この章では、Oracle Access Manager ISAPI WebGateとMicrosoft Internet Security and Acceleration Server(ISAサーバー)が連動するように構成する方法について説明します。次の項目について説明します。
注意: Oracle Access Manager ISAPI WebGateは、10g(10.1.4.3)インストーラの初期リリースでは利用できません。「互換性とプラットフォームのサポート」の動作保証のマトリクスで、利用可能かどうか確認してください。 |
ISAサーバーは、Microsoft社が提供する統合された境界セキュリティ・ゲートウェイです。インターネットベースの脅威からIT環境を保護し、アプリケーションとデータへのセキュアなリモート・アクセスをユーザーに提供することを目的としています。
WebGateは、Oracle Access ManagerのWebサーバー・プラグイン・アクセス・クライアントで、WebリソースへのHTTPリクエストを捕捉して、認証と認可を行うためにアクセス・サーバーに転送します。ISAPIは、ISAサーバー(およびIIS Web サーバー)と通信するWebGateを識別するためにOracle Access Managerで使用されるインターネットWebサーバー拡張機能です。
このWebGateは、Oracle Access Managerの基本およびフォーム(フォームベース)認証スキームの両方を使用するシナリオでISAサーバーと連動することがテストされています。通常と同様に、Oracle Access Managerを使用して基本およびフォーム認証スキームとポリシー・ドメインを開発してください。
注意: Oracle Access Managerのクライアント証明書認証は、ISAサーバーに対してはサポートされていません。 |
関連項目: 『Oracle Access Managerアクセス管理ガイド』の認証管理とポリシー・ドメインの詳細 |
ISAサーバーをOracle Access Managerと連動させる方法は、IIS Webサーバーの場合とほぼ同じです。ただし、ISAサーバーでは、ファイアウォールと仮想プライベート・ネットワーク(VPN)の機能が提供されます。
ISAサーバーは、サード・パーティのセキュリティ・フィルタを使用するように構成できます。ISAサーバー使用時の認証および認可にOracle Access Managerセキュリティを適用するには、webgate.dllとpostgate.dllの両方をISAサーバーWebフィルタとして登録する必要があります。アクセス・サーバーへのリクエストがISAサーバーを通過するたびに、webgate.dllとpostgate.dllが要求されます。
次の概要では、実行が必要なタスクと、ISAPI WebGateをISAサーバーに合せて設定する手順に関する項目について説明します。
「動作保証要件の確認」で説明されているように、次のURLのOracle Technology Networkから最新の動作保証のマトリクスを入手できます。
http://www.oracle.com/technology/products/id_mgmt/coreid_acc/pdf/oracle_access_manager_certification_10.1.4_r3_matrix.xls
ISAサーバーのインストール後、ISAサーバーと連動させるためにWebGateをインストールするには、次のタスクを実行します。
タスクの概要: ISAサーバーのためのWebGate構成の実行
ISAサーバーに合せてWebGateをインストールする場合、ISAPI WebGateのインストール先(WebGate_install_dir)を、Microsoft ISAサーバーのインストール先と同じにする必要があります。たとえば、ISAサーバーがC:\Program Files\Microsoft ISA Serverにインストールされている場合、ISAPI WebGateもその同じ場所にインストールする必要があります。
注意: WebGateのインストール時に、ISAサーバー構成を自動更新しないでください。ISAサーバー構成を自動更新するかどうか確認されたら、「いいえ」を選択してください。 |
次のタスク概要で説明されているように、実行が必要なタスクの一部については第9章で、それ以外のタスクはこの章で説明します。
ISAサーバーに対応するISAPI WebGateのインストールと構成が終了したら、\accessサブディレクトリへの権限を変更する必要があります。このサブディレクトリは、ISAサーバー(およびWebGate)のインストール・ディレクトリ内に作成されています。ユーザーNETWORK SERVICEを追加し、NETWORK ADMINISTRATORにフル・コントロール権限を付与する必要があります。
これにより、ISAサーバーでWebGateとアクセス・サーバー間の接続を確立できるようになります。特定の構成ファイルは、ネットワーク管理者が参照する必要があります。NETWORK ADMINISTRATORにフル・コントロール権限を付与するのはそのためです。
ファイル・システムで、WebGate_install_dir\accessを右クリックし、「プロパティ」を選択します。
「プロパティ」ウィンドウで、「セキュリティ」タブをクリックします。
ユーザーNETWORK SERVICEを追加し、「許可」を選択して「フル コントロール」を付与します。
NETWORK ADMINISTRATORに対して、「フル コントロール」を選択します。
次の項では、ISAサーバーをOracle Access Manager ISAPI WebGateと連動するように構成する方法について説明します。
タスクの概要: ISAサーバーのためのWebGate構成の実行
ISAPI WebGate権限を再設定したら、Oracle Access Managerのwebgate.dllおよびpostgate.dllプラグインをISAサーバー内にWebフィルタとして登録する必要があります。Webフィルタは、ISAサーバーのホストを通過するHTTPトラフィックをすべて検査します。条件に適合するリクエストのみが、通過を許可されます。
Oracle Access Manager認証スキームでは、ユーザーへの資格証明のチャレンジ方法、ユーザーが入力した情報のマッピングや検証方法などを定義します。ISAサーバーでは、チャレンジ方法としてフォーム認証または基本認証のどちらかを選択する必要があります。ユーザーが入力した資格証明を、ディレクトリ・サーバーに格納されている対応するユーザー・プロファイルにマッピングするために「チャレンジ・パラメータ」も指定する必要があります。
注意: Oracle Access ManagerライブラリがISA Webフィルタとして登録されていないと、Oracle Access Manager認証が失敗する可能性があります。認証スキームのフォームベースのログイン用アクション・パスでwebgate.dllを指定しないでください。かわりに、/accessディレクトリ内のダミー・ファイルへのパスを次のように指定する必要があります。
フォームベースの認証の場合、postgate.dllをインストールし、webgate.dllよりも上位に置く必要があります。 |
次の手順では、Oracle Access ManagerプラグインをISAサーバーに登録する方法を説明します。
注意: フィルタ登録を元に戻す必要がある場合、次の手順を使用し、regsvr32 コマンドに/u オプションを指定します。たとえば、regsvr32 /u ISA_install_dir\access\oblix\apps\webgate\bin\webgate.dll のようになります。 |
Oracle Access ManagerプラグインをISAサーバーWebフィルタとして登録する手順
ISAサーバーのインストール・ディレクトリを探し、そこから次のタスクを実行します。
net stop fwsrv
を実行し、ISAサーバーを停止します。
regsvr32 ISA_install_dir\access\oblix\apps\webgate\bin\webgate.dll
を実行し、webgate.dllをISAPI Webフィルタとして登録します。
regsvr32 ISA_install_dir\access\oblix\apps\webgate\bin\postgate.dll
を実行し、postgate.dllをISAPI Webフィルタとして登録します。
net start fwsrv
を実行し、ISAサーバーを再起動します。
ユーザーを認証するには、ISAサーバーが認証サーバーと通信可能である必要があります。Oracle Access Managerのwebgate.dllとpostgate.dllをISA Webフィルタとして登録した後、これらのWebフィルタを使用してリソースを保護するようにISAファイアウォール・ポリシー・ルールを構成する必要があります。
Web公開ルールでは、基本的に受信リクエストが適切なWebサーバーにマッピングされます。アクセス・ルールでは、送信元ネットワーク上のクライアントが宛先ネットワーク上のリソースにアクセスする方法を決定します。ISAファイアウォール・ポリシー・ルールでは、ユーザー・セットのクライアント・メンバーシップ(ファイアウォール・クライアント、認証済Webクライアント、仮想プライベート・ネットワーク(VPN)クライアントのいずれか)が必要になります。ISAサーバーは、ISAファイアウォール・ポリシー・ルールに基づいて認証済ユーザーの照合を試みます。
関連項目: ISAサーバーのドキュメントの、ISAファイアウォール・ポリシーおよびルールの詳細 |
次の手順では、Oracle Access Managerのwebgate.dllとpostgate.dllをISA Webフィルタとして使用するためにISAファイアウォール・ポリシー・ルールを構成する方法について説明します。
注意: 次の手順を実行した後、認証のリスナーを作成する場合は、「Advanced Properties」の「Allow client authentication over HTTP」を選択します。 |
Oracle Access Managerの認証および認可を有効にするためのISAポリシーの構成手順
「スタート」メニューから、「すべてのプログラム」→「Microsoft ISA Server」→「ISA Server Management」をクリックします。
「ISA Server Management」コンソールのツリーから、このサーバーの名前を見つけ、「Firewall Policy」をクリックします。
「Tasks」タブから、「Publish Web Sites」をクリックします。
「Web publishing rule」名フィールドにわかりやすいルール名を入力し、「Next」をクリックします。
「Select Rule Action」ページで、「Allow」オプションが選択されていることを確認し、「Next」をクリックします。
「Publishing type」で、「Publish a single Web site or load balancer」オプションが選択されていることを確認し、「Next」をクリックします。
「Server Connection Security」ページで、「Use non-secured connections to connect the published Web server or server farm」を選択し、「Next」をクリックします。
注意: セキュアな接続を使用している場合、ISAサーバーで提供されるサーバー接続セキュリティ設定を参照してください。 |
内部公開の詳細を設定するには、次の手順を実行します。
「Internal site name」ボックスに、Webサーバーの内部的にアクセス可能な名前を入力します。
「Use a computer name or IP address to connect to the published server」チェック・ボックスを選択します。
「Computer name or IP address」ボックスに、Webサーバー・コンピュータの内部的にアクセス可能な完全修飾ドメイン名か、IPアドレスを入力します。
「Next」をクリックします。
「Public name」ボックスで、パブリックにアクセス可能なWebサーバー・コンピュータのドメイン名を入力し、「Next」をクリックします。
Webサイトに特定のフォルダを公開するには、次の手順を実行します。
「Web site」ボックスに公開されたWebサイトのフルパスを表示するには、「Path (optional)」ボックスにフォルダ名を入力します。
「Next」をクリックします。
「Accept requests for」リストで、次の操作を実行します。
「This domain name (type below)」をクリックします。
「Public name」ボックスに、Webサイトのパブリックにアクセス可能な完全修飾ドメイン名を入力します。
「Next」をクリックします。
「Web listener」リストで、このWeb公開ルールに使用する「Web listener」をクリックするか、新しいWebリスナーを次のように作成します。
「New」フィールドに新しいWebリスナーのわかりやすいルール名を入力し、「Next」をクリックします。
「Do not require SSL secured connections with clients」を選択し、「Next」をクリックします。
「Listen for requests from these networks」リストで、必要なネットワークを選択し、「External」ボックスを選択し、「Next」をクリックします。
「Select how clients will provide credentials to ISA Server」リストで、「No Authentication」を選択し、「Next」をクリックします。
「Single Sign On Settings」ページで、「Next」をクリックし、「Finish」をクリックします。
Authentication Delegation: 「Select the method used by ISA Server to authenticate to the published Web server」リストで次の手順を実行します。
「No Delegation」を選択します。
「Client Cannot Authenticate Directly」を選択します。
「Next」をクリックします。
これは、ISAサーバーによって、公開されたWebサーバーへの認証に使用されます。
「User Sets」ページで、次の手順を実行します。
「User Sets」ボックスから「All」(デフォルトのユーザー設定)を選択し、リクエストに適用するルールを設定します。
「Next」をクリックして、「Finish」をクリックします。
「Apply」をクリックしてファイアウォール・ポリシーを更新し、「OK」をクリックします。
該当するポートのみが開き、通過させるトラフィックが許可されていることを確認します。
WebGate ISAPIフィルタが正しい順序で含まれていることを確認する必要があります。postgate.dllはwebgate.dllより前にロードします。
ISAサーバー用WebGate ISAPIフィルタの順序付けの手順
「スタート」メニューから、「すべてのプログラム」→「Microsoft ISA Server」→「ISA Server Management」をクリックします。
「Configuration」を開き、「Add-ins」を選択してWebフィルタを表示します。
「Web-filters」を右クリックし、「Properties」を選択します。
次の.dllファイルが表示されることを確認します。
次に例を示します。
必要に応じて欠落したフィルタを追加し、フィルタ名を選択して、手順5で示すように上矢印および下矢印を使用してフィルタの順序を調整します。
警告: webgate.dllフィルタとpostgate.dllフィルタがそれぞれ1つのみあること、また有効な状態であることを確認します。さらに、postgate.dllがwebgate.dllより高い優先度でインストールされていることを確認します。 |
Oracle Access Manager Webコンポーネントのインストールまたは設定中にISAサーバーの再起動を求められた場合は、必ず画面に表示される指示に従ってください。また、net stop fwsrv
およびnet start fwsrv
の使用を検討してください。この方法はISAサーバーの停止と起動に適しています。net
コマンドは、インストールに伴いメタベースが破損しないようにするために役立ちます。
詳細は、ISAサーバーのドキュメントを参照してください。
ISAサーバーと連動するように構成されたWebGateのアンインストールを計画している場合、最初にOracle Access Managerフィルタの登録を手動で解除してから、WebGateをアンインストールする必要があります。
WebGateのアンインストールの前にフィルタの登録を解除する手順
ISAサーバーを停止します。
webgate.dllの登録を解除するには次のようにコマンドを実行します。
regsvr32 /u ISA_install_dir\access\oblix\apps\webgate\bin\webgate.dll
postgate.dllの登録を解除するには次のようにコマンドを実行します。
regsvr32 /u ISA_install_dir\access\oblix\apps\webgate\bin\postgate.dll