| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
前 |
次 |
この章では、Microsoft Internet Information Server(Windows環境のIIS Webサーバー)を使用する10.1.4 Webgateの構成時に実行する必要があるアクティビティの概要を説明します。特に明記しないかぎり、この章の情報および手順は32ビットと64ビットのWebgateインストールに同様に適用されます。この項の内容は次のとおりです。
Oracle Access Managerコンソールが稼動していること、および次の項目を理解していることを確認してください。
ISAPIは、IIS Webサーバーと通信するWebgateのためのインターネットWebサーバーの拡張機能です。たとえば、IISに対応するOracle Access Manager Webgateをインストールするには、次のパッケージが必要です。
Oracle_Access_Manager10_1_4_3_0_Win32_ISAPI_Webgate
64ビットWebgate: Oracle_Access_Manager10_1_4_3_0_Win64_ISAPI_Webgate.exe
Oracle Access Manager Webgateをインストールするときは、IIS Webサーバーの構成ファイルを更新する必要があります。IIS Webサーバー使用時の構成の更新には、ISAPIフィルタを追加してOracle Access Managerに必要な拡張機能を作成することにより、直接Webサーバーを更新することが含まれます。フィルタは、そのフィルタがインストールされたサイトへのリクエストをすべてリッスンします。フィルタは、IISの機能を強化するために、受信データ・ストリームと送信データ・ストリームの両方を調べて変更できます。ISAPI拡張機能は、IISにより制御されるプロセスへロードされるDLLとして実装されます。ASPやHTMLのページと同様に、IISでは、ファイル・システム内でDLLファイルの仮想的な場所が使用され、IIS提供のURLネームスペースにISAPI拡張機能がマップされます。
IIS Webサーバー構成ファイルは、Oracle Access Manager Webコンポーネントのインストール中に自動的に更新することをお薦めします。自動更新には数分以上かかることがあります。一方、IIS Webサーバー構成ファイルの手動更新は自動更新より時間がかかり、意図しないエラーが発生する場合があります。
詳細なガイドラインは、次を参照してください。
Webgateの一般的な準備とインストールの詳細が、ISAPI Webgateに適用されます。加えて、ここでは、IIS Webサーバーに対してインストールされるISAPI Webgate固有のガイドラインを説明します。1つのIIS Webサーバーに対して複数のWebgateをインストールすることが可能で、場合によっては64ビットのWebgateも使用できます。
|
注意: 特に明記しないかぎり、詳細は32ビットと64ビットのWebgateに同様に適用されます。 |
ロックダウン・モード: Webgateをインストールする前に、IIS Webサーバーがロックダウン・モードではないことを確認します。ロックダウン・モードの場合は、正常に作動しているように見えても、サーバーがリブートされてメタベースが再初期化されると、IISがロックダウン後に発生したアクティビティを無視するようになります。
権限: IIS Webgateのために/accessディレクトリに関する様々な権限の設定が必要になるのは、NTFSをサポートするファイル・システムにインストールしている場合のみです。たとえば、FAT32ファイル・システムを実行しているWindows 2000コンピュータで、簡易または証明書モードでISAPI Webgateをインストールすると仮定します。最後のインストール・パネルには、FAT32ファイル・システムに設定できない各種の許可を手動設定するための指示が表示されます。この場合、これらの指示を無視できます。
仮想ホスト: 各IIS仮想Webサーバーには、独自のWebgate.dllファイルを仮想レベルでインストールするか、全サイトに影響を与える1つのWebgateをサイト・レベルでインストールできます。Webgate.dllをサイト・レベルでインストールしてすべての仮想ホストを制御するか、Webgate.dllを1つまたはすべての仮想ホストに対してインストールします。
postgate.dll: また、場合によってはコンピュータ・レベルにpostgate.dllファイルをインストールする必要もあります。「ポストゲートISAPIフィルタのインストール」で説明しているように、postgate.dllは\Webgate_install_dirにあります。複数インストールすると、このファイルの複数のバージョンが作成され、Oracle Access Managerの動作が異常になることがあります。この場合は、webgate.dllとpostgate.dllが1つずつ存在していることを検証する必要があります。
|
注意: postgate.dllは常にサイト・レベルでインストールされます。なんらかの理由でWebgateを再インストールすると、postgate.dllも再インストールされます。この場合、サイト・レベルにはpostgate.dllが1つのみ存在するようにしてください。 |
Webgate用のWebサーバー構成の更新: 他のOracle Access Manager Webgateの場合と同じく、WebサーバーがWebgateと連動するように構成する必要があります。Oracleはインストール中にWebサーバー構成を自動的に構成することをお薦めします。ただし、「OAM 11gでの10g Webgateのプロビジョニング」で説明されているとおり、自動更新を行わずにWebサーバーを手動で構成することもできます。
FAT32ファイル・システム: Webgateのインストール中に実行する必要がある特別な指示を受け取る場合があります。たとえば、NTFSをサポートしているファイル・システム上にインストールする場合にかぎり、IIS Webgate用に/accessディレクトリの各種許可を設定する必要があります。最後のインストール・パネルには、FAT32ファイル・システムに設定できない各種の許可を手動設定するための指示が表示されます。この場合、これらの指示は無視してください。
SSLおよびクライアント証明書認証: IISでクライアント証明書認証を使用している場合は、Webgateに対してクライアント証明書を有効にする前に、WebgateをホストするIIS WebサーバーでSSLを有効にする必要があります。また、様々なフィルタが特定の順序でインストールされていることも確認する必要があります。また、場合によってはISAPIフィルタとしてpostgate.dllをインストールする必要もあります。
Webサーバーのリリース: この章のWebサーバーの詳細は、記載のリリースに適用されます。リリースが示されない場合は、IIS v5とみなすことができます。IIS v6またはIIS v7固有の詳細はリリースが明記されます。
32ビットおよび64ビットのWebgate: 特に明記しないかぎり、すべての情報は32ビットと64ビットのWebgateに同様に適用されます。
Webgateの一般的な準備とインストールの詳細: IIS固有のガイドラインはこの章を参照してください。一般的な準備とインストールの詳細は、第27章を参照してください。
Webgateインストールの完了と確認: ISAPI WebgateとIISのバージョンに対応するタスクを実行します。
通常、一般的なガイドラインとWebgateのインストール方法は、WebgateをインストールするIISのリリースに関係なく同じです。ただし、IIS v7に対して1つ以上のWebgateをインストールしているときは、次に示す特定のトピックを確認してください。
通常、一般的なガイドラインとWebgateのインストール方法は、WebgateをインストールするIISのリリースに関係なく同じです。ただし、いくつかの点に注意してください。
1つのIIS 6インスタンスに対する複数のWebgate: IIS v6.0では、複数のWebサイトを1つのWebサーバー・インスタンスでホストすることがサポートされており、Oracle Access Manager ISAPI Webgateを使用すると、異なるWebgateを使用する各Webサイトを保護できます。
64ビットIIS v6 Webgate: 第27章の手順を使用して、他のすべての場合のようにインストールを実行します。Webgateのインストール中にWebサーバーの手動構成を選択した場合は、次のパスで詳細を入手できます。
Webgate_install_dir\access\oblix\lang\en-us\docs\dotnet_isapi.htm
WebgateのインストールとIISの構成の後で、「64ビットWebgateインストールの終了」のタスクを実行します。
Webgateの以前のリリースのインストール: これまで、Policy Managerと同じ物理ディレクトリの場所にWebgateをインストールするようお薦めしていました。これには、ポリシー・マネージャとWebgateに対して「access」という名前の仮想ディレクトリ(ポリシー・マネージャとWebgateの物理的な場所へマップ)が必要でした。
|
注意: IIS対応のWebgate 10g(10.1.4.3)は、ポリシー・マネージャの場所とは別の任意の場所にインストールできます。 |
以前にインストールしたWebgateとポリシー・マネージャの組合せがある場合、次の手順でこれらのコンポーネントを分離できます。
以前にインストールしたWebgate/ポリシー・マネージャを分離する手順
以前のWebgateとポリシー・マネージャに適用されたパッチがあればアンインストールします。
以前のポリシー・マネージャとWebgateの組合せをアンインストールします。
ポリシー・マネージャ10g(10.1.4.3)をインストールします。
別のディレクトリの場所に、Webgate 10g(10.1.4.3)をインストールします。
特に明記しないかぎり、この項の詳細は32ビットと64ビットのWebgateに同様に適用されます。
IIS v6.0では、複数のWebサイトを1つのWebサーバーでホストすることがサポートされており、Oracle Access Manager ISAPI Webgateを使用すると、異なるWebgateを使用する各Webサイトを保護できます。
|
注意: ISAPI Webgateの以前のリリースでは、1つのIIS Webサーバー・インスタンスに対する複数のWebgateはサポートされていませんでした。上位レベルのすべてのWebサイトに1つのWebgateをインストールするか、Webサイト・レベルでWebgateを構成して1つのWebサイトを保護する必要がありました。 |
IIS 6では、仮想サーバーの実行に使用されるアプリケーション・プールが提供されます。アプリケーション・プールは、ワーカー・プロセスまたはワーカー・プロセスのセットによって処理される1つ以上のURLのグループと考えることができます。アプリケーション・プールは、1つ以上のアプリケーションが1つ以上のワーカー・プロセスのセットにリンクされる構成です。アプリケーション・プールにあるアプリケーションは、ワーカー・プロセスの境界によって他のアプリケーションと切り離されるため、あるアプリケーション・プールのアプリケーションで問題が発生しても、他のアプリケーション・プールのアプリケーションには影響しません。現在、Webgateの各インスタンスは個別のプロセス領域で実行できます。
1つのIIS v6.0 Webサーバー・インスタンス上に複数のWebサイトがある場合、ユーザーのリクエストが正しいWebサイトに到達する必要があります。このためには、次に示す3つの一意の識別子のうち少なくとも1つを使用して、サーバー上の各サイトに一意のIDを構成する必要があります。
ホスト・ヘッダー名
IPアドレス
TCPポート番号
|
注意: 1つのサーバー上に複数のWebサイトがあり、これらをIPアドレスとポートで識別する場合、複数のWebgateは必要ありません。10.1.4.2.0のリリースから、ApacheおよびIIS 6.0上で仮想ホストが使用できるようになりました。このため、上位レベルにWebgateが1つあれば、IPアドレスが異なっていてもすべてのWebサイトを保護できます。これは、Webサイトごとに異なるホスト識別子を使用して処理されます。 |
同じIIS Webサーバー・インスタンスの各Webサイトに対してそれぞれWebgateをインストールできます。ただし、手動でいくつかの手順を行う必要があります。
この項では、IIS v7 Webサーバーに対してWebgateをインストールするための前提条件を説明します。内容は次のとおりです。
次の手順は32ビットと64ビットのWebgateに同様に適用されます。
IIS v7 Webサーバー対応のWebgateでは、<add segment="bin"/>エントリがapplicationHost.configファイルに含まれない場合にかぎり、パススルー機能を有効にせずにフォームベースの認証を使用できます。たとえば、フォームベース認証スキームのアクションとしてaccess/oblix/apps/webgate/bin/webgate.dllがある場合は、<add segment="bin"/>エントリがapplicationHost.configファイルに含まれないことを確認します。このエントリが存在する場合は、次の説明に従って削除する必要があります。
<add segment="bin"/>エントリを探して削除する手順
Windows\System32\inetsrv\config and open the applicationHost.configファイルに移動します。
<hiddenSegments>モジュールを検索します。
エントリ<add segment="bin"/>が存在する場合は削除します。
ファイルを保存します。
次の手順は32ビットWebgateのみに適用されます。
次の手順は、簡易または証明書トランスポート・セキュリティ・モードを使用するためにIIS 7 Webサーバー対応32ビットWebgateを構成する方法です。この構成では、IIS 6管理機能モジュールをインストールする必要があります。
IIS 7対応32ビットWebgateと簡易または証明書セキュリティのためにIIS 6管理機能モジュールを追加する手順
「スタート」メニューから「管理ツール」をクリックし、「Server Manager」をクリックします。
「Server Manager」ツリーで「Roles」を開き、「Web Server (IIS)」をクリックします。
「Web Server (IIS)」ペインの「Role Services」セクションで「Add Role Services」をクリックします。
Add Role Servicesウィザードの「Select Role Services」ページで、「Management Tools」の下にある「IIS6 Management Compatibility」をクリックします。
「Confirm Installation Selections」ページで「Install」をクリックします。
「Results」ページで「Close」をクリックします。
Oracle Access Manager Webgateインストール時にWebサーバーの自動更新を選択しない場合は、次の手順を表示できます。
ISAPI WebgateのためにWindows 2008でのIIS 7 Webサーバーの構成手順を表示する手順
Webgateをインストールするとき、自動Webサーバー更新が必要かどうかを尋ねられたら「いいえ」をクリックします。
Webgate用にWebサーバーを手動で設定するのに役立つ情報を新しい画面で読みます。
表示される表の次の項目をクリックして、表示される手順を実行します。
Windows 2008でIIS 7 Webサーバーを更新する手順を実行したら、Webgateのインストール画面に戻って、Webgateインストールに関する章で説明されているように「次へ」をクリックします。
「IISでのWebgateインストールの完了」に進みます。
特に明記しないかぎり、この項の詳細は32ビットと64ビットのWebgateに同様に適用されます。
|
関連項目: 必要であれば次の項目を参照してください。 IIS v7を使用する場合は、次の項目を参照することをお薦めします。 |
IIS WebサーバーでのWebgateインストールを完了するには、インストール終了後に次のアクティビティを行います。
特に明記しないかぎり、この項の詳細は32ビットと64ビットのWebgateに同様に適用されます。
クライアント証明書認証を使用する場合は、IIS WebサーバーでSSLを有効にする必要があります。設定時にクライアント証明書認証を選択した場合は、ISAPIフィルタの1つとしてcert_authn.dllを追加することも必要です。
|
注意: この項の手順はIIS v5用の手順です。環境によっては異なることがあります。 |
必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Information Services」をクリックします)。
ローカル・コンピュータを開いて、Webサイトを表示します。
デフォルトWebサイト(または適切なWebサイト)を開き、\access\oblix\apps\webgate\binを開きます。
cert_authn.dllを右クリックし、「Properties」を選択します。
「Properties」パネルで「File Security」タブを選択します。
「Secure Communications」サブパネルで「Edit」をクリックします。
「Client Certificate Authentication」サブパネルで「Accept Certificates」をクリックし、「OK」をクリックします。
cert_authn.dllの「Properties」パネルで「OK」をクリックします。
次の手順、「ISAPIフィルタとしてcert_authn.dllを追加する手順」に進みます。
ISAPIフィルタとしてcert_authn.dllを追加する手順
必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Information Services」をクリックします)。
ローカル・コンピュータを開いて、Webサイトを表示します。
適切なWebサイトを右クリックして、「Properties」パネルを表示します。
「ISAPI Filters」タブをクリックして、「Add」ボタンをクリックし、「Filter Properties」パネルを表示します。
フィルタ名としてcert_authnと入力します。
「Browse」ボタンをクリックし、次のディレクトリにナビゲートします。
\Webgate_install_dir\access\oblix\apps\webgate\bin
cert_authn.dllを実行可能ファイルとして選択します。
「Filter Properties」パネルで「OK」をクリックします。
「ISAPI Filters」パネルで「Apply」をクリックします。
「OK」をクリックします。
フィルタが正しい順序で表示されていることを確認します。
特に明記しないかぎり、この項の詳細は32ビットと64ビットのWebgateに同様に適用されます。
Webgate ISAPIフィルタが正しい順序で組み込まれるように確認することが重要です。
|
注意: このタスクは、IIS Webサーバー・インスタンスごとにインストールするWebgateの数に関係なく同じです。 |
必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Information Services」をクリックします)。
ローカル・コンピュータを開いて、Webサイトを表示します。
Webサイトを右クリックし、「Properties」を選択します。
「Properties」をクリックし、ISAPIフィルタを選択します。
次の.dllファイルが表示されることを確認します。
次に例を示します。
表示されていないフィルタを追加し、必要であれば、フィルタ名を選択して上下の矢印を使用し、手順5の表示のようにフィルタの順序を変更します。
|
警告: webgate.dllとpostgate.dllフィルタがそれぞれ1つのみあることを確認します。1つのコンピュータで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにOracle Access Managerの動作に異常が現れる可能性があります。 |
この項では、IIS 6.0のワーカー・プロセス分離モードに関連してWebgateを設定する方法を説明します。また、IIS 5.0分離モードで実行するIIS 6.0のために必要な構成手順も扱います。
|
注意: この項は、『Oracle Access Managerインストレーション・ガイド10g』のIIS Webサーバーでのpostgate.dllのインストールに関する項の情報よりも優先されます。IIS 5.0 Webサーバーでは、postgate.dllを使用する既存の機能が引き続きサポートされます。 |
次の項目について説明します。
ISAPI Webgateリリース10.1.4.2.3以上では、ワーカー・プロセス分離モードで実行するIIS 6.0に対するOracle Access Managerパススルー機能がサポートされています。ISAPI Webgate 10.1.4.2.3は、postgate.dllを使用してIIS 5.0分離モードで実行するIIS 6.0でも稼動します。
|
注意: 新しい実装または既存の実装でのワーカー・プロセス分離モードの使用をお薦めします。ワーカー・プロセス分離モードはIIS 6.0 Webサーバーのデフォルト設定です。IIS 5.0 Webサーバーでは、(postgate.dllを使用する)既存の機能が引き続きサポートされます。 |
この項では、IIS 6.0のワーカー・プロセス分離モードに関連してISAPI Webgateリリース10.1.4.2.3を設定する方法を説明します。また、IIS 5.0分離モードで実行するIIS 6.0のために必要な構成手順も示します。この項は、『Oracle Access Managerインストレーション・ガイド』の19-6項(IIS Webサーバーでのpostgate.dllのインストールに関する項)の情報よりも優先されます。
Webgate拡張メソッド(Webgateがフォームのアクションの場合)を使用しているとき、IIS Webサーバーでのフォーム・ログイン中は、パススルーのためにPOSTデータが必要です。つまり、IIS Webサーバー上のフォーム認証スキームがパススルー・オプションにより構成され、ログイン・フォームのターゲットがフォームによりポストされたデータを必要とする場合、Webgate拡張メソッド(Webgate DLLがフォームのアクションの場合)は使用できません。かわりに、Webgateのフィルタ・メソッド(フォームのアクションがWebgate DLLでない保護されたURLの場合)を使用する必要があり、IISのバージョンに基づいて、postgate.dllをインストールするか、webgate.dllをISAPI拡張機能として構成する必要があります。
ワーカー・プロセス分離モードのIIS 6.0: パススルー機能を実現するために、webgate.dllをISAPIフィルタおよびISAPI拡張機能としても構成する必要があります。(これは、ISAサーバー統合には適用されません。)パススルー機能は10.1.4.2.3以上のISAPI Webgateでサポートされます。ただし、アクセス・システム・コンソールのWebgate構成プロファイルで、新しいユーザー定義パラメータUseWebGateExtForPassthroughをtrueに設定することも必要です。
IIS 5.0分離モードで実行するIIS 5.0またはIIS 6.0: パススルー機能を実現するためにはpostgate.dllをISAPIフィルタとして構成する必要があります。
このタスクは次の手順で説明します。
タスクの概要: ワーカー・プロセス分離モードのIIS 6.0 Webサーバーでのパススルー機能の実装
「OAM 11g用の最新OAM 10g Webgateの検索およびインストール」の説明に従ってWebgateをインストールします。
「WebgateプロファイルでのUseWebGateExtForPassthroughパラメータの設定」の説明に従ってパススルーのパラメータを設定します。
「ISAPI拡張機能としてのwebgate.dllの構成」の説明に従ってwebgate.dllを構成します。
ワーカー・プロセス分離モードのIIS 6.0 Webサーバーにパススルー機能を実装するには、Webgateプロファイルで新しいユーザー定義パラメータUseWebGateExtForPassthroughを設定する必要があります。UseWebGateExtForPassthroughをtrueに設定する必要があります。このパラメータをfalseに設定すると、パススルー機能は作動しません。
WebgateプロファイルでUseWebGateExtForPassthroughパラメータを設定する手順
アクセス・システム・コンソールを起動して、「アクセス・システム構成」をクリックします。
「アクセス・ゲート構成」をクリックします。
Webgateの選択基準を入力し、「実行」をクリックします。
「検索結果」表でWebgate名をクリックします。
「アクセス・ゲートの詳細」の下部にある「変更」をクリックします。
「アクセス・ゲートの変更」ページの「ユーザー定義パラメータ」セクションに次のパラメータと値を入力し、「追加」ボタンをクリックします。
パラメータ: UseWebGateExtForPassthrough
値: true
さらにユーザー定義パラメータを追加する場合は「追加」ボタンをクリックします。
「保存」をクリックしてこの情報を保存します。
デプロイメント内の各Webgateに対して手順を繰り返します。
webgate.dllはWebgateインストールに含まれます。次の手順では、webgate.dllをISAPI拡張機能として構成する方法を説明します。ワーカー・プロセス分離モードのIIS 6.0 Webサーバーにパススルー機能を実装する場合も、このタスクを実行する必要があります。
|
注意: 上位レベルのWebサイトとは別のWebサイト・レベルに複数のwebgate.dllを構成できます。その場合も、Webgateで保護される各Webサイトでwebgate.dllをISAPI拡張機能として構成する必要があります。 |
ISAPI拡張機能としてwebgate.dllを構成する手順
「websites」に移動して右クリックし、「Properties」を選択します。
「Properties」ダイアログ・ボックスで「Home Directory」タブを選択します。
「Configurations」ボタンをクリックして「Application Configurations」ダイアログ・ボックスを開きます。
「Wild Card Application Maps」で「Inset」ボタンをクリックします。
webgate.dllのパスを指定します。次に例を示します。
Webgate_install_dir/access/oblix/apps/webgate/bin/webgate.dll
「verify that file exists」チェック・ボックスを選択解除します。
変更を確認して最終決定します。「OK」をクリックして再び「OK」をクリックします。または、「Apply」をクリックしてから「OK」をクリックします。
「Services」でIIS管理サーバーを停止し、IIS Webサーバーを再起動します。
このタスクは次の手順で説明します。
|
注意: ワーカー・プロセス分離モードのIIS 6.0 Webサーバーを使用している場合、このタスクは実行しません。 |
タスクの概要: IIS 5.0分離モードのIIS 6.0 Webサーバーでのパススルー機能の実装
第27章「OAM 11gでのOAM 10g Webgateの管理」の説明に従ってWebgateをインストールします。
「IIS 5.0分離モードのIIS 6.0 Webサーバーの設定」の説明に従ってIIS 6.0を設定します。
「ポストゲートISAPIフィルタのインストール」の説明に従ってpostgate.dllをインストールします。
次の情報は10.1.4.2.3 Webgateに対応するように更新されています。
IIS 6.0 Webサーバーが使用されるときに、IIS 5.0分離モードで実行するようにWWWサービスを設定する方法を次の手順で説明します。これはISAPI postgateフィルタで必要です。
IIS 6 WebサーバーでIIS 5.0分離を設定する手順
必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Information Services」をクリックします)。
ローカル・コンピュータを開いて、Webサイトを表示します。
Webサイトを右クリックし、「Properties」を選択します。
「Web Site Properties」ウィンドウで「Service」タブを選択します。
「Run WWW service in IIS 5.0 Isolation Mode」の横のボックスを選択します。
「OK」をクリックします。
「ポストゲートISAPIフィルタのインストール」に進みます。
次の情報は10.1.4.2.3 Webgateに対応するように更新されています。
1つのWebgateインストールの場合、次の順序でフィルタをインストールする必要があります。
ISAPI Webgateフィルタは、sspifiltフィルタの後で、他のフィルタの前にインストールする必要があります。
その他すべてのOracle Access Managerフィルタは最後にインストールできます。
|
注意: インストールの前(またはインストールの後)には、フィルタを手動で削除する必要があります。1つのフィルタを複数インストールした場合、新しいフィルタをインストール前に手動で削除できません。 |
上位レベルのWebサイトとは別のレベルに複数のwebgate.dllを構成できます。ただし、それらは同じpostgate.dllを共有します。1つのコンピュータで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにOracle Access Managerの動作に異常が現れる可能性があります。コンピュータの(上位)Webサイト・レベルに構成できるpostgate.dllは1つのみです。
|
注意: 1つのIIS Webサーバー・インスタンスに対して複数のWebgateをインストールして構成しているとき、postgate.dllはサポートされません。 |
次の手順では、1つのWebgateを1つのIIS Webサーバー・インスタンスにインストールしている場合の、postgate ISAPIフィルタのインストールと配置について説明します。
必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Information Services」をクリックします)。
ローカル・コンピュータを開いて、Webサイトを表示します。
Webサイトを右クリックし、「Properties」を選択します。
「Web Site Properties」ウィンドウで「ISAPI Filters」タブを選択します。
「Add」ボタンをクリックして、「Filter Properties」パネルを表示します。
フィルタ名としてpostgateと入力します。
「Browse」ボタンをクリックし、次のディレクトリにナビゲートします。
\Webgate_install_dir\access\oblix\apps\webgate\bin
postgate.dllを実行可能ファイルとして選択します。
「Filter Properties」パネルで「OK」をクリックします。
「ISAPI Filters」パネルで「Apply」をクリックします。
次のようにして、ポストゲートISAPIフィルタの位置を変更します。
特に明記しないかぎり、この項は32ビットと64ビットのWebgateに同様に適用されます。
既定のWebサイトが構成されていないIIS Webサーバー上にWebgateをインストールする場合、インストーラは仮想ディレクトリのアクセスを作成しません。これは、次の手順を使用して手動で実行する必要があります。
必要に応じて、「Internet Information Services」コンソールを開始します。
保護するWebサイトの名前を選択します。
保護するWebサイトの名前を右クリックして、メニューの「New」→「Virtual Directory」を選択します。
「次へ」をクリックします。
「Alias」としてaccessを選択して、「Next」をクリックします。
「Directory」: /accessディレクトリへの完全パスを入力してから、「Next」をクリックします。
Webgate_install_dir\access
「Read」、「Run Scripts」および「Execute」を選択してから、「Next」をクリックします。
「完了」をクリックします。
IISを再起動します。次に例を示します。
net start w3svcと入力します。この項では、同一IIS 7 Webサーバー・インスタンス上の異なるWebサイトに複数のWebgateをインストールして構成する方法を説明します。いくつかの手順は手動で行い、1つのIISインスタンスに1つのWebgateをインストールする際に実行する手順とは異なります。1つのIISインスタンスに対して複数のWebgateをインストールする場合、次のようになります。
webgate.dllは、デフォルト(上位)Webサーバー・レベルではなく個々のWebサイト・レベルでISAPIフィルタとして構成する必要があります。
/access仮想ディレクトリは、Webサイト・レベルで、Webgateインストールのそれぞれの/accessディレクトリにマップされます。
複数のWebgateの偽装DLLを構成する場合、オペレーティング・システムとして機能するようにユーザーを構成する必要があります。
タスクの概要: 1つのIIS 7インスタンスに対する複数のWebgateのインストールと構成
次のタスクを実行します。このタスクはIIS Webサーバー・インスタンスごとにインストールするWebgateの数に関係なく同じです。
ISAPI Webgateをインストールした後で、次に説明する手動の手順をいくつか実行します。
デフォルトでは、webgate.dllはホスト名(上位)レベルでISAPIフィルタとして構成されます。複数のWebgateを1つのIIS 7インスタンスに対してインストールしているときは、各Webgateインストールの後で、上位レベルからそれぞれのwebgate.dllを削除して、個々の適切なWebサイトで構成する必要があります。
1つのIIS 7インスタンスに対して複数のWebgateがある場合に各Webgateをインストールする手順
第27章の説明に従ってISAPI 7 Webgateをインストールします。
保護するWebサイトに移動し、次の手順を使用してwebgate.dllをISAPIフィルタとして構成します。
インターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
「Connections」ペインでhostnameを選択します。
hostnameの「Home」ペインで「ISAPI Filters」をダブルクリックし、Webgate.dllを検索します。存在する場合は選択して、「Action」ペインの「Remove」をクリックします。
「Connection」ペインの「Sites」の下で、Webgateフィルタを構成するWebサイト名をクリックします。
「Home」ペインで「ISAPI Filters」をダブルクリックします。
「Actions」ペインで「Add…」をクリックします。
「Add ISAPI Filter」ダイアログ・ボックスの「Filter name」テキスト・ボックスに、ISAPIフィルタの名前としてWebgateと入力します。
「Executable」ボックスにWebgate ISAPIフィルタ・ファイルのファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてWebgate.dll ISAPIフィルタ・ファイルを含むフォルダに移動し、「OK」をクリックします。
Webgate_install_dir\access\oblix\apps\webgate\bin\webgate.dll
仮想ディレクトリの作成:
「Sites」ペインを開き、ISAPIフィルタ(Webgate.dll)を構成したばかりのWebサイトを選択します。
「Action」ペインで「View Virtual Directories」をクリックし、「Add Virtual Directory」を選択します。
「Alias」テキスト・ボックスにaccessを指定し、Webgateのaccessフォルダの物理パスを指定するか、省略記号(...)をクリックしてaccessフォルダに移動して「OK」をクリックします。
Webgate_install_dir\access\
これらの変更を保存して適用します。
仮想ディレクトリの権限の設定:
手順3で作成したaccess仮想ディレクトリを選択します。
accessの「Home」ペインで「Handler Mappings」をダブルクリックします。「Action」ペインで「Edit Feature Permissions…」を選択します。
「Read」、「Script」および「Execute」の横のボックスを選択してから、「OK」をクリックします。
Webgateのディレクトリ権限の設定:
エクスプローラで、Webgateインストール・ディレクトリWebgate_install_dir\accessを右クリックし、「プロパティ」を選択します。
「セキュリティ」タブをクリックし、「編集」ボタンをクリックします。
ユーザー「IUSR」を追加し、「変更」について「許可」を選択します。
ユーザー「IIS_IUSRS」を追加し、「変更」について「許可」を選択します。
ユーザー「NETWORK」を追加し、「変更」について「許可」を選択します。
ユーザー「NETWORK SERVICE」を追加し、「変更」について「許可」を選択します。
グループ「Administrators」では、「変更」について「許可」を選択します。
簡易モードまたは証明書モードのWebgate:
ファイル・システムで、Webgate_install_dir\access\oblix\config\password.xmlのpassword.xmlファイルを探して右クリックし、「プロパティ」を選択します。
「セキュリティ」タブをクリックします。
「読み取り」権限の「許可」をユーザー「IUSR」、「NETWORK SERVICE」、「IIS_WPG」、「IIS_IUSRS」に指定します。
上位レベル(hostnameのレベル)にはwebgate.dllがないことを確認します。
次の項目の手順に従い次の一連のタスクを実行します。
IISインスタンスに対して次のWebgateをインストールするには、これらの手順を繰り返します。
クライアントのアクセス・トークンは偽装トークンとも呼ばれます。偽装トークンでは、クライアント、クライアントのグループおよびクライアントの権限が識別されます。トークン内の情報は、スレッドがクライアントのかわりにリソースへのアクセスをリクエストする際に、アクセス・チェックに使用されます。
アクセス・システムによってユーザーの認証および認可が行われます。ワイルドカード拡張機能のOAMのIISImpersonationExtension.dllは、Webサーバーへの各リクエストのフィルタのように機能します。アクセス・システムでは、「アクセス・ゲート構成」ページの偽装ユーザー名/パスワードを使用して、別のユーザーを偽装する権限を持つ特別なユーザーを構成することでユーザーを指定します。指定されたユーザーにはオペレーティング・システムとして機能する権限が必要です。DLLは、Oracle Access Managerによって認証および認可されたユーザーを偽装し、偽装トークンを生成します。
次の手順を実行し、1つのIIS 7 Webサーバー・インスタンスのWebサイトを保護する各Webgateに偽装DLLを設定します。これは、前述の項のインストール・タスクの直後に行うことも、まとめて一度に実行することもできます。
|
注意: このタスクは、1つのIIS Webサーバー・インスタンスの個々のWebサイトを保護する各Webgateに対して実行する必要があります。 |
個々のWebサイトのIIS 7構成に偽装DLLを追加する手順
必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
必要なWebサイトにワイルドカード・スクリプト・マップとしてIISImpersonationExtension.dllを追加します。
接続ペインで「Sites」を開きます。
IISImpersonationExtension.dllを追加するWebサイト名をクリックします。
選択したWebサイトの「home」ペインで「Handler Mappings」をダブルクリックします。
「Actions」ペインで「Add Wildcard Script Map」をクリックします。
「Add Wildcard Script Map」ダイアログ・ボックスの「Name」テキスト・ボックスに、dllの名前としてOracle Impersonation Pluginと入力します。
「Executable」ボックスにWebgate IISImpersonationExtension.dllのファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてIISImpersonationExtension.dllを含むフォルダに移動し、「OK」をクリックします。
Webgate_install_dir/access/oblix/apps/Webgate/bin/
IISImpersonationExtension.dll
この例ではデフォルトのパスを表しています。この場合、Webgate_install_dirが、該当のWebgateをインストールしたファイル・システムのディレクトリになります。
次の作業を実行します。
このタスクを実行し、1つのIIS 7 Webサーバー・インスタンスのWebサイトを保護する各Webgateに有効なクライアント認証を設定します。これは、偽装DLLを個々のWebサイトに追加した直後に行うことも、まとめて一度に実行することもできます。
|
注意: Webgateのクライアント認証を構成する前に、SSLをWebサイトで有効にしておく必要があります。WebサイトをSSL対応にしてから次の手順を実行します。 |
設定中にクライアント証明書認証を選択する場合、各WebサイトのISAPIフィルタの1つとしてcert_authn.dllを有効にして追加する必要があります。
IIS 7 Webサーバーでcert_authn.dllを有効化する手順
必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
接続ペインで「Sites」を開きます。
Webサイトを開き、\access\oblix\apps\webgate\binを表示します。
binディレクトリを右クリックし、「Switch To Content View」を選択します。
cert_authn.dllを右クリックし、ドロップダウン・メニューで「Switch To Feature View」を選択します。
cert_authn.dllの「Home」ペインで「SSL Settings」をダブルクリックします。
「SSL Settings」ペインで「Require SSL」チェックボックスを選択し、「Accept from Client Certificates」を選択します。
「Action」ペインで「Apply」を選択します。
このホストにインストールしたWebgateのうち、クライアント認証を有効にする各Webgateに対して同じ処理を繰り返します。
IIS 7 Webサーバーを再起動します。
次のタスク、「ISAPIフィルタとしてcert_authn.dllを追加する手順」に進みます。
ISAPI v7フィルタとしてcert_authn.dllを追加する手順
必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
接続ペインで「Sites」を開きます。
cert_authn.dllを追加するWebサイト名をクリックします。
「Home」ペインで「ISAPI Filters」をダブルクリックします。
「Actions」ペインで「Add」をクリックします。
「Add ISAPI Filter」ダイアログ・ボックスの「Filter name」ボックスに、ISAPIフィルタの名前としてOracle Certification Authentication Pluginと入力します。
「Executable」ボックスにWebgate cert_authn.dllのファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてcert_authn.dllを含むフォルダに移動し、「OK」をクリックします。
Webgate_install_dir/access/oblix/apps/Webgate/bin/cert_authn.dll
この例ではデフォルトのパスを表しています。この場合、Webgate_install_dirが、該当のWebgateをインストールしたファイル・システムのディレクトリになります。
「Action」ペインの「View Ordered List」をクリックし、上矢印と下矢印を使用して次のようにフィルタを並べ替えます。
cert_authn.dll
webgate.dll
「Action」ペインで「Apply」を選択します。
このホストにインストールしたWebgateのうち、クライアント認証を有効にする各Webgateに対して同じ処理を繰り返します。
IIS 7 Webサーバーを再起動します。
デプロイメントのニーズに合わせて次の手順に進みます。
ここでは、必要なWebサイトにワイルドカード・スクリプト・マップとしてWebgate.dllを追加します。パススルー機能で動作するようにWebgateを構成する際には、WebgateをインストールするWebサイトの物理パスが異なるようにする必要があります。そうしないと、ハンドラ・マッピングの変更が、同じ物理パスを共有するすべてのWebサイトに反映されます。
|
注意: 物理パスは、Webサイトの作成時に指定するパスです。Webサイトの作成後にこのパスをチェックするには、「Action」ペインで「Basic Settings」をクリックすると、Webサイトの物理パスを示すウィンドウが表示されます。
|
パススルー機能のためにWebgateを構成する手順
必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
接続ペインで「Sites」を開きます。
パススルーを有効にするWebサイトの名前をクリックします。
選択したWebサイトの「home」ペインで「Handler Mappings」をダブルクリックします。
「Actions」ペインで「Add Wildcard Script Map」をクリックします。
「Add Wildcard Script Map」ダイアログ・ボックスの「Name」テキスト・ボックスに、ISAPIフィルタの名前としてWebgateと入力します。
「Executable」ボックスにWebgate ISAPIフィルタ・ファイル(Webgate.dll)のファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてWebgate.dll ISAPIフィルタ・ファイルを含むフォルダに移動し、「OK」をクリックします。
Webgate_install_dir/access/oblix/apps/Webgate/bin/Webgate.dll
アクセス・システム・コンソールで次の操作を実行します。
WebGateプロファイルを探して「Modify」をクリックします。
「User Defined Parameters」の下に次のパラメータと値を入力します。
UseWebGateExtForPassthrough
true
プロファイルを保存します。
このホストにインストールしたWebgateのうち、パススルーを有効にする各Webgateに対して同じ処理を繰り返します。
IIS 7 Webサーバーを再起動します。
次のタスク、「IIS 7 Webgateのインストールの確認」に進みます。
IIS 7 Webgateのインストールを確認するには、次の手順を使用します。
IIS 7 Webgateのインストールを確認する手順
次のURLに移動します。
http(s)://hostname:port/access/oblix/apps/webgate/bin/webgate.dll?progid=1
ここで、hostnameはWebgateをホストするコンピュータ名、portはWebサーバー・インスタンスのポート番号です。
Webgateの診断ページが表示されます。
成功した場合: Webgateの診断ページが表示される場合、Webgateが正常に機能しています。ページを閉じてください。
失敗した場合: Webgateの診断ページが表示されない場合、Webgateが正常に機能していません。この場合、Webgateをアンインストールしてから再インストールする必要があります。Oracle Access Managerの削除の詳細は、『Oracle Access Manager インストレーション・ガイド』の第22章を参照してから、Webgateのインストールに関する章に戻ってください。
特に明記しないかぎり、この項は32ビットと64ビットのWebgateに同様に適用されます。
この項では、同一IIS Webサーバー・インスタンス上の異なるWebサイトに複数のWebgateをインストールして構成する方法を説明します。いくつかの手順は手動で行い、1つのIISインスタンスに1つのWebgateをインストールする際に実行する手順とは異なります。1つのIISインスタンスに対して複数のWebgateをインストールする場合、次のようになります。
webgate.dllは、デフォルト(上位)Webサーバー・レベルではなく個々のWebサイト・レベルでISAPIフィルタとして構成する必要があります。
/access仮想ディレクトリは、Webサイト・レベルで、Webgateインストールのそれぞれの/accessディレクトリにマップされます。
複数のWebgateの偽装DLLを構成する場合、オペレーティング・システムとして機能するようにユーザーを構成する必要があります。
マシンの(上位)Webサイト・レベルに構成できるpostgate.dllは1つのみです。ただし、上位レベルのWebサイトの下に異なるレベルで複数のwebgate.dllを構成できます。1台のマシンで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにOracle Access Managerの動作に異常が現れる可能性があります。
タスクの概要: 1つのIISインスタンスに対する複数のWebgateのインストールと構成
次のタスクを実行します。このタスクはIIS Webサーバー・インスタンスごとにインストールするWebgateの数に関係なく同じです。
特に明記しないかぎり、この項は32ビットと64ビットのWebgateに同様に適用されます。
ISAPI Webgateをインストールした後で、次に説明する手動の手順をいくつか実行します。
デフォルトでは、webgate.dllはWebサイト(上位)レベルでISAPIフィルタとして構成されます。複数のWebgateを1つのIISインスタンスに対してインストールしているときは、各Webgateインストールの後で、上位レベルからそれぞれのwebgate.dllを削除して、個々の適切なWebサイトで構成する必要があります。
|
注意: 1台のマシンで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにOracle Access Managerの動作に異常が現れる可能性があります。1つのIIS v6 Webサーバー・インスタンスに対して複数のWebgateが構成されている環境では、postgate.dllはサポートされません。 |
1つのIISインスタンスに対して複数のWebgateがある場合に各Webgateをインストールする手順
第27章の説明に従ってISAPI Webgateをインストールします。
保護するWebサイトに移動し、次の手順を使用してwebgate.dllをISAPIフィルタとして構成します。
インターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
「Web Sites」を右クリックして、「Properties」オプションをクリックします。
「ISAPI filter」タブをクリックしてwebgate.dllのパスを探します。フィルタ内に存在する場合はそれを選択して、Remove」ボタンをクリックします。
「Web Sites」で、保護するWebサイトの名前を右クリックし、「Properties」オプションを選択します。
「ISAPI filter」タブをクリックしてフィルタのDLLを追加します。
次のフィルタを追加し、webgate.dllファイルのパスを指定します。webgateという名前を付けます。
Webgate_install_dir/access/oblix/apps/webgate/bin/webgate.dll
これらの変更を保存して適用します。
「Directory Security」タブに移動します。
Oracle Access ManagerでこのWebサーバーの認証を行えるように「anonymous access」と「basic authentication」が選択されていることを確認します。
これらの変更を保存して適用します。
保護するWebサイト・レベルに移動し、新しくインストールしたWebgate_install_dirを指す/access仮想ディレクトリを次のように作成します。
「Web Sites」で、保護するWebサイトの名前を右クリックします。
「New」を選択して、該当のWebgate_install_dir/accessを指す新しい仮想ディレクトリaccessを作成します。
「Access Permissions」で、「Read」、「Run Scripts」および「Execute」を選択します。
これらの変更を保存して適用します。
ファイル・システムで、次のようにOracle Access Managerのディレクトリ権限を設定します。
ファイル・システムで、Webgate_install_dir\accessを探して右クリックし、「プロパティ」を選択します。
「セキュリティ」タブをクリックします。
IUSR_machine_nameユーザーを追加して、「変更」に対して「許可」を選択します。
たとえば、Oracleのmachine_nameとしてIUSR_ORACLEを選択します。
IWAM_machine_nameユーザーを追加して、「変更」に対して「許可」を選択します。
たとえば、Oracleのmachine_nameとしてIWAM_ORACLEを選択します。
IIS_WPGユーザーを追加して、「変更」に対して「許可」を選択します。
NETWORK SERVICEユーザーを追加して、「変更」に対して「許可」を選択します。
Administratorsグループで、「変更」に対して「許可」を選択します。
簡易モードまたは証明書モードでWebgateが設定されている場合は、次の手順を実行します。
ファイル・システムで、Webgate_install_dir\access\oblix\config\password.xmlのpassword.xmlファイルを探して右クリックし、「プロパティ」を選択します。
「セキュリティ」タブをクリックします。
IUSR_machine_name、IWAM_machine_name、IIS_WPG、NETWORK SERVICEユーザーの「読み取り」権限に対して「許可」を選択します。
次の手順を実行して新しいWebサービス拡張機能を追加します。
「Web Service Extensions」を右クリックして、「Add a new Web service extension...」を選択します。
拡張機能名Oracle Webgateを追加します。
「Add」をクリックして拡張機能ファイルのパスを追加し、該当のwebgate.dllのパスを入力します。
Webgate_install_dir\access\access\oblix\apps\webgate\bin\webgate.dll
「OK」をクリックして変更内容を保存します。
「Set extension status to allowed」の横にあるチェック・ボックスを選択します。
「OK」をクリックして変更内容を保存します。
上位のWebサイト・レベル(「Webサイト」)のISAPIフィルタにwebgate.dllがないことを確認します。
次の項目の手順に従い次の一連のタスクを実行します。
IISインスタンスに対して次のWebgateをインストールするには、これらの手順を繰り返します。
特に明記しないかぎり、この項は32ビットと64ビットのWebgateおよびIIS v6に同様に適用されます。
クライアントのアクセス・トークンは偽装トークンとも呼ばれます。偽装トークンでは、クライアント、クライアントのグループおよびクライアントの権限が識別されます。トークン内の情報は、スレッドがクライアントのかわりにリソースへのアクセスをリクエストする際に、アクセス・チェックに使用されます。
アクセス・システムによってユーザーの認証および認可が行われます。ワイルドカード拡張機能のOAMのIISImpersonationExtension.dllは、Webサーバーへの各リクエストのフィルタのように機能します。アクセス・システムでは、「アクセス・ゲート構成」ページの偽装ユーザー名/パスワードを使用して、別のユーザーを偽装する権限を持つ特別なユーザーを構成することでユーザーを指定します。指定されたユーザーにはオペレーティング・システムとして機能する権限が必要です。DLLは、Oracle Access Managerによって認証および認可されたユーザーを偽装し、偽装トークンを生成します。
次の手順を実行し、1つのIIS Webサーバー・インスタンスのWebサイトを保護する各Webgateに偽装DLLを設定します。これは、前述の項のインストール・タスクの直後に行うことも、まとめて一度に実行することもできます。
|
注意: このタスクは、1つのIIS Webサーバー・インスタンスの個々のWebサイトを保護する各Webgateに対して実行する必要があります。 |
個々のWebサイトのIIS構成に偽装DLLを追加する手順
必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
左側のペインにあるローカル・コンピュータのアイコンの横のプラス・アイコン(+)をクリックしてWebサイトを表示します。
左側のペインで「Web Service Extensions」をクリックします。
右側のペインで「Webgate」をダブルクリックし、「Properties」パネルを開きます。
「Required Files」タブをクリックします。
「Add」をクリックします。
「Path to file」テキスト・ボックスでIISImpersonationExtension.dllのフルパスを入力し、「OK」をクリックします。次に例を示します。
Webgate_install_dir\access\oblix\apps\webgate\bin\IISImpersonationExtension.dll
この例ではデフォルトのパスを表しています。この場合、Webgate_install_dirが、該当のWebgateをインストールしたファイル・システムのディレクトリになります。
Webgateのアイコンの横にある「Allow」ボタンがグレー表示されていることを確認します。グレー表示されていれば、dllをWebサービス拡張機能として実行できます。
Webサイト名を右クリックして、「Properties」をクリックします。
「Home Directory」タブをクリックし、「Configuration」ボタンをクリックします。
ワイルドカードのアプリケーションのマッピングのリスト・ボックスで、IISImpersonationExtension.dllのエントリをクリックして強調表示し、「Edit」をクリックします。
ボックスの選択が解除されていないことを確認し、「OK」をクリックします。
IIS Webサーバー・インスタンスに対するWebサイトとWebgateのペアごとにこれらの手順を繰り返します。
次の作業を実行します。
クライアント証明書認証: 「複数のWebgateに対するSSLとクライアント認証の有効化」
このタスクを実行し、1つのIIS Webサーバー・インスタンスのWebサイトを保護する各Webgateに有効なクライアント認証を設定します。これは、偽装DLLを個々のWebサイトに追加した直後に行うことも、まとめて一度に実行することもできます。
|
注意: 特に明記しないかぎり、この項の手順は32ビットと64ビットのWebgateおよびIIS 6に同様に適用されます。 |
設定中にクライアント証明書認証を選択する場合、各WebサイトのISAPIフィルタの1つとしてcert_authn.dllを追加する必要があります。
必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
ローカル・コンピュータのアイコンを開き、Webサイトを表示します。
該当するそれぞれのWebサイトを開いてから、\access\oblix\apps\webgate\binを開きます。
cert_authn.dllを右クリックして、「Properties」を選択します。
「Properties」パネルで「File Security」タブを選択します。
「Secure Communications」サブパネルで「Edit」をクリックします。
「Client Certificate Authentication」サブパネルで「Accept Certificates」をクリックし、「OK」をクリックします。
cert_authn.dllの「Properties」パネルで「OK」をクリックします。
このホストにインストールした各Webgateに対して同じ処理を繰り返します。
次のタスク、「ISAPIフィルタとしてcert_authn.dllを追加する手順」に進みます。
ISAPIフィルタとしてcert_authn.dllを追加する手順
必要な場合、「Internet Information Services」コンソールを起動します。
ローカル・コンピュータを開いて、Webサイトを表示します。
適切なWebサイトを右クリックして、「Properties」パネルを表示します。
「ISAPI Filters」タブをクリックして、「Add」ボタンをクリックし、「Filter Properties」パネルを表示します。
フィルタ名としてcert_authnと入力します。
「Browse」ボタンをクリックし、次のディレクトリにナビゲートします。
\Webgate_install_dir\access\oblix\apps\webgate\bin
cert_authn.dllを実行可能ファイルとして選択します。
「Filter Properties」パネルで「OK」をクリックします。
「ISAPI Filters」パネルで「Apply」をクリックします。
「OK」をクリックします。
このホストにインストールした各Webgateに対して同じ処理を繰り返します。
フィルタが正しい順序で表示されていることを確認します。
「複数のWebgateのインストールの確認」に進みます。
このタスクは32ビットと64ビットのWebgateおよびIIS v6 Webサーバーに同様に適用されます。
1台のマシンで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにOracle Access Managerの動作に異常が現れる可能性があります。1つのIIS v6 Webサーバー・インスタンスに対して複数のWebgateが構成されている環境では、postgate.dllはサポートされません。
この項では、64ビットWebgateのインストールを完了する方法について説明します。32ビットのWebgateをインストールする場合は、この項をスキップできます。その場合は、かわりに「IISでのWebgateインストールの完了」を参照してください。
このタスクを開始する前に、第27章の情報に従ってWebgateのインストールが完了していることを確認してください。また、該当のWebgateに対応するWebサーバー構成の更新は、Webgateのインストール時に自動で完了させておくか、「IIS v6対応Webgate」の説明に従って手動で完了させておく必要があります。
タスクの概要: 64ビットWebgateのインストールの終了
「アクセス権限、ISAPIフィルタおよびディレクトリのセキュリティ認証の設定」の手順を実行します。
必要に応じて、クライアント証明書を有効化します。「クライアント証明書認証の設定」を参照してください。
これらを終了したら、次を実行できます。
「IISへのWebgateのインストールの確認」の説明に従って操作を確認します。
『Oracle Fusion Middleware Oracle Access Manager統合ガイド』の説明に従ってWindows偽装を実装します。
特に明記しないかぎり、この項は32ビットと64ビットのWebgateに同様に適用されます。この項では、デフォルトで使用するWebサイトに対するアクセス権限の設定を説明します。
アクセス権限、ISAPIフィルタおよびディレクトリのセキュリティ認証を設定または確認する手順
インターネット・サービス・マネージャを起動します。たとえば、「スタート」メニューから「プログラム」→「管理ツール」→「Internet Service Manager」をクリックします。
左側のパネルで、「+」をクリックしてローカル・コンピュータを開きます。
クリックして「Web Sites」タブを開きます。
「Default Web Site」(またはデフォルトとして使用しているサイト)を右クリックし、「デフォルト・サイトが設定されていない場合のWebサイトの保護」の説明に従って仮想ディレクトリを作成します。
「Internet Information Services」タブの「Web Sites」を右クリックし、「Properties」をクリックして次の手順を実行します。
「Internet Information Services」タブで「Edit」ボタンをクリックします。
「ISAPI filter」タブを見つけて、次のようにフィルタのDLLを確認(または追加)します。
フィルタがある場合: IIS Webサーバーの構成ファイルを更新してある場合、webgate.dllが正しく配置されています。
フィルタがない場合: Webgate_install_dir\oblix\access\apps\webgate\bin\webgate.dllからwebgate.dllフィルタを追加します。
変更内容を保存して適用します。
「Directory Security」タブをクリックして、「Anonymous Access」と「Basic Authentication」の両方が選択されていることを確認します。
選択されている場合: 手順6に進みます。
選択されていない場合: 「Anonymous Access」と「Basic Authentication」を選択し、これらの変更内容を保存して適用します。
次の作業を実行します。
「クライアント証明書認証の設定」(必要に応じて)
クライアント証明書認証がない場合: IIS Webサーバーを再起動します。
フィルタの配置: 「ISAPIフィルタの並替え」の手順を実行し、すべてのフィルタが追加されていてその順序が正しいことを確認します。
このタスクはオプションであり、クライアント証明書認証を使用する場合にのみ実行する必要があります。その場合は、IISとWebgateでSSLを有効にする必要があります。
この項の情報は、「IIS Webサーバーでのクライアント証明書認証の有効化」の詳細のサブセットです。
ISAPIフィルタとしてcert_authn.dllを追加する手順
必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Service Manager」をクリックします)。
ローカル・コンピュータを開いて、Webサイトを表示します。
「Default Web Site」(またはデフォルトとして使用しているWebサイト)を右クリックしてから、\access\oblix\apps\webgate\binを開きます。
cert_authn.dllを右クリックして「Properties」を選択し、次の操作を実行します。
「Properties」パネルで「File Security」タブを選択します。
「Secure Communications」サブパネルで「Edit」をクリックします。
「Client Certificate Authentication」サブパネルで「Accept Certificates」をクリックし、「OK」をクリックします。
「Secure Communications」パネルで「OK」をクリックします。
cert_authn.dllの「Properties」パネルで「OK」をクリックします。
「ISAPI Filters」タブをクリックして、「Add」ボタンをクリックし、「Filter Properties」パネルを表示します。
「ISAPIフィルタの並替え」の説明に従ってフィルタが正しい順序で表示されていることを確認します。
「IISへのWebgateのインストールの確認」に進みます。
WebgateをインストールしてIIS Webサーバー構成ファイルを更新した後、Webgate診断を使用してWebgateが適切にインストールされていることを確認できます。
|
注意: このタスクは、32-bitと64-bitのWebgateの両方で同じです。IIS Webサーバー・インスタンスごとにインストールするWebgateの数にも関係なく同じです。 |
Webgateのインストールを確認する手順
次のURLに移動します。
http(s)://hostname:port/access/oblix/apps/webgate/bin/webgate.dll?progid=1
ここで、hostnameはWebgateをホストするコンピュータ名、portはWebサーバー・インスタンスのポート番号です。
Webgateの診断ページが表示されます。
成功した場合: Webgateの診断ページが表示される場合、Webgateが正常に機能しています。ページを閉じてください。
失敗した場合: Webgateの診断ページが表示されない場合、Webgateが正常に機能していません。この場合、Webgateをアンインストールしてから再インストールする必要があります。Oracle Access Managerの削除の詳細は、10g Webgateのインストールに関する第27章の「OAM 11gデプロイメントからの10g Webgateの削除」を参照してください。
Oracle Access Manager Webコンポーネントのインストールまたは設定中にIIS Webサーバーの再起動を求められた場合は、画面に表示されるすべての指示に従ってください。また、Webサーバーの起動と停止に適している、net stop iisadminおよびnet start w3svcの使用を検討してください。netコマンドは、インストールに伴いメタベースが破損しないようにするために役立ちます。
この項の情報は32ビットと64ビットのWebgateに同様に適用されます。
インストール中に生じたWebサーバーの構成変更は、Webgateのアンインストール後に手動で元に戻す必要があります。たとえば、IIS Webgateに対してISAPI transfilterがインストールされます。ただし、Webgateをアンインストールしても、これは自動的に削除されません。また、作成されたWebサービス拡張機能およびIDディレクトリへのリンクも削除されません。このタイプの情報は手動で削除する必要があります。これらは、削除する情報の一例であり、すべてではありません。
さらに、Webgate用にWebサーバー構成ファイルに対して手動で行った変更もすべて削除する必要があります。各コンポーネントに追加される内容の詳細は、この章の他の項を参照してください。
Webgateおよび関連するファイルをIISから完全に削除するには、IIS内のリストからフィルタを削除するだけでは不十分です。IISにはすべての設定がメタベース・ファイルに含まれています。Windows 2000以降では、これは手動で変更できるXMLファイルです。メタベースを編集するためのツールとして、MetaEditも提供されています。MetaEditはRegeditに似ており、一貫性チェッカーとブラウザ/エディタが含まれています。WebgateをIISから完全に削除するには、MetaEditを使用してメタベースを編集します。
