インターネット サービス マネージャ」をクリックします。
左側のパネルで、「+」をクリックしてローカル・コンピュータを開きます。
クリックして「Web サイト」タブを開きます。
「既定の Web サイト」(またはデフォルトとして使用しているサイト)を右クリックし、「デフォルト・サイトが設定されていない場合のWebサイトの保護」の説明に従って仮想ディレクトリを作成します。
「インターネット インフォメーション サービス」タブの「Web サイト」を右クリックし、「プロパティ」をクリックして次の手順を実行します。
「インターネット インフォメーション サービス」タブで、「編集」ボタンをクリックします。
「ISAPI フィルタ」タブを見つけて、次のようにフィルタのDLLを確認(または追加)します。
フィルタがある場合: IIS Webサーバーの構成ファイルを更新してある場合、webgate.dllが正しく配置されています。
フィルタがない場合: WebGate_install_dir\oblix\access\apps\webgate\bin\webgate.dllからwebgate.dllフィルタを追加します。
変更内容を保存して適用します。
「ディレクトリ セキュリティ」タブをクリックして「匿名アクセス」と「基本認証」の両方が選択されていることを確認します。
選択されている場合: 手順6に進みます。
選択されていない場合: 「匿名アクセス」と「基本認証」を選択し、これらの変更内容を保存して適用します。
次の作業を実行します。
クライアント証明書認証の設定(必要に応じて)
クライアント証明書認証がない場合: IIS Webサーバーを再起動します。
フィルタの配置: 「ISAPIフィルタの順序」の手順を実行し、すべてのフィルタが追加されていてその順序が正しいことを確認します。「IISの再起動およびポストゲートISAPIフィルタの位置の変更の手順」も参照してください。
このタスクはオプションです。クライアント証明書認証を使用する場合にのみ実行してください。使用する場合、IISとWebGateがSSLに対応している必要があります。
この項の情報は、「IIS Webサーバー上のクライアント証明書認証の有効化」の詳細のサブセットです。
ISAPIフィルタとしてのcert_authn.dllの追加の手順
必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット サービス マネージャ」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
「既定の Web サイト」(またはデフォルトとして使用しているWebサイト)を右クリックしてから、\access\oblix\apps\webgate\binを開きます。
cert_authn.dllを右クリックして「プロパティ」を選択し、次の操作を実行します。
「プロパティ」パネルの「ファイル セキュリティ」タブを選択します。
「セキュアな通信」サブパネルで、「編集」をクリックします。
「クライアント証明書認証」サブパネルで、「証明書の承認」を選択して「OK」をクリックします。
「セキュリティで保護された通信」パネルで「OK」をクリックします。
cert_authn.dllの「プロパティ」パネルで「OK」をクリックします。
「ISAPI フィルタ」タブをクリックし、「追加」ボタンをクリックして「フィルタのプロパティ」パネルを表示します。
「ISAPIフィルタの順序」の手順に従って、フィルタが正しい順序で一覧表示されていることを確認します。
「IISへのWebGateのインストールの確認」に進みます。
WebGateをインストールしてIIS Webサーバー構成ファイルを更新した後、WebGate診断を使用してWebGateが適切にインストールされていることを確認できます。
注意: このタスクは32ビットのWebGateと64ビットのWebGateの両方に適用されます。これは、IIS Webサーバー・インスタンスごとにインストールするWebGateの数に関係なく同じです。 |
WebGateのインストールの確認手順
次のURLに移動します。
http(s)://hostname:port/access/oblix/apps/webgate/bin/webgate.dll?progid=1
ここで、hostnameは、WebGateをホストするコンピュータの名前を、portは、Webサーバーのインスタンスのポート番号を表します。
WebGateの診断ページが表示されます。
Oracle Access Manager Webコンポーネントのインストールまたは設定中にIIS Webサーバーの再起動を求められた場合は、画面に表示されるすべての指示に従ってください。また、net stop iisadmin
およびnet start w3svc
の使用を検討してください。この方法はWebサーバーの停止および起動に適しています。これは、すべてのOracle Access Manager Webコンポーネント(特にポリシー・マネージャのインストール後)に当てはまります。net
コマンドは、インストールに伴いメタベースが破損しないようにするために役立ちます。
詳細は、次に示すWebコンポーネント関連の章を参照してください。
この項の情報は、32ビットのWebGateと64ビットのWebGateの両方に適用されます。
インストール中に行ったWebサーバー構成の変更は、Oracle Access Managerコンポーネント(WebPass、ポリシー・マネージャ、WebGate)をアンインストールしてから手動で元に戻す必要があります。たとえば、IIS WebPassに対してISAPI transfilterがインストールされます。ただし、WebPassをアンインストールしてもこれは自動的には削除されません。また、作成されたWebサービス拡張機能と、IDディレクトリへのリンクも削除されません。このような情報は手動で削除する必要があります。これらは削除する必要がある情報の一例です。すべてではありません。
さらに、Oracle Access Managerコンポーネント(WebPass、ポリシー・マネージャ、WebGate)についてWebサーバー構成ファイルに手動で行ったすべての変更を削除する必要があります。各コンポーネントに追加される内容の詳細は、この章の他の項を参照してください。
WebGateおよび関連フィルタをIISから完全に削除するには、フィルタをIISのリストから削除するだけでなく、他の手順も必要になります。IISは、その設定をすべてメタベース・ファイルに保持します。Windows 2000以降では、これは手動で変更できるXMLファイルです。また、メタベースの編集に利用できるツール(MetaEdit)もあります。MetaEditはRegeditに類似しており、一貫性チェックとブラウザ/エディタの機能があります。WebGateをIISから完全に削除するには、MetaEditを使用してメタベースを編集します。
トラブルシューティングの詳細は、付録Eの次の項を参照してください。