| Oracle Fusion Middleware高可用性ガイド 11gリリース1(11.1.1) B55898-01 |
|
 戻る |
 次へ |
Oracle Identity Management製品を使用すると、多様なサーバーにわたるユーザー、デバイス、およびサービスを構成および管理して、これらのアイデンティティの管理を委託し、エンド・ユーザーにセルフサービスの特権を提供することができます。これらの製品を使用すると、アプリケーション全体にわたるシングル・サインオンを構成できるほか、有効な資格証明を持つユーザーのみがオンライン・リソースにログインしてアクセスできるように、ユーザーの資格証明を処理することができます。
他のエンタープライズ・レベルのアプリケーションは、Oracle Identity Management製品に依存するため、Identity Managementで高可用性を構成しておくことが必要不可欠になります。Oracle Identity Management製品に障害が発生すると、この製品に依存するアプリケーションにも障害が発生します。
この章では、アクティブ/アクティブ構成における高可用性のためのIdentity Management製品の構成について説明します。
この章の項目は次のとおりです。
図7-1は、Oracle Fusion Middleware 11g Oracle Identity Managementの高可用性アーキテクチャを示しています。このアーキテクチャには、Web層、アプリケーション層、およびディレクトリ層があります。
図7-1 Oracle Fusion Middleware 11g Oracle Identity Managementの高可用性アーキテクチャ
図7-1では、Web層にコンピュータWEBHOST1とWEBHOST2があります。
Oracle HTTP Serverインスタンスの1つはWEBHOST1に、もう1つのOracle HTTP ServerインスタンスはWEBHOST2にインストールされています。ロード・バランシング・ルーターによって、WEBHOST1およびWEBHOST2上のOracle HTTP Serverインスタンスにリクエストがルーティングされます。
アプリケーション層には、コンピュータIDMHOST1とIDMHOST2コンピュータがあります。
IDMHOST1では、次のインストールが実行されています。
Oracle Directory Services ManagerインスタンスとOracle Directory Integration Platformインスタンスが、WLS_ODS1管理対象サーバー上にインストールされています。RACデータベースは、インスタンスをRACノードの障害から保護するためにJDBCマルチ・データソース内に構成されています。
Oracle Identity FederationインスタンスがWLS_OIF1管理対象サーバーにインストールされています。RACデータベースは、インスタンスをRACノードの障害から保護するためにJDBCマルチ・データソース内に構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。管理サーバーは、シングルトン・アプリケーションです。
IDMHOST2では、次のインストールが実行されています。
Oracle Directory Services ManagerインスタンスとOracle Directory Integration Platformインスタンスが、WLS_ODS2管理対象サーバー上にインストールされています。RACデータベースは、インスタンスをRACノードの障害から保護するためにJDBCマルチ・データソース内に構成されています。
IDMHOST2上のWLS_ODS2管理対象サーバーにあるインスタンスと、IDMHOST1上のWLS_ODS1管理対象サーバーにあるインスタンスは、CLUSTER_ODSクラスタとして構成されています。
Oracle Identity FederationインスタンスがWLS_OIF2管理対象サーバーにインストールされています。RACデータベースは、インスタンスをRACノードの障害から保護するためにJDBCマルチ・データソース内に構成されています。
このOracle Identity Federationインスタンスと、IDMHOST1上のWLS_OIF1管理対象サーバーにあるインスタンスは、CLUSTER_OIFクラスタとして構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。
ディレクトリ層には、コンピュータOIDHOST1とOIDHOST2があります。
OIDHOST1上には、Oracle Internet DirectoryインスタンスとOracle Virtual Directoryインスタンスがインストールされています。RACデータベースをセキュリティ・メタデータ・リポジトリとして使用しているOracle Internet Directoryインスタンスの接続には、透過的アプリケーション・フェイルオーバー(TAF)が使用されます。サーバー側のTAFおよび高可用性のイベント通知に対してデータベースが有効化されます。
OIDHOST2上には、Oracle Internet DirectoryインスタンスとOracle Virtual Directoryインスタンスがインストールされています。RACデータベースをセキュリティ・メタデータ・リポジトリとして使用しているOracle Internet Directoryインスタンスの接続には、透過的アプリケーション・フェイルオーバー(TAF)が使用されます。サーバー側のTAFおよび高可用性のイベント通知に対してデータベースが有効化されます。
OIDHOST1およびOIDHOST2上のOracle Internet Directoryインスタンスは、クラスタとして構成されています。OIDHOST1およびOIDHOST2上のOracle Virtual Directoryインスタンスも、クラスタとして構成されています。
|
注意: 10g Oracle Single Sign-Onと10g Delegated Administration Servicesは、11g Oracle Internet Directoryとの構成が可能です。詳細は、第8.3項「マルチマスター・レプリケーションの設定」を参照してください。 |
表7-1は、Oracle Identity Management製品の要約です。これらの製品は、11gスイートレベルのインストール・プログラムを使用してインストールできます。詳細は、『Oracle Fusion Middleware Oracle Identity Managementクイック・インストレーション・ガイド』の序章を参照してください。
表7-1 11g Identity ManagementおよびAccess Management製品スイート
| 製品 | 説明 |
|---|---|
|
Oracle Internet Directory |
Oracle Internet Directoryは、分散したユーザー、ネットワーク構成およびその他のリソースに関する情報をすばやく取得して集中管理できるLDAP Version 3対応のサービスです。 |
|
Oracle Virtual Directory |
Oracle Virtual Directoryは、LDAP Version 3対応のサービスで、1つ以上のエンタープライズ・データソースの1つのビューとして要約します。 Oracle Virtual Directoryは複数のソースを1つのディレクトリ・ビューに集約するので、LDAP認識アプリケーションと様々なディレクトリ・サーバー・データ・ストアとの統合が可能になります。 |
|
Oracle Directory Integration Platform |
Oracle Directory Integration Platformは、様々なディレクトリとOracle Internet Directory間のデータ同期を可能にするJ2EEアプリケーションです。Oracle Directory Integration Platformには、他のエンタープライズ・リポジトリとの同期ソリューションのデプロイを可能とするサービスとインタフェースが含まれています。Oracle Internet Directoryとサード・パーティのメタディレクトリ・ソリューションとの相互運用性を実現するためにも使用できます。 |
|
Oracle Identity Federation |
Oracle Identity Federationは、各企業のセキュリティ・ドメイン境界を越えたサービスの提供やアイデンティティの共有を可能にするとともに不正アクセスに対する保護機能を提供します。 |
|
Oracle Directory Services Manager |
Oracle Directory Services Managerは、Oracle Virtual DirectoryおよびOracle Internet Directory用の統一されたグラフィカル・ユーザー・インタフェース(GUI)です。Oracle Directory Services Managerでは、Webベースのフォームやテンプレートを使用できるため、Oracle Virtual DirectoryとOracle Internet Directoryの管理および構成が簡素化されます。 Oracle Directory Services Managerは、Oracle Enterprise Manager Fusion Middleware Control、または独自のURLから使用できます。 |
この項では、Oracle Identity Managementの高可用性構成を設定する前に完了している必要のある前提条件の手順について説明します。
この項では、データベースに関する前提条件を説明します。
サポートされるデータベースのバージョン
Oracle Database 10gリリース2(10.2.x)では、10.2.0.4以上がサポートされます。
Oracle Database 11gリリース1(11.1.x)では、11.1.0.7以上がサポートされます。
データベースのバージョンを調べるには、次の問合せを実行します。
SQL>select version from sys.product_component_version where product like 'Oracle%';
この項には、データベース・リポジトリのインストールおよび構成手順への関連項目が記載されています。
Oracle Clusterware
10gリリース2(10.2)については、Oracle Database Oracle ClusterwareおよびOracle Real Application Clustersのインストレーション・ガイドを参照してください。
11gリリース1(11.1)については、Oracle Clusterwareのインストレーション・ガイドを参照してください。
自動ストレージ管理
10gリリース2(10.2)については、Oracle Database Oracle ClusterwareおよびOracle Real Application Clustersのインストレーション・ガイドを参照してください。
11gリリース1(11.1)については、Oracle Clusterwareのインストレーション・ガイドを参照してください。
インストーラを実行するときは、「構成の選択」ページで「自動ストレージ管理の構成」オプションを選択して、個別の自動ストレージ管理ホームを作成します。
Oracle Real Application Cluster
10gリリース2(10.2)については、Oracle Database Oracle ClusterwareおよびOracle Real Application Clustersのインストレーション・ガイドを参照してください。
11gリリース1(11.1)については、Oracle Real Application Clustersのインストレーション・ガイドを参照してください。
Oracle Fusion Middlewareコンポーネントの多くは、インストールの前にデータベース内にスキーマが存在している必要があります。Oracle Fusion Middlewareには、既存のデータベースにコンポーネント・スキーマを作成するツール、リポジトリ作成ユーティリティ(RCU)があります。高可用性環境では、これらのスキーマを作成して、Real Application Clusters(RAC)データベースにロードする必要があります。
RCUを使用してOracle Identity ManagementスキーマをRACデータベース・リポジトリにロードする操作の詳細は、次の項を参照してください。これは、この章で説明する高可用性構成で使用するOracle Identity Managementコンポーネントをインストールする前に必要な手順です。
リポジトリ作成ユーティリティ(RCU)は、Oracle Fusion Middleware 11gキットの部品として付属する専用のCDに収録されています。RCU CDを使用して、RCUを実行し、データベース・リポジトリにスキーマをインストールできます。
この章で説明するOracle Identity Managementコンポーネントのいずれかをインストールする前には、RCUを実行して、Oracle Identity ManagementおよびManagement Serviceで使用するスキーマをRACデータベースに作成しておきます。これらのスキーマは、この章で説明するOracle Identity Managementの高可用性構成に必要です。RCUを使用して必要なOracle Internet Directoryのスキーマをインストールする手順の詳細は、第7.3.2.3.2項「RCUを使用したリポジトリへのOracle Internet Directoryスキーマの作成」を参照してください。
Oracle Identity Federationをインストールする場合も、RCUを実行してRACデータベースにOracle Identity Federationが使用するスキーマを作成する必要があります。RCUを使用して必要なOracle Identity Federationのスキーマをインストールする手順の詳細は、第7.7.2.3.1項「RCUを使用したリポジトリへのOracle Identity Federationスキーマの作成」を参照してください。
Oracle Fusion Middleware製品をインストールすると、その製品のOracleホーム・ディレクトリにRCUがインストールされるため、そのOracleホームからRCUを実行できます。
RCUの実行およびインストールの詳細は、『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』および『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。
この項では、Oracle Fusion Middleware 11gメタデータのデータベースを構成する方法について説明します。
静的なPROCESSES初期化パラメータの値は、Oracle Internet Directoryに対して500以上にする必要があります。この値は、リポジトリ作成ユーティリティによってチェックされます。
この値をチェックするには、次のようにSQL*PlusでSHOW PARAMETERコマンドを使用します。
prompt> sqlplus "sys/password as sysdba" SQL> SHOW PARAMETER processes
パラメータの値を変更する一般的な方法の1つとして、次のようなコマンドを使用し、データベースの停止および再起動をしてパラメータを有効化する方法があります。
prompt> sqlplus "sys/password as sysdba" SQL> ALTER SYSTEM SET PROCESSES=500 SCOPE=SPFILE;
パラメータの値を変更する方法は、パラメータが静的か動的かによって異なり、データベースがパラメータ・ファイルとサーバー・パラメータ・ファイルのどちらを使用しているかによっても異なります。パラメータ・ファイル、サーバー・パラメータ・ファイルの詳細、およびパラメータ値の変更方法は、『Oracle Database管理者ガイド』を参照してください。
クライアント・アプリケーションがデータベースへの接続に使用するデータベース・サービスは、Oracle Enterprise Manager Cluster Managed Services Pageを使用して作成することをお薦めします。データベース・サービス作成の詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』の「ワークロード管理」を参照してください。
次の手順を使用すると、SQL*Plusを使用して、Oracle Internet Directoryのフェイルオーバーが自動的に行われるようにRACを構成することもできます。次の各コマンドは、クラスタ内の1つのノードにのみ実行してください。
CREATE_SERVICEサブプログラムは、データベース・サービスの作成、および高可用性通知の有効化とサーバー側の透過的アプリケーション・フェイルオーバー(TAF)設定の構成の両方に使用します。
prompt> sqlplus "sys/password as sysdba" SQL> EXECUTE DBMS_SERVICE.CREATE_SERVICE (SERVICE_NAME => 'idmedg.mycompany.com', NETWORK_NAME => 'idmedg.mycompany.com', AQ_HA_NOTIFICATIONS => TRUE, FAILOVER_METHOD => DBMS_SERVICE.FAILOVER_METHOD_BASIC, FAILOVER_TYPE => DBMS_SERVICE.FAILOVER_TYPE_SELECT, FAILOVER_RETRIES => 5, FAILOVER_DELAY => 5);
前述のEXECUTE DBMS_SERVICEコマンドを正常に実行させるには、1行で入力してください。
データベースにサービスを追加し、srvctlを使用してインスタンスに割り当てます。
prompt> srvctl add service -d idmdb -s idmedg -r idmdb1,idmdb2
prompt> srvctl start service -d idmdb -s idmedg
|
注意: SRVCTLコマンドの詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』を参照してください。 |
すでにデータベースにサービスが作成されている場合は、高可用性通知が有効化され、サーバー側で正しく透過的アプリケーション・フェイルオーバー(TAF)が設定されていることを確認します。高可用性通知がアドバンスト・キューイング(AQ)を通して送信されるように、DBMS_SERVICEパッケージを使用してサービスを変更します。具体的には、次のようにAQ_HA_NOTIFICATIONS属性をTRUEに設定して、サーバー側の透過的アプリケーション・フェイルオーバー(TAF)の設定を構成します。
prompt> sqlplus "sys/password as sysdba" SQL> EXECUTE DBMS_SERVICE.MODIFY_SERVICE (SERVICE_NAME => 'idmedg.mycompany.com', AQ_HA_NOTIFICATIONS => TRUE, FAILOVER_METHOD => DBMS_SERVICE.FAILOVER_METHOD_BASIC, FAILOVER_TYPE => DBMS_SERVICE.FAILOVER_TYPE_SELECT, FAILOVER_RETRIES => 5, FAILOVER_DELAY => 5);
前述のEXECUTE DBMS_SERVICEコマンドを正常に実行するには、1行で入力してください。
|
注意: DBMS_SERVICEパッケージの詳細は、『Oracle Database PL/SQLパッケージ・プロシージャおよびタイプ・リファレンス』を参照してください。 |
ここでは、すでに設定されている透過的アプリケーション・フェイルオーバー(TAF)構成を検証する方法について説明します。
Oracle Internet Directoryプロセスの起動後、V$SESSION_VIEWのFAILOVER_TYPE、FAILOVER_METHOD、およびFAILED_OVER列を問い合せて、接続されているクライアントおよびそのTAFステータスを取得できます。
たとえば、次のSQL文を使用して、TAFが正しく構成されていることを検証します。
SELECT MACHINE, FAILOVER_TYPE, FAILOVER_METHOD, FAILED_OVER, COUNT(*) FROM V$SESSION GROUP BY MACHINE, FAILOVER_TYPE, FAILOVER_METHOD, FAILED_OVER;
フェイルオーバー前の出力は次のようになります。
MACHINE FAILOVER_TYPE FAILOVER_M FAI COUNT(*) -------------------- ------------- ---------- ---- ---------- oidhost1 SELECT BASIC NO 11 oidhost1 SELECT BASIC NO 1
フェイルオーバー後の出力は次のようになります。
MACHINE FAILOVER_TYPE FAILOVER_M FAI COUNT(*) -------------------- ------------- ---------- ---- ---------- oidhost2 SELECT BASIC NO 11 oidhost2 SELECT BASIC NO 1
この項では、Oracle Identity Managementの高可用性環境をデプロイするためのネットワークの前提条件について説明します。
Oracle Identity Managementソフトウェア・スタック内のコンポーネントを高可用性構成にデプロイする場合は、すべてのコンポーネントにハードウェア・ロード・バランサが必要です。ハードウェア・ロード・バランサには、次の機能が必要です。
仮想ホスト名を介した実サーバー・プールへのトラフィックのロード・バランシング機能
クライアントは、仮想ホスト名を使用して(実ホスト名を使用するかわりに)、サービスにアクセスします。これにより、ロード・バランサは、プール内のサーバーに対するリクエストをロード・バランシングできます。
ポート変換の構成
ポート(HTTP、HTTPS、LDAP、LDAPS)の監視
仮想サーバーとポートの構成
外部ロード・バランサの仮想サーバー名とポートを構成する機能。さらに、仮想サーバー名とポートは次の要件を満たしている必要があります。
ロード・バランサには複数の仮想サーバーを構成できる必要があります。各仮想サーバーに対し、ロード・バランサには2つ以上のポートでトラフィック管理を構成できることが必要です。たとえば、Oracle Internet Directoryクラスタでは、LDAPおよびLDAPSトラフィック用の仮想サーバーとポートでロード・バランサを構成する必要があります。
仮想サーバー名をIPアドレスに関連付け、DNSに含める必要があります。クライアントは、仮想サーバー名を介してロード・バランサへアクセスできる必要があります。
ノード障害を検出し、障害が発生したノードへのトラフィックのルーティングを即座に停止する機能
リソースの監視/ポートの監視/プロセス障害検出
ロード・バランサは、サービスおよびノードの障害を通知などの方法を通じて検出し、障害が発生したノードへの非Oracle Netトラフィックの送信を停止できる必要があります。ロード・バランサに障害の自動検出機能がある場合は、それを使用する必要があります。
フォルト・トレラント・モード
ロード・バランサをフォルト・トラレント・モードに構成することを強くお薦めします。
その他
トラフィックの転送先となるバックエンド・サービスが使用不可の場合に、即座にコール元クライアントに戻るようにロード・バランサの仮想サーバーを構成しておくことを強くお薦めします。この構成は、クライアント・マシンのTCP/IP設定に基づいてタイムアウト後にクライアント側で接続を切断する構成よりも推奨されます。
スティッキーなルーティング機能
CookieまたはURLに基づいたコンポーネントへのスティッキーな接続を維持する機能
SSLアクセラレーション
この機能は推奨されますが、必須ではありません。
表7-3は、Oracle Identity Managementの高可用性環境で外部ロード・バランサに使用する仮想サーバー名を示しています。
表7-3 外部ロード・バランサの仮想サーバー名
| コンポーネント | 仮想サーバー名 |
|---|---|
|
Oracle Internet Directory |
oid.mycompany.com |
|
Oracle Virtual Directory |
ovd.mycompany.com |
|
Oracle Identity Federation |
oif.mycompany.com |
|
WebLogic Server管理コンソール |
admin.mycompany.com |
|
Oracle Enterprise Manager Fusion Middleware Control |
admin.mycompany.com |
|
Oracle Directory Services Manager Console |
admin.mycompany.com |
この項では、この章で説明する高可用性デプロイメントのために設定が必要な仮想サーバー名について説明します。
この仮想サーバーは、ディレクトリ層のOracle Internet DirectoryサーバーへのすべてのLDAPトラフィックのアクセス・ポイントとして機能します。SSLポートおよび非SSLポートの両方へのトラフィックが構成されます。クライアントは、SSLの場合はアドレスoid.mycompany.com:636、非SSLの場合はoid.mycompany.com:389を使用してこのサービスにアクセスします。
|
注意: 仮想サーバーおよびOracle Internet Directoryがインストールされているコンピュータの双方で、SSL接続に同じLDAPポートを構成することをお薦めします。これは、ロード・バランサを介してOracle Internet Directoryを使用する必要があるほとんどの10g Oracle Fusion Middleware製品の要件です。 |
OIDHOST1およびOIDHOST2上のOracle Internet Directoryプロセスのハートビートを監視します。OIDHOST1またはOIDHOST2上でOracle Internet Directoryプロセスが停止した場合、あるいはホストOIDHOST1またはホストOIDHOST2のいずれかで障害が発生した場合、ロード・バランサは障害が発生していないコンピュータへのLDAPトラフィックのルーティングを継続する必要があります。
この仮想サーバーは、ディレクトリ層のOracle Virtual DirectoryサーバーへのすべてのLDAPトラフィックのアクセス・ポイントとして機能します。SSLポートおよび非SSLポートの両方へのトラフィックが構成されます。クライアントは、SSLの場合はアドレスovd.mycompany.com:7501、非SSLの場合はovd.mycompany.com:6501を使用してこのサービスにアクセスします。
OVDHOST1およびOVDHOST2上のOracle Virtual Directoryプロセスのハートビートを監視します。OVDHOST1またはOVDHOST2上でOracle Virtual Directoryプロセスが停止した場合、あるいはホストOVDHOST1またはホストOVDHOST2のいずれかで障害が発生した場合、ロード・バランサは障害が発生していないコンピュータへのLDAPトラフィックのルーティングを継続する必要があります。
この仮想サーバーは、アプリケーション層のOracle Identity FederationサーバーへのすべてのHTTPトラフィックのアクセス・ポイントとして機能します。SSLポートおよび非SSLポートの両方へのトラフィックが構成されます。クライアントは、SSLの場合はアドレスoif.mycompany.com:4444、非SSLの場合はoif.mycompany.com:7499を使用してこのサービスにアクセスします。
OIFHOST1およびOIFHOST2上のOracle Internet Federation Serverプロセスのハートビートを監視します。OIFHOST1またはOIFHOST2上でOracle Internet Federation Serverプロセスが停止した場合、あるいはホストOIFHOST1またはホストOIFHOST2のいずれかで障害が発生した場合、ロード・バランサは障害が発生していないコンピュータへのLDAPトラフィックのルーティングを継続する必要があります。
この仮想サーバーは、管理サービスへ送信されるすべての内部HTTPトラフィックのアクセス・ポイントとして機能します。クライアントからの受信トラフィックはすべて非SSLに対応しています。このため、クライアントはアドレスadmin.mycompany.com:80を使用してこのサービスにアクセスし、トラフィックはWEBHOST1およびWEBHOST2のポート7777に順に転送されます。この仮想ホストでアクセスされるサービスには、WebLogic管理サーバー・コンソール、Oracle Enterprise Manager、およびOracle Directory Services Managerなどがあります。
さらに、仮想サーバー名に対応するIPアドレスが設定されていることと、仮想サーバー名がドメイン・ネーム・システム(DNS)に登録されていることを確認します。Oracle Fusion Middlewareを実行するコンピュータには、これらの仮想サーバー名を解決できることが必要です。
この項では、Oracle Internet Directoryの概要、およびOracle Internet Directoryの高可用性環境の設計とデプロイ方法について説明します。
Oracle Internet Directoryは、Directory Integration Platform、Oracle Directory Services Manager、JPSなどのOracleコンポーネント、およびOracle以外のコンポーネントから使用可能なLDAPストアです。これらのコンポーネントは、LDAPまたはLDAPSプロトコルを使用してOracle Internet Directoryに接続します。
Oracleディレクトリ・レプリケーション・サーバーはLDAPを使用して、Oracleディレクトリ(LDAP)サーバー・インスタンスと通信します。データベースとの通信には、すべてのコンポーネントでOCI/Oracle Net Servicesを使用します。Oracle Directory Services Managerおよびコマンドライン・ツールは、LDAPを介してOracleディレクトリ・サーバーと通信します。
図7-2は、非高可用性アーキテクチャにおけるOracle Internet Directoryを示しています。
Oracle Internet Directoryのノードは、同じディレクトリ・ストアに接続された1つ以上のディレクトリ・サーバー・インスタンスで構成されます。ディレクトリ・ストア、つまりディレクトリ・データのリポジトリは、Oracleデータベースになります。
図7-2は、単一ノードで実行される様々なディレクトリ・サーバーの要素とその関係を示しています。
Oracle Net Servicesは、Oracleデータベース・サーバーと次に示すものとの間のすべての接続に使用されます。
Oracleディレクトリ・サーバーの非SSLポート(このトポロジでは389)
Oracleディレクトリ・サーバーのSSL対応ポート(このトポロジでは636)
OIDモニター
LDAPは、ディレクトリ・サーバーと次に示すものとの間の接続に使用されます。
Oracle Directory Services Manager
Oracleディレクトリ・レプリケーション・サーバー
Oracleディレクトリ・サーバー・インスタンスとOracleディレクトリ・レプリケーション・サーバーは、オペレーティング・システムを経由してOIDモニターに接続します。
図7-2に示すように、Oracle Internet Directoryのノードには次の主要な要素が組み込まれています。
表7-4 Oracle Internet Directoryのノード
| 要素 | 説明 |
|---|---|
|
Oracleディレクトリ・サーバー・インスタンス |
LDAPサーバー・インスタンスまたはディレクトリ・サーバー・インスタンスとも呼びます。特定のTCP/IPポートをリスニングする単一のOracle Internet Directoryのディスパッチャ・プロセスを介してディレクトリ・リクエストに応じます。異なるポートをリスニングする1つ以上のディレクトリ・サーバー・インスタンスが同一ノードに存在する場合もあります。 |
|
Oracleディレクトリ・レプリケーション・サーバー |
レプリケーション・サーバーとも呼びます。別のOracle Internet Directoryシステムにあるレプリケーション・サーバーに対する変更の追跡と送信を行います。1つのノードのレプリケーション・サーバーは、1つに限られます。レプリケーション・サーバーを構成するかどうかは選択できます。同一データベースを使用するOracle Internet Directoryに複数のインスタンスがある場合、そのうちの1つのみがレプリケーションを実行できます。これは、Oracle Internet Directoryインスタンスが複数のノードに存在する場合も同様です。 レプリケーション・サーバー・プロセスは、Oracle Internet Directory内のプロセスです。レプリケーションが構成されている場合にのみ実行されます。 Oracle Internet Directoryのレプリケーションの詳細は、第8章「高可用性を最大化するIdentity Managementの構成」を参照してください。 |
|
Oracle Databaseサーバー |
ディレクトリ・データを格納します。ディレクトリ専用のデータベースとすることを強くお薦めします。データベースは、ディレクトリ・サーバー・インスタンスと同じノードに配置できます。 |
|
Oracle Process Manager and Notification Server(OPMN) |
Oracle Fusion Middlewareのコンポーネントの1つとしてOracle Internet Directoryを管理します。OPMNは、 |
|
OIDモニター(OIDMON) |
LDAPサーバーとレプリケーション・サーバー・プロセスの起動、監視および終了を行います。oidctl、opmnctlなどのプロセス管理コマンドを呼び出す場合、またはFusion Middleware Controlを使用してサーバー・インスタンスを起動または停止する場合は、このプロセスによってコマンドが解釈されます。 OIDMONはサーバーを監視し、異常のため実行を停止した場合はそのサーバーを再起動します。 OIDMONは、OIDLDAPDのデフォルト・インスタンスを起動します。OIDCTLコマンドを使用してOIDLDAPDのデフォルト・インスタンスが停止された場合、OIDMONがそのインスタンスを停止します。OPMNによってOIDMONが再起動された場合、OIDMONはデフォルト・インスタンスを再起動します。 OIDモニターのアクティビティはすべて、ファイル OIDモニターは、オペレーティング・システムのメカニズムを介して、サーバーの状態をチェックします。 |
|
OID制御ユーティリティ(OIDCTL) |
Oracle Internet Directoryサーバーの表にメッセージ・データを配置して、OIDモニターと通信します。このメッセージ・データには、各Oracleディレクトリ・サーバー・インスタンスの実行に必要な構成パラメータが含まれます。通常は、コマンドラインからのレプリケーション・サーバーの停止と起動のみに使用されます。 |
Oracle Internet Directoryは、OracleのLDAPストアであり、データベースを永続ストアとして使用するCベースのコンポーネントです。これはステートレスなプロセスで、すべてのデータと構成情報の大部分をバックエンド・データベースに格納します。データベースへの接続には、Oracle Net Servicesを使用します。
Oracle Internet Directoryには、次のランタイム・プロセスがあります。
OIDLDAPD: Oracle Internet Directoryのメイン・プロセスです。OIDLDAPDは、ディスパッチャ・プロセスとサーバー・プロセスで構成されます。ディスパッチャ・プロセスは、起動時にOIDLDAPDサーバー・プロセスを作成します。各OIDLDAPDディスパッチャ・プロセスには、リクエストを受信するための固有のSSLポートおよび非SSLポートがあります。デフォルトでは、各OIDインスタンスにはディスパッチャとサーバー・プロセスが1つずつあります。1つのインスタンスに作成されるサーバー・プロセスの数は、orclserverprocs属性によって制御されます。
OIDMON: OIDMONは、Oracle Internet Directoryインスタンスのプロセス制御を行います。このプロセスは、Oracle Internet Directoryの起動、停止および監視を行います。OIDMONは起動時にOIDLDAPDディスパッチャ・プロセスを作成し、インスタンスにレプリケーションが構成されている場合はレプリケーション・サーバー・プロセスも作成します。
レプリケーション・サーバー・プロセス: Oracle Internet Directory内のプロセスで、レプリケーションが構成されている場合にのみ実行されます。レプリケーション・サーバー・プロセスは、起動時にOIDMONによって作成されます。
OPMN: Oracle Process Manager and Notification Server(OPMN)は、Oracle Internet DirectoryなどのOracle Fusion Middlewareコンポーネントを監視するデーモン・プロセスです。Oracle Enterprise Manager Fusion Middleware ControlはOPMNを使用して、Oracle Internet Directoryのインスタンスの停止と起動を行います。Oracle Internet Directoryコンポーネントの停止と起動をコマンドラインから行う場合は、OPMNに対するコマンドライン・インタフェースであるopmnctlを使用します。
OPMNは、OIDMONを直接、起動、停止、再起動、および監視します。サーバー・プロセスを直接起動または停止することはありません。
OPMNは、デーモン・プロセスOIDMON(ORACLE_HOME/bin/oidmon)を直接、起動、停止、再起動、および監視します。OIDMONは、Oracle Internet Directoryインスタンスのプロセスを制御します。11gリリース1(11.1.1)では、同一ノードの同一Oracleインスタンスに複数のOracle Internet Directoryインスタンスを設定できます。詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。
Oracle Internet Directoryのプロセス情報は、ODSデータベース・ユーザー・スキーマのODS_PROCESS_STATUS表で管理されます。OIDMONは、指定された間隔で表の内容を読み取り、その表の内容が伝える目的に従って動作します。この間隔は、OIDMON起動時に使用されたスリープ・コマンド・ラインの引数の値によって制御されます。デフォルト値は10秒です。
Oracle Internet Directoryの起動と停止
Oracle Enterprise Manager Fusion Middleware Controlまたはコマンドopmnctlを使用して、Oracle Internet Directoryインスタンスの起動と停止ができます。
プロセスの起動
Oracle Internet Directoryの起動プロセスは次のとおりです。
起動コマンドを受信すると、OPMNはopmn.xmlファイルで指定された適切な引数を使用してoidmon起動コマンドを発行します。
これにより、OIDMONは、ODS_PROCESS_STATUS表内の情報で状態の値が1または4、かつORACLE_INSTANCE、COMPONENT_NAME、INSTANCE_NAMEの値がOPMNによって設定された環境パラメータと一致するすべてのOracle Internet Directoryサーバー・インスタンスを起動します。
プロセスの停止
Oracle Internet Directoryの停止プロセスは次のとおりです。
停止コマンドを受信すると、OPMNは、oidmon停止コマンドを発行します。
ODS_PROCESS_STATUS表内で環境パラメータORACLE_INSTANCE、COMPONENT_NAME、およびINSTANCE_NAMEに一致する各行に対して、oidmon停止コマンドがOIDMON、OIDLDAPD、およびOIDREPLDの各プロセスを停止し、状態を4に更新します。
OPMNは、サーバー・プロセスを直接監視しません。OPMNはOIDMONを監視し、OIDMONがサーバー・プロセスを監視します。イベントは次のとおりです。
OPMNを介してOIDMONを起動すると、OPMNはOIDMONを起動し、OIDMONが実行中であることを確認します。
なんらかの理由でOIDMONが停止すると、OPMNによって再起動されます。
OIDMONは、Oracle Internet Directoryディスパッチャ・プロセス、LDAPサーバー・プロセス、およびレプリケーション・サーバー・プロセスのステータスを監視し、このステータスをOPMNとOracle Enterprise Manager Fusion Middleware Controlで使用できるようにします。
Oracle Internet Directoryプロセスが起動すると、クライアントはLDAPまたはLDAPSプロトコルを使用してOracle Internet Directoryにアクセスします。Oracle Internet Directoryインスタンスの起動時に、他の実行インスタンスへの影響はありません。
Oracle Internet Directoryリスナー/ディスパッチャは、起動時に構成された数のサーバー・プロセスを起動します。サーバー・プロセスの数は、インスタンス固有の構成エントリ内のorclserverprocs属性によって制御されます。orclserverprocsのデフォルト値は1です。Oracle Internet Directoryでは複数のサーバー・プロセスによって、マルチ・プロセッサ・システムのメリットが得られます。
Oracle Internet Directoryのディスパッチャ・プロセスは、Oracle Internet Directoryのサーバー・プロセスに対するLDAP接続をラウンドロビン方式で送信します。各サーバーで受入れ可能なLDAP接続の最大数は、デフォルトでは1024です。この数は、インスタンス固有の構成エントリ内の属性orclmaxldapconnsを変更して増やせます。このDNの形式は次のとおりです。
cn=componentname,cn=osdldapd,cn=subconfigsubentry
各サーバー・プロセスからのデータベース接続は、インスタンス構成パラメータORCLMAXCCおよびORCLPLUGINWORKERSに設定された値に応じてサーバーの起動時に作成されます。各サーバーで作成されるデータベース接続の数は、ORCLMAXCC + ORCLPLUGINWORKERS + 2と等しくなります。Oracle Internet Directoryのサーバー・プロセスはOracle Net Servicesを介してOracleデータベース・サーバーと通信します。Oracle Net Servicesリスナー/ディスパッチャは、リクエストをOracleデータベースに中継します。詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。
記憶域の配置にはDB接続文字列が必要です。TNSNAMES.ORAは、ORACLE_INSTANCE/configに保存されます。ウォレットはORACLE_INSTANCE/OID/adminに保存されます(DB ODSユーザー・パスワードはウォレットに格納されます)。
Oracle Internet Directoryでは、データと同様に構成情報の格納にもOracleデータベースを使用します。この情報の格納にはODSスキーマを使用します。
Oracleディレクトリ・レプリケーション・サーバーはLDAPを使用して、Oracleディレクトリ(LDAP)サーバー・インスタンスと通信します。データベースとの通信には、すべてのコンポーネントでOCI/Oracle Net Servicesを使用します。Oracle Directory Services Managerおよびコマンドライン・ツールは、LDAPを介してOracleディレクトリ・サーバーと通信します。
Oracle Internet Directoryのログ・ファイルは、次のディレクトリにあります。
ORACLE_INSTANCE/diagnostics/log/OID
表7-5は、Oracle Internet Directoryのプロセスとログ・ファイル名、およびプロセスの場所を示しています。
表7-5 Oracle Internet Directoryのプロセス・ログ・ファイルの場所
| プロセス | ログ・ファイルの場所 |
|---|---|
|
ディレクトリ・サーバー(oidldapd) |
00はインスタンス番号です(デフォルトは00)。 sはサーバーを表します。 PIDはサーバー・プロセス識別子です。 XXXXは、0からorclmaxlogfilesconfiguredまでの数値です。orclmaxlogfilesconfigured値に達すると、再び0から開始されます。この開始時にはファイルは0バイトに切り捨てられます。
|
|
LDAPディスパッチャ(oidldapd) |
00はインスタンス番号です(デフォルトは00)。 XXXXは、0からorclmaxlogfilesconfiguredまでの数値です。 |
|
OIDモニター(OIDMON) |
XXXXは、0からorclmaxlogfilesconfiguredまでの数値です。 |
|
ディレクトリ・レプリケーション・サーバー(oidrepld) |
XXXXは、0からorclmaxlogfilesconfiguredまでの数値です。 |
ログ・ファイルを使用したOracle Internet Directoryの問題のトラブルシューティングの詳細は、第7.3.6項「Oracle Internet Directoryの高可用性のトラブルシューティング」を参照してください。
この項では、Oracle Internet Directoryを2ノードのクラスタ構成による高可用性で使用する場合の概要について説明します。前提条件については、第7.3.2.3項「Oracle Internet Directoryの前提条件」を、2ノードのクラスタ構成を設定するための固有の手順については、第7.3.3項「Oracle Internet Directoryの高可用性の構成手順」を参照してください。
図7-3は、Oracle Internet Directoryクラスタ構成のアクティブ/アクティブ構成における高可用性アーキテクチャを示しています。
図7-3 Oracle Internet Directoryクラスタ構成の高可用性アーキテクチャ
図7-3では、クラスタ構成の高可用性アーキテクチャのディレクトリ層にOracle Internet Directoryがあります。クラスタ化はインストール時に設定されます。ロード・バランシング・ルーターによってLDAPクライアント・リクエストが2つのOracle Internet Directoryインスタンスにルーティングされます。この2つのインスタンスは、OIDHOST1とOIDHOST2上にあり、クラスタ化されています。
RACデータベースをセキュリティ・メタデータ・リポジトリとして使用しているOracle Internet Directoryインスタンスの接続には、透過的アプリケーション・フェイルオーバー(TAF)が使用されます。RACデータベースは、TNSNAMES.ORAに構成されます。高可用性イベント通知は、RACインスタンスが使用不可となった場合の通知に使用されます。Oracle RACでOracle Internet Directoryを使用する方法の詳細は、第4.1.6.1項「Oracle Internet Directory」を参照してください。
クラスタ構成では、各Oracle Internet Directoryインスタンスの起動にOPMNコマンドを使用します。起動時にOracle Internet Directoryへの影響はありません。Oracle Internet Directoryの起動時に新しいデータベース接続が作成されます。
OPMNを使用してクラスタを停止すると、Oracle Internet Directoryは、データベースとの接続を切断し、Oracle Internet Directoryサーバーが停止します。
構成の変更は、クラスタ構成内のすべてのインスタンスに対してクラスタ・レベルで行われます。同じデータベースを共有するクラスタ構成内のノードはすべて同じ構成情報を読み込みます。OIDMONプロセスは、各Oracle Internet Directoryサーバーの構成変更をポーリングし、構成変更に関するデータベース・リポジトリを更新します。OIDMONおよびその他のOracle Internet Directoryサーバーは、データベース・リポジトリから変更を取得します。このようにして、クラスタ・メンバー・レベルで加えられた変更はすべて、クラスタ内のすべてのOracle Internet Directoryサーバーに伝播されます。
Oracle Internet Directory LDAPサーバーの構成に必要なインスタンス固有の構成属性は、次のLDAPエントリに格納されます。
cn=<component-name>,cn=configsets,cn=osdldapd,cn=subconfigsubentry
Oracle Internet Directoryサーバー構成の各面(サーバー数、データベース接続、サイズ制限、時間制限など)は、インスタンス固有のサーバー構成エントリに含まれます。
クラスタ内のすべてのOracle Internet Directoryインスタンスに共通の構成属性は、次のLDAPエントリに格納されます。
cn=dsaconfig,cn=configsets,cn=osdldapd,cn=oracle internet directory
クラスタ内の各Oracle Internet Directoryインスタンスに対してインスタンス固有のサーバー構成属性を保持する場合は、インストール時/構成時に各Oracle Internet Directoryインスタンスに対して個別のOracle Internet Directoryコンポーネント名を選択する必要があります(ノード1はoid1、ノード2はoid2など)。この場合、構成エントリは、それぞれcn=oid1,cn=osdldapd,cn=subconfigsubentryおよびcn=oid2,cn=osdldapd,cn=subconfigsubentryとなり、Oracle Internet Directoryインスタンスごとに更新する必要があります。
一方、クラスタ内のOracle Internet Directoryインスタンスの両方に共通のサーバー構成属性セットを使用するように選択した場合は、Oracle Internet Directoryインスタンスの両方に同じOracle Internet Directoryコンポーネント名を選択する必要があります(Oracle Internet Directoryのノード1とノード2の両方にoid1を使用するなど)。この場合、cn=oid1,cn=osdldapd,cn=subconfigsubentryのように、共通の構成エントリになります。
Oracle Internet Directory LDAPサーバー・インスタンスは、スキーマ、ACL、パスワード・ポリシーなど、特定のLDAPメタデータ・アーティファクトをキャッシュします。任意のノードにある複数のOracle Internet Directory LDAPサーバー・プロセスは、各ノードのOracle Internet Directoryで管理される共有メモリー・セグメントに関して構築されるセマンティックを介して、キャッシュの同期を管理します。OIDMONは、ノード間の共有メモリー・セグメントの同期を保証することで、ノード間のキャッシュの同期を管理します。これはOracle Internet Directoryデータベースを使用して実現されます。
Oracle Internet Directoryでは、メタデータもキャッシュされ、メタデータの変更によって、ノード間の通知がトリガーされます。メタデータの変更にはldapmodifyユーティリティを使用します。メタデータ変更に関するldapmodifyリクエストを取得したOracle Internet Directoryサーバーは、他のOracle Internet Directoryサーバーに対してメタデータの変更を通知します(OIDMONを含む)。OIDMONは、他のノードのOIDMONにメタデータの変更を通知する役割を持ちます。
この項では、Oracle Internet Directoryクラスタ構成における様々な障害からの保護について説明します。
OIDMONは、Oracle Internet Directoryプロセスを監視します。Oracle Internet Directoryプロセスが停止すると、OIDMONが再起動を試行します。
OIDMONはOPMNによって監視されます。OIDMONが停止すると、OPMNがOIDMONを再起動します。
Oracle Internet Directoryプロセスを再起動できない場合は、フロントエンドのロード・バランシング・ルーターによってクラスタ構成内のOracle Internet Directoryインスタンスの障害が検出され、障害が発生していないインスタンスにLDAPトラフィックがルーティングされます。障害が発生した場合、LDAPクライアントによってトランザクションが再試行されます。トランザクションの途中でインスタンスに障害が発生した場合は、そのトランザクションはデータベースにコミットされません。障害が発生したインスタンスが再起動すると、ロード・バランシング・ルーターによってこれが検出され、すべてのインスタンスにリクエストがルーティングされます。
クラスタ構成内のOracle Internet Directoryインスタンスが停止すると、ロード・バランシング・ルーターによってこれが検出され、障害が発生していないインスタンスにリクエストがルーティングされます。
2ノードのクラスタ構成で一方のOracle Internet Directoryインスタンスに障害が発生した場合(またはインスタンスをホストするコンピュータの一方に障害が発生した場合)は、ロード・バランシング・ルーターによって、障害が発生していないOracle Internet Directoryインスタンスにクライアントがルーティングされます。
通常、Oracle Internet Directoryサーバーの障害は、Oracle Internet Directoryクライアントに対して透過的です。これは、ロード・バランサを介してクライアントへのルーティングが継続されるためです。通常、外部ロード・バランサはOracle Internet Directoryプロセスのヘルス・チェックを実行するように構成されます。プロセスが利用不可であることをロード・バランサが検出する前にリクエストが受信されると、クライアント・アプリケーションでエラーを受信することがあります。クライアント・アプリケーションが再試行した場合、ロード・バランサは、これを正常なOracle Internet Directoryインスタンスにルーティングし、リクエストは正常に行われます。
Oracle Internet Directoryのアクティブ/アクティブ構成では、フェイルオーバー時にLDIFファイルを介してldapadd操作を実行していると、ロード・バランサ・ホストとポートを介して実行している場合でも、この操作がエラーになることがあります。これは、Oracle Internet Directoryが一瞬停止するためです。ほとんどのアプリケーションには、固定回数の接続を再試行する機能があるためこの問題は発生しません。
この項では、Oracle Internet Directoryに利用できるデータベース障害からの保護について説明します。
デフォルトでは、Oracle Internet DirectoryのORACLE_INSTANCEで構成されたtnsnames.oraファイルによって、Oracle Internet Directoryからデータベースへの接続はRACデータベース・インスタンス間でロード・バランシングされることが保証されます。たとえば、Oracle Internet Directoryインスタンスが4つのデータベース接続を確立した場合、各データベース・インスタンスに対して接続が2つ確立されます。
Oracle Internet Directoryは、データベースの高可用性イベント通知を使用してデータベースのノード障害を検出し、障害が発生していないノードへフェイルオーバーします。
透過的アプリケーション・フェイルオーバー(TAF)が構成されている場合は、データベース・インスタンスの障害発生時に、Oracle Internet Directoryが正常に稼働しているデータベース・インスタンスにデータベース接続をフェイルオーバーします。これにより、フェイルオーバー時に行われていたLDAPの検索操作が継続されます。
透過的アプリケーション・フェイルオーバー(TAF)と高可用性イベント通知の両方が構成されている場合は、フェイルオーバーには透過的アプリケーション・フェイルオーバー(TAF)が使用され、高可用性イベント通知は、イベントの記録にのみ使用されます。高可用性イベント通知は、OIDLDAPDログ・ファイルに記録されます。
Oracle Internet Directoryには、失効したデータベース接続を検出するメカニズムもあります。これにより、データベースへの再接続が可能になります。
いずれのデータベース・インスタンスも使用できない状態が長く続いた場合は、Oracle Internet DirectoryのLDAPおよびREPLの各プロセスは自動的に停止します。ただし、OIDMONとOPMNは、データベース・インスタンスの可用性に対してpingを継続し、データベースが使用可能になると、OIDMONによってOracle Internet Directoryのプロセス(LDAPとREPL)が自動的に再起動されます。
すべてのデータベース・インスタンスが停止している場合でも、OIDMONは実行を継続し、opmnctl statusコマンドによってOIDLDAPDインスタンスの停止が示されます。データベース・インスタンスが利用可能になると、OIDMONは構成されているすべてのOracle Internet Directoryインスタンスを再起動します。
Oracle Internet Directoryのアクティビティに起因するデータベースのフェイルオーバーはすべて、OIDMONログ・ファイルに記録されます。
この項では、Oracle Internet Directoryの高可用性アーキテクチャを設定するための前提条件について説明します。
高可用性環境でOracle Internet Directoryを設定する前に、各Oracle Internet Directoryのノードの時間が同期していることを確認しておく必要があります。
グリニッジ標準時を使用して全ノードの時間を同期し、ノード間で250秒を超える差異が発生しないようにします。
OIDモニターが2つのノード間で250秒を超える時間の差異を検出すると、遅れているノードのOIDモニターがそのノード上のすべてのサーバーを停止します。この問題を修正するには、遅れているノードの時間を正しい時間に同期させます。OIDモニターはシステム時間の変更を自動的に検出して、そのノードのOracle Internet Directoryサーバーを起動します。
2つ以上のノードがある場合は同様の動作が続きます。たとえば、3つのノードがあり、1つ目のノードが2つ目のノードより150秒進み、2つ目のノードは3つ目のノードより150秒進んでいるとします。この場合、3つ目のノードは最初のノードから300秒遅れているため、OIDモニターは時間が同期するまで3つ目のノードのサーバーを起動しません。
OIDHOST1およびOIDHOST2にOracle Internet Directoryインスタンスをインストールする前に、リポジトリ作成ユーティリティ(RCU)を使用して、Oracle Identity ManagementおよびManagement Serviceで使用するスキーマのコレクションを作成します。
リポジトリ作成ユーティリティ(RCU)は、Oracle Fusion Middleware 11gキットの部品として付属する専用のCDに収録されています。
次の手順に従って、RCUを実行し、RACデータベース・リポジトリにアイデンティティ管理スキーマを作成します。
次のコマンドを発行します。
prompt> RCU_HOME/bin/rcu &
「ようこそ」画面で「次へ」をクリックします。
「リポジトリの作成」画面で、「作成」操作を選択してコンポーネント・スキーマを既存のデータベースにロードします。
「次へ」をクリックします。
「データベース接続の詳細」画面で、既存のデータベースの接続情報を次のように入力します。
データベース・タイプ: Oracle Database
ホスト名: データベースを実行しているコンピュータの名前。RACデータベースの場合は、VIP名またはノード名を指定します。例: INFRADBHOST1-VIPまたはINFRADBHOST2-VIP
ポート: データベースのポート番号。例: 1521
サービス名: データベースのサービス名。例: idmedg.mycompany.com
ユーザー名: SYS
パスワード: SYSユーザーのパスワード
ロール: SYSDBA
「次へ」をクリックします。
「コンポーネントの選択」画面で、新しい接頭辞を作成して、このデプロイメントに関連するコンポーネントを選択します。
接頭辞の新規作成: idm(「コンポーネント」フィールドで「アイデンティティ管理」(Oracle Internet Directory - ODS)しか選択していない場合は、接頭辞の入力はオプションです)。
コンポーネント: 「アイデンティティ管理」(Oracle Internet Directory - ODS)を選択します。その他のスキーマは選択を解除します。
「次へ」をクリックします。
「スキーマ・パスワード」画面で、主要なスキーマ・ユーザーおよび追加(補助)のスキーマ・ユーザーのパスワードを入力します。
「次へ」をクリックします。
「表領域のマップ」画面で、コンポーネントの表領域を選択します。
「サマリー」画面で「作成」をクリックします。
「完了サマリー」画面で「閉じる」をクリックします。
Oracle Internet Directoryを高可用性構成でデプロイする場合は、Oracle Internet Directoryインスタンスのフロントエンドに外部ロード・バランサを使用して、各種Oracle Internet Directoryインスタンス間のリクエストをロード・バランシングすることをお薦めします。
詳細は、第7.2.4.5項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。
Oracle Internet Directoryは、スタンドアロン・モードまたはWebLogic Serverドメインの一部として可用性の高い構成にデプロイできます。
Oracle Internet Directoryの全体をコマンドライン・ツールで管理し、Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerが必須ではないと判断される場合は、スタンドアロン・モードのデプロイを選択する必要があります。必要な場合は、後から、opmnctlコマンドを使用してリモートのOracle WebLogic ServerドメインにスタンドアロンのOracle Internet Directoryインスタンスを登録できます。Oracle Enterprise Manager Fusion Middleware ControlとOracle Directory Services Managerを使用して、Oracle WebLogic Serverドメインで構成されたOracle Internet Directoryインスタンスを管理できます。
Oracle Internet Directoryをクラスタ・デプロイメント内にセットアップすることをお薦めします。クラスタ化されたOracle Internet Directoryインスタンスは、同じRACデータベース・リポジトリにアクセスします。
この項では、WebLogic Serverドメインを使用せずにOracle Internet Directoryをデプロイする手順について説明します。
スキーマ・データベースが実行中であり、RCUを使用してODSデータベース・スキーマがシードされていることを確認してから、次の手順に従ってOracle Internet DirectoryインスタンスをOIDHOST1にインストールします。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
ポート389および636がこのコンピュータ上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "389" netstat -an | grep "636"
Windowsの場合:
netstat -an | findstr :389 netstat -an | findstr :636
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート389および636のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Internet Directoryのポート番号を指定する行は非コメント化)を割り当てます。
# The non-SSL port for Oracle Internet Directory Oracle Internet Directory port = 389 # The SSL port for Oracle Internet Directory Oracle Internet Directory (SSL) port = 636
次の手順に従って、Oracle Identity Management 11gのインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
Oracleホームの場所:
/u01/app/oracle/product/fmw/idm
Oracleインスタンスの場所:
/u01/app/oracle/admin/oid_instance1
Oracleインスタンス名:
oid_instance1
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、その他のすべてのコンポーネントの選択を解除して「次へ」をクリックします。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。
「次へ」をクリックします。
「スキーマ・データベースの指定」画面で、「既存のスキーマの使用」を選択し、次の値を指定します。
接続文字列:
infradbhost1-vip.mycompany.com:1521:idmdb1^infradbhost2-vip.mycompany.com:1521:idmdb2@idmedg.mycompany.com
|
注意: RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。このインストール時に、すべてのRACインスタンスを起動する必要はありません。1つのRACインスタンスが起動されていれば、インストールを続行できます。 前述のように指定した情報は、完全で正確である必要があります。具体的には、ホスト、ポート、およびインスタンス名が各RACインスタンスに正しく指定されている必要があります。また、指定したRACインスタンスのすべてにサービス名が構成されている必要があります。 RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。 |
ユーザー名: ODS
パスワード: ******
「次へ」をクリックします。
「Oracle Internet Directoryの作成」画面で、レルムを指定し、管理者(cn=orcladmin)パスワードを入力して、「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。
「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
Oracle Identity Management 11gインストーラを使用してOracle Internet Directoryのインストールを実行する場合、インストーラがOracle Internet Directoryインスタンスに割り当てるデフォルトのコンポーネント名はoid1です。このコンポーネント名は変更できません。
このOracle Internet Directoryインスタンスのインスタンス固有の構成エントリは、cn=oid1, cn=osdldapd, cn=subconfigsubentryです。
別のコンピュータ上で2つ目のOracle Internet Directoryのインストールを実行し、そのOracle Internet Directoryインスタンスで1つ目のインスタンスと同じデータベースを使用する場合、インストーラは、同一データベースを使用する他のコンピュータにすでにインストールされているOracle Internet Directoryインスタンスを検出し、2つ目のOracle Internet Directoryインスタンスにはコンポーネント名oid2を割り当てます。
2つ目のOracle Internet Directoryインスタンスのインスタンス固有の構成エントリは、cn=oid2, cn=osdldapd, cn=subconfigsubentryです。エントリcn=oid2, cn=osdldapd, cn=subconfigsubentryのプロパティを変更しても、1つ目のインスタンス(oid1)には影響しません。
さらに別のコンピュータ上に3つ目のOracle Internet Directoryがインストールされ、このインスタンスでも、前の2つのインスタンスと同じデータベースを使用する場合、インストーラは3つ目のOracle Internet Directoryインスタンスにコンポーネント名oid3を割り当てます。同じデータベースを使用する別のホストには、このような方法でコンポーネント名が割り当てられます。
すべてのOracle Internet Directoryインスタンスで共有される構成は、cn=dsaconfig, cn=configsets,cn=oracle internet directoryです。このエントリに変更が加えられた場合は、Oracle Internet Directoryのすべてのインスタンスに影響します。
このネーミング・スキームによって、各Oracle Internet Directoryインスタンスに異なるコンポーネント名が割り当てられるため、Oracle Enterprise Managerを使用してドメインを表示する際に混乱を回避できます。
Oracle Internet Directoryリポジトリが実行されていることを確認してから、次の手順に従ってOracle Internet DirectoryインスタンスをOIDHOST2にインストールします。
|
注意: この項で説明する手順は、11g Oracle Identity Managementの高可用性構成でOracle Internet Directoryをスケール・アウトするときにも使用できます。 |
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
OIDHOST1では、Oracle Internet Directoryによってポート389と636が使用されています。OIDHOST2のOracle Internet Directoryインスタンスにも同じポートを使用する必要があります。このため、ポート389および636がこのコンピュータ上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "389" netstat -an | grep "636"
Windowsの場合:
netstat -an | findstr :389 netstat -an | findstr :636
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート389および636のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Internet Directoryのポート番号を指定する行は非コメント化)を割り当てます。
# The non-SSL port for Oracle Internet Directory Oracle Internet Directory port = 389 # The SSL port for Oracle Internet Directory Oracle Internet Directory (SSL) port = 636
次の手順に従って、Oracle Identity Management 11g のインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
Oracleホームの場所:
/u01/app/oracle/product/fmw/idm
Oracleインスタンスの場所:
/u01/app/oracle/admin/oid_instance2
Oracleインスタンス名:
oid_instance2
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、その他のすべてのコンポーネントの選択を解除して「次へ」をクリックします。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。
「次へ」をクリックします。
「スキーマ・データベースの指定」画面で、「既存のスキーマの使用」を選択し、次の値を指定します。
接続文字列:
infradbhost1-vip.mycompany.com:1521:idmdb1^infradbhost2-vip.mycompany.com:1521:idmdb2@idmedg.mycompany.com
|
注意: RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。このインストール時に、すべてのRACインスタンスを起動する必要はありません。1つのRACインスタンスが起動されていれば、インストールを続行できます。 前述のように指定した情報は、完全で正確である必要があります。具体的には、ホスト、ポート、およびインスタンス名が各RACインスタンスに正しく指定されている必要があります。また、指定したRACインスタンスのすべてにサービス名が構成されている必要があります。 RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。 |
ユーザー名: ODS
パスワード: ******
「次へ」をクリックします。
ODSスキーマが使用中であることを示すメッセージが表示されます。選択したODSスキーマはすでに既存のOracle Internet Directoryインスタンスで使用されています。したがって、構成中の新しいOracle Internet Directoryインスタンスは、この同じスキーマを再利用します。
「はい」を選択して続行します。
「OID管理者パスワードの指定」画面で、OID管理者のパスワードを指定し、「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。
「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Internet Directoryコンポーネントを管理する場合は、コンポーネントとそれを含むOracle Fusion MiddlewareインスタンスをOracle WebLogic Serverドメインに登録する必要があります。インストール時またはOracleインスタンスの作成時に、Oracle Fusion MiddlewareインスタンスをWebLogicドメインに登録できますが、必須事項ではありません。Oracle Fusion MiddlewareインスタンスがWebLogicドメインに事前に登録されていない場合は、opmnctl registerinstanceを使用して登録できます。
opmnctl registerinstanceコマンドを使用してOracle Internet DirectoryインスタンスをOracle WebLogic Serverドメインに登録する前に、WebLogic Serverがインストール済であることを確認します。
続いて、次の形式でopmnctl registerinstanceコマンドを実行します(各インストールで変数ORACLE_HOMEとORACLE_INSTANCEを設定してからOracle Internet Directoryインスタンスのホーム・ディレクトリでこのコマンドを実行してください)。
opmnctl registerinstance -adminHost WLSHostName -adminPort WLSPort -adminUsername adminUserName
次に例を示します。
opmnctl registerinstance -adminHost idmhost1.mycompany.com -adminPort 7001 -adminUsername weblogic Command requires login to weblogic admin server (idmhost1.mycompany.com) Username: weblogic Password: *******
Oracle Internet DirectoryコンポーネントのWebLogicドメインへの登録の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のWebLogic ServerへのOracle Fusion Middlewareインスタンスまたはコンポーネントの登録に関する項を参照してください。
この項では、WebLogic Serverドメインの一部としてOracle Internet Directoryの高可用性構成をデプロイする手順について説明します。
この構成では、1つ目のホストにOracle Internet DirectoryとWebLogic Serverドメインが構成され、2つ目のホストにはOracle Internet Directoryのみが構成されます。2つ目のホストのOracle Internet Directoryインスタンスは、1つ目のホストで作成されたドメインに参加します。
OIDHOST1で、インストーラ実行可能ファイルを実行して、Oracle WebLogic Serverのインストールを開始します。
次の手順に従って、Oracle WebLogic Serverインストーラを起動します。
UNIXの場合(次の例はLinuxの場合):
./server103_linux32.bin
Windowsの場合:
server103_win32.exe
インストーラが起動したら、次の手順に従ってOracle WebLogic Serverをコンピュータにインストールします。
「ようこそ」画面で「次へ」をクリックします。
「ミドルウェア・ホーム・ディレクトリの選択」画面で、Oracle WebLogicソフトウェアのインストール先となるディレクトリを選択します。
「ミドルウェア・ホーム・ディレクトリ」に、次の値を指定します。
/u01/app/oracle/product/fmw
「次へ」をクリックします。
「セキュリティ更新のための登録」画面で、「My Oracle Support」のユーザー名とパスワードを入力します。
「インストール・タイプの選択」画面では、完全インストールとカスタム・インストールのどちらを実行するかを指定します。
「標準」または「カスタム」を選択します。
「次へ」をクリックします。
「製品インストール・ディレクトリの選択」画面で、次の値を指定します。
WebLogic Server:
/u01/app/oracle/product/fmw/wlserver_10.3
「次へ」をクリックします。
「インストール・サマリー」画面に、インストール対象として選択したコンポーネントの一覧と、それらをインストールするために使用されるディスク領域の概算値が表示されます。
「次へ」をクリックします。
「インストール 完了」画面で、「Quickstartの実行」チェック・ボックスの選択を解除します。
「完了」をクリックします。
次のタスクを行う前に、スキーマ・データベースが実行されている必要があります。また、RCUを使用してODSデータベース・スキーマがシードされていることも確認します。続いて、次の手順に従って、OIDHOST1に11g Oracle Internet Directoryをインストールします。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
ポート389および636がこのコンピュータ上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "389" netstat -an | grep "636"
Windowsの場合:
netstat -an | findstr :389 netstat -an | findstr :636
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート389および636のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Internet Directoryのポート番号を指定する行は非コメント化)を割り当てます。
# The non-SSL port for Oracle Internet Directory Oracle Internet Directory port = 389 # The SSL port for Oracle Internet Directory Oracle Internet Directory (SSL) port = 636
次の手順に従って、Oracle Identity Management 11gのインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「新規ドメインの作成」を選択します。次の値を指定します。
ユーザー名: weblogic
パスワード: <weblogicユーザーのパスワード>
パスワードの確認: <weblogicユーザーのパスワードを再度入力します>
ドメイン名: IDMDomain
「インストール場所の指定」画面で、次の値を指定します。
Oracle Middlewareホームの場所:
/u01/app/oracle/product/fmw
Oracleホーム・ディレクトリ: idm
Oracleインスタンスの場所:
/u01/app/oracle/admin/oid_inst1
Oracleインスタンス名: oid_inst1
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Internet Directory」と「管理コンポーネント」を選択します。
「次へ」をクリックします。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。
「次へ」をクリックします。
|
注意: インストーラによって設定されるデフォルトのOracle WebLogic Serverのクラスタ・モードは、(マルチキャストではなく)ユニキャストになります。 |
「スキーマ・データベースの指定」画面で、「既存のスキーマの使用」を選択し、次の値を指定します。
接続文字列:
infradbhost1-vip.mycompany.com:1521:idmdb1^infradbhost2-vip.mycompany.com:1521:idmdb2@idmedg.mycompany.com
|
注意: RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。このインストール時に、すべてのRACインスタンスを起動する必要はありません。1つのRACインスタンスが起動されていれば、インストールを続行できます。 前述のように指定した情報は、完全で正確である必要があります。具体的には、ホスト、ポート、およびインスタンス名が各RACインスタンスに正しく指定されている必要があります。また、指定したRACインスタンスのすべてにサービス名が構成されている必要があります。 RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。 |
ユーザー名: ODS
パスワード: ******
「次へ」をクリックします。
「OIDの構成」画面で、レルムを指定し、管理者(cn=orcladmin)パスワードを入力して、「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。
「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
|
注意: Oracle Identity Management 11gのインストーラによって割り当てられるOracle Internet Directoryコンポーネント名の詳細は、第7.3.3.1.2項「Oracle Identity Managementのインストーラによって割り当てられるOracle Internet Directoryのコンポーネント名」を参照してください。 |
この項では、OIDHOST1上の管理サーバーに対してboot.propertiesファイルを作成する方法について説明します。boot.propertiesファイルを使用すると、administratorのユーザー名とパスワードの入力を求められることなく管理サーバーを起動できます。
次の手順に従って、boot.propertiesファイルを作成します。
OIDHOST1で、次のディレクトリに移動します。
MW_HOME/user_projects/domains/domainName/servers/AdminServer/security
次に例を示します。
cd /u01/app/oracle/product/fmw/user_projects/domains/IDMDomain/servers/AdminServer/security
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。
username=adminUserpassword=adminUserPassword
|
注意: 管理サーバーの起動時に、このファイルのユーザー名とパスワードのエントリは暗号化されます。セキュリティ上の理由から、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。ファイルの編集後は、速やかにサーバーを起動してエントリを暗号化する必要があります。 |
管理サーバーが実行されている場合は停止します。
WebLogic Serverの起動と停止の詳細は、Oracle Fusion Middlewareの管理者ガイドの「Oracle Fusion Middlewareの起動と停止」を参照してください。
MW_HOME/user_projects/domains/domainName/binディレクトリにあるstartWebLogic.shスクリプトを使用して、OIDHOST1上の管理サーバーを起動します。
Webブラウザを開いて次のページにアクセスし、変更が正常に行われたことを確認します。
次のURLのWebLogic Server管理コンソールにアクセスします。
http://oidhost1.mycompany.com:7001/console
次のURLのOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
http://oidhost1.mycompany.com:7001/em
weblogicユーザーの資格証明を使用して、これらのコンソールにログインします。
Oracle Internet Directoryリポジトリが実行されていることを確認してから、次の手順に従ってOracle Internet DirectoryインスタンスをOIDHOST2にインストールします。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
OIDHOST1では、Oracle Internet Directoryによってポート389と636が使用されています。OIDHOST2のOracle Internet Directoryインスタンスにも同じポートを使用する必要があります。このため、ポート389および636がこのコンピュータ上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "389" netstat -an | grep "636"
Windowsの場合:
netstat -an | findstr :389 netstat -an | findstr :636
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート389および636のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Internet Directoryのポート番号を指定する行は非コメント化)を割り当てます。
# The non-SSL port for Oracle Internet Directory Oracle Internet Directory port = 389 # The SSL port for Oracle Internet Directory Oracle Internet Directory (SSL) port = 636
次の手順に従って、Oracle Identity Management 11g のインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「既存ドメインの拡張」を選択して、次の値を指定します。
ホスト名: idmhost1.mycompany.com(WebLogic管理サーバーを実行しているホスト)
ポート: 7001(WebLogic管理サーバーのポート)
ユーザー名: weblogic
パスワード: <weblogicユーザーのパスワード>
「インストール場所の指定」画面で、次の値を指定します。
Oracle Middlewareホームの場所:
/u01/app/oracle/product/fmw
Oracleホーム・ディレクトリ: idm
WebLogic Serverのディレクトリ:
/u01/app/oracle/product/fmw/wlserver_10.3
Oracleインスタンスの場所:
/u01/app/oracle/admin/oid_inst2
Oracleインスタンス名: oid_inst2
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Internet Directory」を選択し、「次へ」を選択します。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。
「次へ」をクリックします。
「スキーマ・データベースの指定」画面で、「既存のスキーマの使用」を選択し、次の値を指定します。
接続文字列:
infradbhost1-vip.mycompany.com:1521:idmdb1^infradbhost2-vip.mycompany.com:1521:idmdb2@idmedg.mycompany.com
|
注意: RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。このインストール時に、すべてのRACインスタンスを起動する必要はありません。1つのRACインスタンスが起動されていれば、インストールを続行できます。 前述のように指定した情報は、完全で正確である必要があります。具体的には、ホスト、ポート、およびインスタンス名が各RACインスタンスに正しく指定されている必要があります。また、指定したRACインスタンスのすべてにサービス名が構成されている必要があります。 RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。 |
ユーザー名: ODS
パスワード: ******
「次へ」をクリックします。
ODSスキーマが使用中であることを示すメッセージが表示されます。選択したODSスキーマはすでに既存のOracle Internet Directoryインスタンスで使用されています。したがって、構成中の新しいOracle Internet Directoryインスタンスは、この同じスキーマを再利用します。
「はい」を選択して続行します。
「OID管理者パスワードの指定」画面で、Oracle Internet Directory管理者のパスワードを指定し、「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。
「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
ldapbindコマンドライン・ツールを使用して、各Oracle Internet DirectoryインスタンスとLDAP仮想サーバーに接続できることを確認します。ldapbindツールでは、サーバーに対してクライアントを認証できるかどうかを確認できます。
|
注意: ldapbindコマンドを使用する前に設定が必要な環境変数の一覧は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』の使用環境の構成に関する項を参照してください。 |
非SSLの場合:
ldapbind -h oidhost1.mycompany.com -p 389 -D "cn=orcladmin" -q ldapbind -h oidhost2.mycompany.com -p 389 -D "cn=orcladmin" -q ldapbind -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q
|
注意: 前述の-qオプションを指定すると、ユーザーのパスワードの入力が求められます。LDAPツールでは、環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合、-w passwordおよび-P passwordの各オプションが無効になるよう変更されています。可能なかぎり、この機能を使用してください。 |
SSLの場合:
ldapbind -h oidhost1.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1 ldapbind -h oidhost2.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1 ldapbind -h oid.mycompany.com -p 636 -D "cn=orcladmin" -q -U 1
-Uは、SSL認証モードの指定に使用されるオプション引数です。SSL認証モードに有効な値は次のとおりです。
1 = 認証は必要ありません。
2 = 一方向認証が必要です。このオプションを使用する場合は、ウォレットの場所(-W "file:/home/my_dir/my_wallet")およびウォレットのパスワード(-P wallet_password)も指定する必要があります。
3 = 双方向認証が必要です。このオプションを使用する場合は、ウォレットの場所(-W "file:/home/my_dir/my_wallet")およびウォレットのパスワード(-P wallet_password)も指定する必要があります。
ldapbindコマンドの詳細は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のldapbindに関する項を参照してください。
Oracle Internet DirectoryのSSLの設定の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のSecure Sockets Layer(SSL)の構成に関する項を参照してください。
次のURLのWebLogic Server管理コンソールにアクセスします。
http://oidhost1.mycompany.com:7001/console
次のURLのOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
http://oidhost1.mycompany.com:7001/em
この項では、Oracle Internet DirectoryのフェイルオーバーとRACのフェイルオーバーを実行する手順を説明します。
次の手順に従って、Oracle Internet Directoryインスタンスのフェイルオーバーを実行し、Oracle Internet Directoryのステータスを調べます。
OIDHOST1で、opmnctlコマンドを使用して、Oracle Internet Directoryインスタンスを停止します。
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=oid1
OIDHOST2で、ロード・バランシング・ルーターを使用して、Oracle Internet Directoryのステータスをチェックします。
|
注意: ldapbindコマンドを使用する前に設定が必要な環境変数の一覧は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』の使用環境の構成に関する項を参照してください。 |
ldapbind -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q
|
注意: 前述の-qオプションを指定すると、ユーザーのパスワードの入力が求められます。LDAPツールでは、環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合、-w passwordおよび-P passwordの各オプションが無効になるよう変更されています。可能なかぎり、この機能を使用してください。 |
OIDHOST1で、opmnctlコマンドを使用して、Oracle Internet Directoryインスタンスを起動します。
ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running) ORACLE_INSTANCE/bin/opmnctl startproc ias-component=oid1
OIDHOST2で、opmnctlコマンドを使用して、Oracle Internet Directoryインスタンスを停止します。
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=oid1
OIDHOST1で、ロード・バランシング・ルーターを使用して、Oracle Internet Directoryのステータスをチェックします。
ldapbind -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q
OIDHOST2で、opmnctlコマンドを使用して、Oracle Internet Directoryインスタンスを起動します。
ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running) ORACLE_INSTANCE/bin/opmnctl startproc ias-component=oid1
次の手順に従って、RACのフェイルオーバーを実行します。
srvctlコマンドを使用して、データベース・インスタンスを停止します。
srvctl stop instance -d db_unique_name -i inst_name_list
srvctlコマンドを使用して、データベース・インスタンスのステータスを確認します。
srvctl status database -d db_unique_name -v
Oracle Internet Directoryのステータスを確認します。
|
注意: ldapbindコマンドを使用する前に設定が必要な環境変数の一覧は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』の使用環境の構成に関する項を参照してください。 |
ldapbind -h oid_host -p 389 -D "cn=orcladmin" -q ldapbind -h oid_host -p 389 -D "cn=orcladmin" -q ldapbind -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q
|
注意: 前述の-qオプションを指定すると、ユーザーのパスワードの入力が求められます。LDAPツールでは、環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合、-w passwordおよび-P passwordの各オプションが無効になるよう変更されています。可能なかぎり、この機能を使用してください。 |
srvctlコマンドを使用して、データベース・インスタンスを起動します。
srvctl start instance -d db_unique_name -i inst_name_list
この項では、Oracle Internet Directoryの高可用性の問題のトラブルシューティングに役立つ情報について説明します。
Oracle Internet Directoryのログ・ファイルは次のディレクトリにあります。
ORACLE_INSTANCE/diagnostics/log/OID
トラブルシューティングの際に調査するログ・ファイルの順序は次のとおりです。
oidmon-xxx.log
oidldapd01-xxxx.log
oidldapd01s-xxxx.log
この項では、高可用性に関連するエラー・メッセージの一部とその意味を示します。
エラー: ログ・ファイルにORA-3112、ORA-3113エラーがあります
原因: データベース・ノードのいずれかが停止し、障害が発生していないノードにOIDが再接続します。
処置: データベース・ノードの停止、またはOracleプロセスの停止の原因を確認します。
エラー: フェイルオーバーしています...ログ・ファイルでスタンバイしてください
原因: OIDサーバーがOracleプロセスからデータベース・ノードのいずれかが停止したことを知らせる通知を受信しました。OIDは障害が発生していないノードに接続します。
フェイルオーバーが正常完了すると、次のメッセージが表示されます。
フェイルオーバーが終了しました...サービスを再開しています
フェイルオーバーが失敗すると、次のようなエラーが表示されます。
a. 10回試行しましたが、フェイルオーバー機能を終了しています
b. 無効なフェイルオーバー・イベント:
c. セッションのDBパラメータを設定できないため、フェイルオーバーを強制終了しました
高可用性イベント通知が有効な場合は、次のようなメッセージが表示されます。
HA Callback Event Thread Id: 8 Event type: 0 HA Source: OCI_HA_INSTANCE Host name: dbhost1 Database name: orcl Instance name: orcl1 Timestamp: 14-MAY-09 03.25.24 PM -07:00 Service name: orcl.us.oracle.com HA status: DOWN - TAF Capable
TAFが無効な場合、HAステータスは「DOWN」と表示されます。
処置: データベース・ノードが停止した原因を確認します。
エラー: ノード1とノード2の間で250秒以上の時間差異が検出されました.
原因: 2つのノード間の時間に差異があります。
処置: システム時間を同期します。
エラー: ノード=%が構成された%回までに応答しませんでした。フェイルオーバーしています...
原因: OIDノード(oidmon)のいずれかが応答しません。
処置: ノードが稼働中か、またはOIDMONプロセスが実行中であるかを確認します。
Oracle Internet Directoryのトラブルシューティングの詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。
この項では、高可用性環境のOracle Internet Directoryに関する問題について説明します。
Oracle Internet Directory Database Password Utility(oidpasswd)を使用すると、どのOracle Internet DirectoryのノードからもOracle Internet Directoryデータベースのスキーマ・パスワード(データベースのODSユーザーのパスワード)を変更できます。ただし、ODSスキーマ・パスワードは、各OIDインスタンスのORACLE_INSTANCEにあるパスワード・ウォレットに格納されるため、それぞれのOracle Internet Directoryノードでパスワード・ウォレットを更新する必要があります。
ODSデータベース・ユーザー・パスワードを変更するには、いずれかのOracle Internet Directoryノードから次のコマンドを呼び出します。
oidpasswd connect=database-connection-string change_oiddb_pwd=true
その他のすべてのOracle Internet Directoryノードで、次のコマンドを呼び出して、パスワード・ウォレットを同期化します。
oidpasswd connect=database-connection-string create_wallet=true
OID Database Password Utility(oidpasswd)を使用して、Oracle RACノードの1つでODSパスワードを変更する場合は、次のいずれかを実行して、他のOracle RACノードのウォレットORACLE_HOME/ldap/admin/oidpwdlldap1を更新する必要があります。
その他のすべてのノードでOID Database Password Utilityを起動して、ウォレット・ファイルのみを更新します。これは、レプリケーション・パスワードの変更にも当てはまりますが、レプリケーション・パスワードの変更には、OID Database Password Utilityではなくレプリケーション環境管理ツールを使用してパスワードを更新します。
変更後のウォレットを他のノードにコピーします。
1つのノードでしかoidpasswdコマンドを実行せず、すべてのOracle RACノードのウォレットを更新していない場合、2つ目のノードのOracle Internet Directoryインスタンスは、他のノードで起動できなくなります。このエラーは、OIDMONログ・ファイルに次のように表示されます。
[gsdsiConnect] ORA-1017, ORA-01017: invalid username/password; logon denied.
これを修正するには、oidpwdlldap1ファイルを他のOracle RACノードにコピーするか、他のノードでオプションcreate_wallet=trueオプションを指定してoidpasswdツールを起動します。
この項では、Oracle Virtual Directoryの概要およびOracle Virtual Directoryの高可用性環境の設計とデプロイについて説明します。
Oracle Virtual DirectoryはLDAP Version 3対応のサービスであり、1つ以上のエンタープライズ・データソースを単一のディレクトリ・ビューに仮想的に抽象化します。Oracle Virtual Directoryを使用すると、インフラストラクチャとアプリケーションのいずれかを変更する必要性を最小限に抑えるか、またはその必要性をなくして、LDAPを認識するアプリケーションを多様なディレクトリ環境に統合できます。図7-4に示すように、Oracle Virtual DirectoryはWebアプリケーションやポータルなど、一連の各種クライアントをサポートし、ディレクトリ、データベース、およびWebサービスに接続できます。
図7-4は、非高可用性アーキテクチャのOracle Virtual Directoryを示しています。
Oracle Virtual Directoryサーバーは、Javaで作成され、内部は複数の層で構成されます。この層は論理的な層で、管理者やクライアントからはOracle Virtual Directoryは1つの完全なサービスのように見えます。
OPMNは、Oracle Virtual Directoryプロセスの起動、監視、管理、およびOracle Virtual Directoryプロセスが停止した場合の再起動に使用されます。OPMNCTLの使用によるOracle Virtual Directoryインスタンスの起動と停止の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』を参照してください。
OPMNは、JVMを起動し、必要なパラメータを使用してVDEServerプロセスを開始します。JVMパラメータは、opmn.xmlに構成されます(JPS Configファイルの場所にはoracle.security.jps.config、孤立したサーバー接続の制御にはvde.soTimeoutBackendを使用します)。
また、Oracle Virtual Directoryインスタンスの起動と停止には、Oracle Enterprise Manager Fusion Middleware Controlも使用できます。詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』を参照してください。
Oracle Virtual Directoryのインストール時にインストールされるJPSを除き、Oracle Virtual Directoryには外部依存性はありません。独立して実行できます。
Oracle Virtual Directoryは、LDAPオブジェクトをローカル・ファイルシステムに格納するように構成できます。この機能はJPSおよびその他のコンポーネントで使用できます。
Oracle Virtual Directoryには、2つのタイプのリスナー(LDAPとHTTP)があります。いずれのリスナーも基本プロトコルに加えてSSL/TLSもサポートします。LDAP層にはデジタル証明認証をサポートするLDAP-SASLに対応する機能もあります。
LDAPプロトコルは、LDAPv2/v3ベースのサービスを提供し、HTTPプロトコルはDSMLv2などの1つ以上のサービスや、XSLT対応のWebゲートウェイによる基本的なホワイト・ページ機能を提供します。
運用の特質に応じて、クライアント接続は永続または短期のいずれかにできます。
この項では、Oracle Virtual Directoryの様々な構成アーティファクトについて説明します。次のOracle Virtual Directory構成ファイルは、ORACLE_INSTANCE/config/OVD/OVDComponentNameにあります。
server.os_xml:
Oracle Virtual Directoryには、サーバーが匿名ユーザーや認証ユーザーに返すことができるエントリの数などの項目を管理する機能があります。また、インバウンド・トランザクション・トラフィックを制限することもできます。これは、プロキシ設定されたソースをDoS攻撃から保護するため、またはLDAPトラフィックを制限して一定のディレクトリ・インフラストラクチャ・リソースへのアクセスを制御するために利用できます。これらを含むプロパティはserver.os_xmlで構成されます。
listeners.os_xml:
Oracle Virtual Directoryは、リスナーと呼ばれる接続を介してクライアントにサービスを提供します。Oracle Virtual Directoryでは、2つのタイプのリスナー(LDAPとHTTP)をサポートします。Oracle Virtual Directoryの構成では、任意の数のリスナーを設定できます。また、リスナーを設定しないことにより、アクセスを管理ゲートウェイのみに制限することもできます。ほとんどのOracle Virtual Directoryのデプロイでは、2つのHTTPリスナーと2つのLDAPリスナーが必要になります。この場合、各プロトコルで一方のリスナーがSSL、もう一方が非SSLに使用されます。リスナー構成ファイルは、listeners.os_xmlです。
adapters.os_xml:
複数かつ様々なデータ・リポジトリにあるデータの単一の仮想ディレクトリ・ビューを表示するには、Oracle Virtual Directoryをこれらのリポジトリに接続して、データの仮想化とリポジトリ間でのデータのルーティングを可能にする必要があります。Oracle Virtual Directoryは、基盤となるデータ・リポジトリへの接続にアダプタを使用します。各アダプタが、特定の親識別名(DN)で識別されるディレクトリのネームスペースを管理します。構成可能なアダプタの数に制限はありません。また、アダプタの結合やオーバーラップによって、カスタマイズされたディレクトリ・ツリーを表示することもできます。アダプタの構成ファイルは、adapters.os_xmlです。
|
注意: Oracle Virtual DirectoryとプロキシLDAPディレクトリ間の非SSL認証接続の構成の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』を参照してください。このマニュアルで説明されている手順は、匿名暗号をサポートするように構成されたすべてのプロキシLDAPディレクトリで使用できます。 |
acls.os_xml
Oracle Virtual Directoryは、接続されたすべてのデータ・ストアに一様に適用できる詳細なアクセス制御を提供します。また、Internet Engineering Task ForceのRFC 2820「Access Control Requirements for LDAP」にも準拠しています。アクセス制御のルールは、IETFの「LDAP Access Control Model for LDAPv3」(2001年3月2日草稿)というタイトルのインターネット・ドラフトに基づいてモデル化されています。
Oracle Virtual Directoryは、1つ以上のエンタープライズ・データソースを単一のディレクトリ・ビューに仮想的に抽象化します。このためアクセス制御リスト(ACL)とアダプタのネームスペースは相互に独立しています。ネームスペース内のすべてのエントリの削除やアダプタのルート値を変更しても、ACLに対して自動的に作用することはありません。ACLとアダプタのネームスペースは、相互に独立して構成する必要があります。ACL構成ファイルは、acls.os_xmlです。
Oracle Virtual Directoryインスタンス固有のデータは、ORACLE_INSTANCEホームに格納されます。ウォレットもインスタンスのホームに格納されます。
単一のOracle Virtual Directoryインスタンスで障害が発生した場合は、OPMNを使用してインスタンスを再起動します。
Oracle Virtual Directoryインスタンスのログ・ファイルは、インスタンスのホームにある次のディレクトリに格納されます。
ORACLE_INSTANCE/diagnostics/logs/OVD/OVDComponentName/
Oracle Virtual Directoryのログ・ファイルを使用したOracle Virtual Directoryに関する問題のトラブルシューティングについては、第7.4.6項「Oracle Virtual Directoryの高可用性のトラブルシューティング」を参照してください。
この項では、Oracle Virtual Directoryを2ノードのクラスタ構成による高可用性で使用する場合の概要について説明します。前提条件については、第7.4.2.2項「Oracle Virtual Directoryの前提条件」を、2ノードのクラスタを設定するための固有の手順については、第7.4.3項「Oracle Virtual Directoryの高可用性の構成手順」を参照してください。
図7-5は、Oracle Virtual Directoryのアクティブ/アクティブ構成での高可用性アーキテクチャを示しています。
図7-5では、高可用性アーキテクチャのディレクトリ層にOracle Virtual Directoryがあります。2ノードのクラスタはインストール時に設定されます。ロード・バランシング・ルーターによって、2つのOracle Virtual Directoryインスタンスにリクエストがルーティングされます。これらのインスタンスはOVDHOST1およびOVDHOST2上にあり、クラスタ化されています。RACインスタンスが使用不可になった場合の通知には、高速接続フェイルオーバー(FCF)が使用されます。
2つのコンピュータには同一のOracle Virtual Directoryが構成されています。各インスタンスのOracle Virtual Directory構成は、それぞれのORACLE_INSTANCEに格納されます。各Oracle Virtual Directoryインスタンスの構成は、Oracle Directory Services Managerを使用して別々に更新し、それぞれ一度に1つのOracle Virtual Directoryインスタンスに接続する必要があります。これにかわる方法としては、一方のOracle Virtual Directoryインスタンスの構成を更新し、クローニングを使用してもう一方のOracle Virtual Directoryインスタンスに構成をコピーします。クローニングの詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の「Oracle Fusion Middlewareのクローニング」を参照してください。
|
注意: Oracle Virtual Directoryの構成を管理するには、Oracle Directory Services Managerを使用する必要があります。Oracle Virtual Directoryインスタンスの構成を更新する際に、ロード・バランサを介してOracle Directory Services ManagerをOracle Virtual Directoryに接続しないでください。このインスタンスの構成を更新するには、物理的なOracle Virtual Directoryインスタンスに明示的に接続する必要があります。 |
OPMNを使用してOracle Virtual Directoryインスタンスの起動と停止をします。複数のOracle Virtual Directoryインスタンスを含むクラスタを起動する場合、クラスタ内の各Oracle Virtual Directoryインスタンスに影響はありません。
ロード・バランシング・ルーターによってOracle Virtual Directoryインスタンスの停止または障害が検出されると、障害が発生していないインスタンスにLDAPおよびHTTPトラフィックがルーティングされます。障害が発生したインスタンスが再起動すると、ロード・バランシング・ルーターによってこれが検出され、障害が発生していないすべてのインスタンスにトラフィックがルーティングされます。
トランザクションの途中でインスタンスに障害が発生した場合は、このトランザクションはバックエンドにコミットされません。
2ノードのOracle Virtual Directoryクラスタで一方のOracle Virtual Directoryインスタンスに障害が発生した場合、ロード・バランシング・ルーターによってこれが検出され、クラスタ内で障害が発生していないインスタンスにLDAPクライアント・トラフィックがルーティングされます。障害があったOracle Virtual Directoryインスタンスが再起動すると、ロード・バランシング・ルーターによってこれが検出され、クラスタ内で障害が発生していないインスタンスにLDAPクライアント・トラフィック・インスタンスがルーティングされます。
Oracle Virtual Directoryには、次のように高可用性に関する多数の機能があります。
フォルト・トレランスとフェイルオーバー: Oracle Virtual Directoryのフォルト・トレランスには、次の2つの形態があります。
フォルト・トレラント構成内で構成できる
フォルト・トレラント・プロキシ・ソースへのフローを管理できる
複数のOracle Virtual Directoryのデプロイは、構成ファイルをコピーしたり共有したりするだけで迅速に実行できます。ラウンドロビンDNS、リダイレクタまたはクラスタ・テクノロジと組み合せると、Oracle Virtual Directoryは完全なフォルト・トレラント・ソリューションとなります。
プロキシ設定された各ディレクトリ・ソースについて、特定のソースの複数のホスト(レプリカ)にアクセスするようにOracle Virtual Directoryを構成できます。ホスト間のフェイルオーバーと負荷分散もインテリジェントに実行されます。柔軟な構成オプションを使用して、管理者は特定のレプリカ・ノードに与える負荷の割合を制御したり、特定のホストを読取り専用レプリカか読取り/書込みサーバー(マスター)かに指定することができます。これにより、読取り専用レプリカに書込もうとすることから生じる不要な参照を回避できます。
ロード・バランシング: Oracle Virtual Directoryの設計には、プロキシ設定されたLDAPディレクトリ・ソース間で負荷を分散し、障害を管理することのできる強力なロード・バランシング機能が組み込まれています。
Oracle Virtual Directoryの仮想ディレクトリ・ツリー機能を使用すると、大規模なディレクトリ情報のセットを複数の独立したディレクトリ・サーバーに分割できます。また、独立したディレクトリ・ツリー・ブランチを結合すれば、分割したデータ・セットを再び結合して1つの仮想ツリーに戻すこともできます。
特定のソースに対して複数のLDAPサーバーがある場合は、Oracle Virtual DirectoryのLDAPアダプタ自身でロード・バランシングとフェイルオーバーを実行できます。このロード・バランシングとフェイルオーバーは、クライアントから意識されることなく行われるので、ハードウェアの追加や、Oracle Virtual Directoryに接続しているクライアントへの変更は必要ありません。
データベース・アダプタは、下位のJDBCドライバにロード・バランシングとフェイルオーバー機能がある場合、この機能をサポートします。また、Oracle Virtual DirectoryはOracle Real Application Clusters(RAC)とともに使用できることが保証されています。Oracle Virtual DirectoryをRACと使用する方法の詳細は、第4.1.5項「JDBCクライアント」を参照してください。
Oracle Virtual Directoryのルーティングも、ロード・バランシング機能を提供します。ルーティングでは、最適な検索ターゲットを特定するための検索ベースに加えて、検索フィルタを追加することができます。この方法でロード・バランシングを行うと、仮想化された適切なディレクトリ・ソースに問合せが自動的にルーティングされるので、大量のディレクトリ・エントリも処理できるようになります。
|
注意: Oracle Virtual Directoryの価値は、ディレクトリ・ストアとしてではなく、仮想化とプロキシのサービスとして発揮されます。可用性の高いディレクトリ・ストレージ・システムが必要な場合は、Oracle Internet Directoryの使用をお薦めします。 |
Oracle Virtual Directoryインスタンスのログ・ファイルは、インスタンスのホームにある次のディレクトリに保存されます。
ORACLE_INSTANCE/diagnostics/logs/OVD/OVDComponentName/
Oracle Virtual Directoryのログ・ファイルを使用したOracle Virtual Directoryの問題のトラブルシューティングについては、第7.4.6項「Oracle Virtual Directoryの高可用性のトラブルシューティング」を参照してください。
この項では、Oracle Virtual Directoryの前提条件について説明します。
|
注意: Oracle Virtual Directoryを高可用性デプロイメントで使用する場合は、クラスタ・ノードのシステム・クロックを同期する必要があります。 |
Oracle Virtual Directoryを高可用性構成でデプロイする場合は、Oracle Virtual Directoryインスタンスのフロントエンドに外部ロード・バランサを使用して、各種のOracle Virtual Directoryインスタンス間のLDAPリクエストをロード・バランシングすることをお薦めします。
詳細は、第7.2.4.5項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。
Oracle Virtual Directoryは、スタンドアロン・モードまたはWebLogic Serverドメインの一部として可用性の高い構成にデプロイできます。
Oracle Virtual Directoryを効率的に管理するには、Oracle Directory Services ManagerとOracle Enterprise Manager Fusion Middleware Controlが必要であるため、Oracle Virtual DirectoryはOracle WebLogic Serverドメインの一部としてデプロイすることをお薦めします。コロケート構成でのOracle Virtual DirectoryとOracle Directory Services Managerの構成についての詳細は、第7.8項「コロケート・アーキテクチャの高可用性」を参照してください。
高可用性環境では、Oracle Virtual Directoryをクラスタ・デプロイメント内にセットアップすることをお薦めします。クラスタ化されたOracle Virtual Directoryインスタンスは、同じRACデータベース・リポジトリ、またはLDAPリポジトリにアクセスします。
この項では、Oracle WebLogic Serverドメインを使用せずにOracle Virtual Directoryをデプロイする手順について説明します。
|
注意: Oracle Identity Management 11gインストーラで、「ドメインなしで構成」オプションを使用してOracle Virtual Directoryをホストにインストールすると、インストーラによってデフォルトではovd1がOracle Virtual Directoryインスタンスのコンポーネント名として使用されます。
「ドメインなしで構成」でのインストール時に、インストーラでは、コンポーネント名 第7.4.3.1.1項「OVDHOST1へのOracle Virtual Directoryのインストール」および第7.4.3.1.2項「OVDHOST2へのOracle Virtual Directoryのインストール」でOVDHOST1およびOVDHOST2にインストールするOracle Virtual Directoryインスタンスは、「ドメインなしで構成」インストール・オプションを使用してインストールします。 |
スキーマ・データベースが稼働中であることを確認してから、次の手順に従ってOracle Virtual DirectoryインスタンスをOVDHOST1にインストールします。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
ポート6501および7501がこのコンピュータ上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "6501" netstat -an | grep "7501"
Windowsの場合:
netstat -an | findstr :6501 netstat -an | findstr :7501
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート6501および7501のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。
# The non-SSL port for Oracle Virtual Directory Oracle Virtual Directory port = 6501 # The SSL port for Oracle Virtual Directory Oracle Virtual Directory (SSL) port = 7501
次の手順に従って、Oracle Identity Management 11gのインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
Oracleホームの場所:
/u01/app/oracle/product/fmw/idm_1
Oracleインスタンスの場所:
/u01/app/oracle/admin/ora_inst1
Oracleインスタンス名:
ora_inst1
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。
「次へ」をクリックします。
「仮想ディレクトリの指定」画面で、次の値を指定します。
「クライアント・リスナー」セクションで、次のように入力します。
LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値はdc=us,dc=mycompany,dc=comです。
dc=us,dc=mycompany,dc=com
HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。
保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。
「OVD管理者」セクションで、次のように入力します。
管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。
パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。
パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。
管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。
「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
スキーマ・データベースが稼働中であることを確認してから、次の手順に従ってOracle Virtual DirectoryインスタンスをOVDHOST2にインストールします。
|
注意: この項で説明する手順は、11g Oracle Identity Managementの高可用性構成でOracle Virtual Directoryをスケール・アウトするときにも使用できます。 |
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
OVDHOST1では、Oracle Virtual Directoryによってポート6501と7501が使用されています。OVDHOST2のOracle Virtual Directoryインスタンスにも同じポートを使用する必要があります。このため、ポート6501および7501がOVDHOST2上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "6501" netstat -an | grep "7501"
Windowsの場合:
netstat -an | findstr :6501 netstat -an | findstr :7501
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート6501および7501のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。
# The non-SSL port for Oracle Virtual Directory Oracle Virtual Directory port = 6501 # The SSL port for Oracle Virtual Directory Oracle Virtual Directory (SSL) port = 7501
次の手順に従って、Oracle Identity Management 11gのインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「ドメインなしで構成」を選択して「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
Oracleホームの場所:
/u01/app/oracle/product/fmw/idm_1
Oracleインスタンスの場所:
/u01/app/oracle/admin/ora_inst2
Oracleインスタンス名:
ora_inst2
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。
「次へ」をクリックします。
「仮想ディレクトリの指定」画面で、次の値を指定します。
「クライアント・リスナー」セクションで、次のように入力します。
LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値はdc=us,dc=mycompany,dc=comです。
dc=us,dc=mycompany,dc=com
HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。
保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。
「OVD管理者」セクションで、次のように入力します。
管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。
パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。
パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。
管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。
「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
Oracle Virtual Directoryコンポーネントの管理には、Oracle Enterprise Manager Fusion Middleware Controlを使用することをお薦めします。Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Virtual Directoryを管理する場合は、コンポーネントとそれを含むOracle Fusion MiddlewareインスタンスをOracle WebLogic Serverドメインに登録する必要があります。インストール時またはOracleインスタンスの作成時に、Oracle Fusion MiddlewareインスタンスをWebLogicドメインに登録できますが、必須事項ではありません。Oracle Fusion MiddlewareインスタンスがWebLogicドメインに事前に登録されていない場合は、opmnctl registerinstanceを使用して登録できます。
opmnctl registerinstanceコマンドを使用してOracle Virtual DirectoryインスタンスをOracle WebLogic Serverドメインに登録する前に、WebLogic Serverがインストール済であることを確認します。
続いて、次の形式でopmnctl registerinstanceコマンドを実行します(各インストールで変数ORACLE_HOMEとORACLE_INSTANCEを設定してからOracle Virtual Directoryインスタンスのホーム・ディレクトリでこのコマンドを実行してください)。
opmnctl registerinstance -adminHost WLSHostName -adminPort WLSPort -adminUsername adminUserName
次に例を示します。
opmnctl registerinstance -adminHost idmhost1.mycompany.com -adminPort 7001 -adminUsername weblogic Command requires login to weblogic admin server (idmhost1.mycompany.com) Username: weblogic Password: *******
Oracle Virtual DirectoryコンポーネントのWebLogicドメインへの登録の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のOPMNCTLを使用したOracleインスタンスの登録に関する項を参照してください。
この項では、WebLogic Serverドメインの一部としてOracle Virtual Directoryの高可用性構成をデプロイする手順について説明します。
この構成では、1つ目のホストにOracle Virtual DirectoryとWebLogic Serverドメインが構成され、2つ目のホストにはOracle Virtual Directoryのみが構成されます。2つ目のホストのOracle Virtual Directoryインスタンスは、1つ目のホストで作成されたドメインに参加します。
OVDHOST1で、インストーラ実行可能ファイルを実行して、Oracle WebLogic Serverのインストールを開始します。
次の手順に従って、Oracle WebLogic Serverインストーラを起動します。
UNIXの場合(次の例はLinuxの場合):
./server103_linux32.bin
Windowsの場合:
server103_win32.exe
インストーラが起動したら、次の手順に従ってOracle WebLogic Serverをコンピュータにインストールします。
「ようこそ」画面で「次へ」をクリックします。
「ミドルウェア・ホーム・ディレクトリの選択」画面で、Oracle WebLogicソフトウェアのインストール先となるディレクトリを選択します。
「ミドルウェア・ホーム・ディレクトリ」に、次の値を指定します。
/u01/app/oracle/product/fmw
「次へ」をクリックします。
「セキュリティ更新のための登録」画面で、「My Oracle Support」のユーザー名とパスワードを入力します。
「インストール・タイプの選択」画面では、完全インストールとカスタム・インストールのどちらを実行するかを指定します。
「標準」または「カスタム」を選択します。
「次へ」をクリックします。
「製品インストール・ディレクトリの選択」画面で、次の値を指定します。
WebLogic Server:
/u01/app/oracle/product/fmw/wlserver_10.3
「次へ」をクリックします。
「インストール・サマリー」画面に、インストール対象として選択したコンポーネントの一覧と、それらをインストールするために使用されるディスク領域の概算値が表示されます。
「次へ」をクリックします。
「インストール 完了」画面で、「Quickstartの実行」チェック・ボックスの選択を解除します。
「完了」をクリックします。
次のタスクを行う前に、スキーマ・データベースが実行されている必要があります。次の手順に従って、OVDHOST1にOracle Virtual Directoryインスタンスをインストールします。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
ポート6501および7501がOVDHOST1上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "6501" netstat -an | grep "7501"
Windowsの場合:
netstat -an | findstr :6501 netstat -an | findstr :7501
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート6501および7501のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。
# The non-SSL port for Oracle Virtual Directory Oracle Virtual Directory port = 6501 # The SSL port for Oracle Virtual Directory Oracle Virtual Directory (SSL) port = 7501
次の手順に従って、Oracle Identity Management 11gのインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「新規ドメインの作成」を選択して、次の値を指定します。
ユーザー名: weblogic
パスワード: <weblogicユーザーのパスワード>
パスワードの確認: <weblogicユーザーのパスワードを再度入力します>
ドメイン名: IDMDomain
「インストール場所の指定」画面で、次の値を指定します。
Oracle Middlewareホームの場所:
/u01/app/oracle/product/fmw
Oracleホーム・ディレクトリ: idm
WebLogic Serverのディレクトリ:
/u01/app/oracle/product/fmw/wlserver_10.3
Oracleインスタンスの場所:
/u01/app/oracle/admin/ovd_inst1
Oracleインスタンス名:
ovd_inst1
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。
|
注意: このインストールでは、Oracle Directory Services ManagerとFusion Middleware Controlの管理コンポーネントが自動的に選択されます。この選択は解除できません。 |
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。
「次へ」をクリックします。
「仮想ディレクトリの指定」画面で、次の値を指定します。
「クライアント・リスナー」セクションで、次のように入力します。
LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値はdc=us,dc=mycompany,dc=comです。
dc=us,dc=mycompany,dc=com
HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。
保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。
「OVD管理者」セクションで、次のように入力します。
管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。
パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。
パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。
管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。
「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
この項では、OVDHOST1上の管理サーバーに対してboot.propertiesファイルを作成する方法を説明します。boot.propertiesファイルを使用すると、administratorのユーザー名とパスワードの入力を求められることなく管理サーバーを起動できます。
次の手順に従って、boot.propertiesファイルを作成します。
OVDHOST1で、次のディレクトリに移動します。
MW_HOME/user_projects/domains/domainName/servers/AdminServer/security
次に例を示します。
cd /u01/app/oracle/product/fmw/user_projects/domains/IDMDomain/servers/AdminServer/security
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。
username=adminUserpassword=adminUserPassword
|
注意: 管理サーバーの起動時に、このファイルのユーザー名とパスワードのエントリは暗号化されます。セキュリティ上の理由から、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。ファイルの編集後は、速やかにサーバーを起動してエントリを暗号化する必要があります。 |
管理サーバーが実行されている場合は停止します。
WebLogic Serverの起動と停止の詳細は、Oracle Fusion Middlewareの管理者ガイドの「Oracle Fusion Middlewareの起動と停止」を参照してください。
MW_HOME/user_projects/domains/domainName/binディレクトリにあるstartWebLogic.shスクリプトを使用して、OVDHOST1上の管理サーバーを起動します。
Webブラウザを開いて次のページにアクセスし、変更が正常に行われたことを確認します。
次のURLのWebLogic Server管理コンソールにアクセスします。
http://oidhost1.mycompany.com:7001/console
次のURLのOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
http://oidhost1.mycompany.com:7001/em
weblogicユーザーの資格証明を使用して、これらのコンソールにログインします。
次のタスクを行う前に、スキーマ・データベースが実行されている必要があります。次の手順に従って、OVDHOST2にOracle Virtual Directoryインスタンスをインストールします。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
OVDHOST1では、ポート6501と7501がOracle Virtual Directoryによって使用されています。OVDHOST2のOracle Virtual Directoryインスタンスにも同じポートを使用する必要があります。このため、ポート6501および7501がOVDHOST2上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "6501" netstat -an | grep "7501"
Windowsの場合:
netstat -an | findstr :6501 netstat -an | findstr :7501
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート6501および7501のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Virtual Directoryのポート番号を指定する行は非コメント化)を割り当てます。
# The non-SSL port for Oracle Virtual Directory Oracle Virtual Directory port = 6501 # The SSL port for Oracle Virtual Directory Oracle Virtual Directory (SSL) port = 7501
次の手順に従って、Oracle Identity Management 11gのインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「既存ドメインの拡張」を選択して、次の値を指定します。
ホスト名: ovdhost1.mycompany.com(WebLogic管理サーバーを実行しているホスト)
ポート: 7001(WebLogic管理サーバーのポート)
ユーザー名: weblogic
パスワード: <weblogicユーザーのパスワード>
「インストール場所の指定」画面で、次の値を指定します。
Oracle Middlewareホームの場所:
/u01/app/oracle/product/fmw
Oracleホーム・ディレクトリ: idm
WebLogic Serverのディレクトリ:
/u01/app/oracle/product/fmw/wlserver_10.3
Oracleインスタンスの場所:
/u01/app/oracle/admin/ovd_inst2
Oracleインスタンス名:
ovd_inst2
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Virtual Directory」を選択し、「次へ」を選択します。
|
注意: このインストールでは、Oracle Directory Services ManagerとFusion Middleware Controlの管理コンポーネントが自動的に選択されます。 |
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。
「次へ」をクリックします。
「仮想ディレクトリの指定」画面で、次の値を指定します。
「クライアント・リスナー」セクションで、次のように入力します。
LDAP v3名前空間: Oracle Virtual Directoryの名前空間を入力します。デフォルト値はdc=us,dc=mycompany,dc=comです。
dc=us,dc=mycompany,dc=com
HTTP Webゲートウェイ: このオプションを選択して、Oracle Virtual DirectoryのHTTP Webゲートウェイを有効化します。
保護: HTTP Webゲートウェイを有効化し、SSLを使用して保護する場合はこのオプションを選択します。
「OVD管理者」セクションで、次のように入力します。
管理者ユーザー名: Oracle Virtual Directory管理者のユーザー名を入力します(例: cn=orcladmin)。
パスワード: Oracle Virtual Directory管理者のパスワードを入力します(例: *******)。
パスワードの確認: Oracle Virtual Directory管理者のパスワードを再度入力します(例: *******)。
管理サーバーを保護モードで構成: このオプションを選択し、SSLを使用してOracle Virtual Directory管理リスナーを保護します。このオプションはデフォルトで選択されます。このオプションを選択することをお薦めします。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。
「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
Oracle Virtual Directoryは、Oracle RACデータベース・リポジトリまたは可用性の高いLDAPリポジトリをデータソースとして使用するように構成できます。
この項では、RACデータベース・リポジトリおよびLDAPリポジトリを使用した高可用性環境にOracle Virtual Directoryを構成する方法を説明します。
|
注意: Oracle Virtual Directoryを高可用性トポロジで構成する場合は、すべてのノードで個別に構成手順を完了する必要があります。 |
RACデータベースをリポジトリとして使用するOracle Virtual Directory高可用性環境では、Oracle Virtual Directoryデータベース・アダプタを作成して構成する必要があります。
Oracle Virtual Directoryのアダプタの概要については、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のOracle Virtual Directoryアダプタの理解に関する項を参照してください。
RACデータベースのデータベース・アダプタ作成の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のRACデータベースのデータベース・アダプタの作成に関する項を参照してください。
データベース・アダプタ構成の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のデータベース・アダプタの構成に関する項を参照してください。
Oracle Virtual Directoryは、LDAPアダプタを介してOracle Internet DirectoryなどのLDAPリポジトリに接続します。高可用性環境では、ロード・バランシング・アルゴリズムを使用してノードのホストおよびポート情報を追加するか、LDAPリポジトリのロード・バランサのURLを追加することでLDAPアダプタを構成できます。
Oracle Virtual Directoryのアダプタの概要については、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のOracle Virtual Directoryアダプタの理解に関する項を参照してください。
LDAPアダプタの作成と構成の詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のLDAPアダプタの構成に関する項を参照してください。
可用性の高いデプロイメントでは、Oracle Virtual Directoryインスタンスは、ハードウェア・ロード・バランサによりフロントエンド処理されます。Oracle Virtual Directoryインスタンス間でリクエストのロード・バランシングが行われ、障害(インスタンス障害またはホスト障害)が発生した場合、ハードウェアのロード・バランサによって障害が検出され、障害が発生していないインスタンスにすべてのリクエストがルーティングされます。
Oracle Virtual Directoryの高可用性をテストするには、ノードを1つずつ停止し、ldapbindなどのツールを使用してロード・バランサのURLを経由しOracle Virtual Directoryインスタンスに接続します。ノードの1つが稼働しトポロジの構成が正しければ、接続は常に成功します。
ldapbindコマンドライン・ツールを使用し、ロード・バランサの仮想ホストを介してOracle Virtual Directoryインスタンスに接続します。ldapbindツールでは、サーバーに対してクライアントを認証できるかどうかを確認できます。
次の手順に従って、OVDHOST1およびOVDHOST2のOracle Virtual Directoryの高可用性設定を検証します。
『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』の使用環境の構成に関する項の手順に従って環境を構成します。この項には、ldapbindコマンドを使用する前に設定が必要な環境変数の一覧があります。
OVDHOST1で、opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを停止します。
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
OVDHOST2で、ldapbindを使用してロード・バランシング仮想アドレスにバインドし、Oracle Virtual Directoryのステータスをチェックします。
非SSL:
ldapbind -h ovd.mycompany.com -p 6501 -D "cn=orcladmin" -q
|
注意: 前述の-qオプションを指定すると、ユーザーのパスワードの入力が求められます。LDAPツールでは、環境変数LDAP_PASSWORD_PROMPTONLYがTRUEまたは1に設定されている場合、-w passwordおよび-P passwordの各オプションが無効になるよう変更されています。可能なかぎり、この機能を使用してください。 |
正常にバインドされると、ロード・バランサによってすべてのトラフィックがOVDHOST2にルーティングされます。
OVDHOST1で、opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを起動します。
ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running) ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1
OVDHOST2で、opmnctlコマンドを使用してOracle Virtual Directoryインスタンスを停止します。
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
OVDHOST1で、ldapbindを使用してロード・バランシング仮想アドレスにバインドし、Oracle Virtual Directoryのステータスをチェックします。
非SSL:
ldapbind -h ovd.mycompany.com -p 6501 -D "cn=orcladmin" -q
OVDHOST2で、opmnctlコマンドを使用してOracle Virtual Directoryインスタンスを起動します。
ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running) ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1
ldapbindコマンドの詳細は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のldapbindに関する項を参照してください。
Oracle Virtual Directoryは、デフォルトではサーバーのみのSSL認証モードを使用するように構成されます。ldapbindなどのコマンドライン・ツールを使用して、SSLサーバー認証モードで保護された接続を使用する接続を検証する場合は、Oracleウォレットにサーバー証明書が格納されている必要があります。次の手順に従って、このタスクを実行します。
次のコマンドを実行して、Oracleウォレットを作成します。
ORACLE_HOME/bin/orapki wallet create -wallet DIRECTORY_FOR_SSL_WALLET -pwd WALLET_PASSWORD
次のコマンドを実行して、Oracle Virtual Directoryサーバー証明書をエクスポートします。
ORACLE_HOME/jdk/jre/bin/keytool -exportcert -keystore OVD_KEYSTORE_FILE -storepass PASSWORD -alias OVD_SERVER_CERT_ALIAS -rfc -file OVD_SERVER_CERT_FILE
次のコマンドを実行して、Oracle Virtual Directoryサーバー証明書をOracleウォレットに追加します。
ORACLE_HOME/bin/orapki wallet add -wallet DIRECTORY_FOR_SSL_WALLET -trusted_cert -cert OVD_SERVER_CERT_FILE -pwd WALLET_PASSWORD
第7.4.4項「Oracle Virtual Directoryの高可用性の検証」の手順に従って次のldapbindコマンドを使用し、OVDHOST1およびOVDHOST2のOracle Virtual Directoryの高可用性設定を検証します。次のコマンドの実行時に、手順3のOracleウォレットを使用します。
ORACLE_HOME/bin/ldapbind -D cn=orcladmin -q -U 2 -h HOST -p SSL_PORT -W "file://DIRECTORY_FOR_SSL_WALLET" -q
Oracle Virtual Directoryの高可用性デプロイメントがロード・バランサによってフロントエンド処理される場合は、すべてのOracle Virtual Directoryノードのウォレットに、トポロジの構成要素であるすべてのOracle Virtual Directoryインスタンスのクライアント証明書が格納されている必要があります。トポロジ内のすべてのOracle Virtual Directoryインスタンスのクライアント証明書をトポロジ内の全ノードのウォレットに追加します。これによって、ロード・バランサのURLを経由する有効な接続リクエストが正常に処理されることが保証されます。
|
注意: 11gリリース1(11.1.1)のインストール後にデフォルトの設定を使用している場合は、この項に記載された変数に次の値を使用できます。
|
この項では、Oracle Virtual DirectoryのフェイルオーバーとRACのフェイルオーバーを実行する手順を説明します。
次の手順に従って、Oracle Virtual Directoryインスタンスのフェイルオーバーを実行し、Oracle Virtual Directoryのステータスを調べます。
opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを停止します。
ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
opmnctlコマンドを使用して、Oracle Virtual Directoryインスタンスを起動します。
ORACLE_INSTANCE/bin/opmnctl start (if OPMN is not running) ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1
Oracle Virtual Directoryのステータスを確認します。
ORACLE_INSTANCE/bin/opmnctl status ias-component=ovd1
次の手順に従って、RACのフェイルオーバーを実行します。
srvctlコマンドを使用して、データベース・インスタンスを停止します。
srvctl stop instance -d db_unique_name -i inst_name_list
srvctlコマンドを使用して、データベース・インスタンスのステータスを確認します。
srvctl status database -d db_unique_name -v
Oracle Virtual Directoryのステータスを確認します。
ORACLE_INSTANCE/bin/opmnctl status ias-component=ovd1
srvctlコマンドを使用して、データベース・インスタンスを起動します。
srvctl start instance -d db_unique_name -i inst_name_list
|
注意: Oracle RACデータベースに対するデータベース・アダプタを使用してOracle Virtual Directoryを構成している場合は、RACフェイルオーバー後の最初の検索に失敗します。ただし、その後の検索リクエストは問題なく正常に行われます。 |
Oracle Virtual Directoryのログ・ファイルの情報は、Oracle Virtual Directoryに関する問題のトラブルシューティングに役立ちます。Oracle Virtual Directoryのログ・ファイルは、次のディレクトリにあります。
ORACLE_INSTANCE/diagnostics/log/OVD/<OVDComponentName>
トラブルシューティングの際に調査するログ・ファイルの順序は次のとおりです。
diagnostic.log: 診断メッセージが記録されます。
http-errors.log: HTTPエラーが記録されます。
access.log: Oracle Virtual Directoryインスタンスにアクセスするプロセスとクライアントに関する情報が記録されます。
この項では、Oracle Directory Integration Platformの概要、およびOracle Directory Integration PlatformとOracle Directory Services Managerの高可用性環境の設計とデプロイについて説明します。
Oracle Directory Services Managerの詳細は、第7.6項「Oracle Directory Services Managerの高可用性」を参照してください。
Oracle Directory Integration Platformは、アプリケーションやディレクトリ(サード・パーティのLDAPディレクトリなど)とOracle Internet Directoryとの統合を可能にするJ2EEアプリケーションです。
Oracle Directory Integration Platformには、他のエンタープライズ・リポジトリとの同期ソリューションのデプロイを可能とするサービスとインタフェースが含まれています。Oracle Internet Directoryとサード・パーティのメタディレクトリ・ソリューションとの相互運用性を実現するためにも使用できます。
Oracle Directory Integration Platformには、必要な統合のタイプに応じた次の2つのサービスがあります。
Oracle Directory Integration Platform Synchronization Serviceによる同期化では、中央のOracle Internet Directoryを使用して接続ディレクトリの整合性が保持されます。
Oracle Directory Integration Platform Provisioning Serviceによる通知では、対象のアプリケーションに定期的に通知が送信され、ユーザーのステータスや情報に対する変更が反映されます。
|
注意: この章の以降では、次の用語を使用します。
|
図7-6は、Oracle Directory Integration Platformのアーキテクチャを示しています。
図7-6 Oracle Directory Integration Platformのアーキテクチャ
図7-6は、Oracle Directory Integration Platformの様々なコンポーネントを示しています。Oracle Internet Directoryは、Oracle Directory Integration Platformの同期化Enterprise JavaBeans(EJB)とクォーツ・スケジューラを使用して接続ディレクトリと同期化されます。
同様に、Oracle Internet Directoryでの変更は、Oracle Directory Integration PlatformのプロビジョニングEnterprise JavaBeans(EJB)とクォーツ・スケジューラを使用して各種アプリケーションに送信されます。
Oracle Directory Integration Platformは、アプリケーションやディレクトリ(サード・パーティのLDAPディレクトリなど)とOracle Internet Directoryとの統合を可能にするJ2EEアプリケーションです。
Oracle Directory Integration Serverは、次で説明するように、同期化サービスによって各同期化サービスを、プロビジョニング・サービスによって各統合サービスを提供します。
同期化サービスには、次の機能があります。
スケジュール: 事前定義済スケジュールに基づいた同期化プロファイルを処理します。
マッピング: 接続ディレクトリとOracle Internet Directory間のデータ交換のルールを実行します。
データの伝播: コネクタを使用して接続ディレクトリとデータを交換します。
エラーを処理します。
プロビジョニング・サービスには、次の機能があります。
データの伝播: コネクタを使用して接続ディレクトリとデータを交換します。
イベント通知: Oracle Internet Directoryに格納されたユーザーまたはグループ・データに関連する変更をアプリケーションに通知します。
エラーを処理します。
Oracle Directory Integration Platformは、Oracle WebLogic Serverにデプロイされます。デフォルトでは、Oracle Directory Integration Platformは、Oracle Identity Managementソフトウェア・スタックの一部としてインストールされますが、アーキテクチャの要件に応じて、スタンドアロン・アプリケーションとしてインストールすることもできます。
Oracle Directory Integration Serverには、次の機能があります。
同期化Enterprise JavaBeans(EJB)とクォーツ・スケジューラを使用した同期化サービス。同期化EJBは本質的にステートレスです。
クォーツ・スケジューラは、同期化EJBを起動し、すべての接続ディレクトリに対して該当する変更を同期します。
同期化サービスは、接続ディレクトリで必要とされるインタフェースとフォーマットを使用してこれらの変更を提供します。Oracle Directory Integration Platformコネクタを介した同期化では、Oracle Internet Directoryクライアントが必要とするすべての情報に対してOracle Internet Directoryが最新の状態に維持されることが保証されます。
プロビジョニング・サービスでは、プロビジョニングEnterprise JavaBeans(EJB)とクォーツ・スケジューラが使用されます。プロビジョニングEJBは本質的にステートレスです。
クォーツ・スケジューラは、プロビジョニングEJBを起動し、プロビジョニングされた各アプリケーションに変更を通知します。
UpdateJob EJBは、Oracle Internet Directory変更ログに対して同期またはプロビジョニング・プロファイルの変更のポーリングを定期的に行います。プロファイルの変更が検出されると、それに応じてクォーツ・スケジューラ・ジョブが更新されます。
Oracle Directory Integration Platformは、外部管理アプリケーションとしてOracle WebLogic Serverにデプロイされます。Oracle Directory Integration Platformアプリケーションはデフォルトで、起動、停止、監視および他のライフサイクル・イベントに、基礎となるWebLogic Serverインフラストラクチャを使用します。WebLogicノード・マネージャは、サーバー・プロセスを監視し、障害発生時にそのプロセスを再起動するように構成できます。
Oracle Directory Integration Platformは、デプロイされた管理対象サーバーの起動時に初期化されます。Oracle Directory Integration Platformアプリケーションが起動すると、初期化コードによって既存のディレクトリ統合プロファイルにジョブの初期セットが作成され、UpdateJobBean EJBが起動されます。
UpdateJobBeanは、クォーツ・スケジューラに送信されたジョブを更新します。
クォーツ・スケジューラはジョブに応じて、プロビジョニングEJBまたは同期化EJBを起動します。プロビジョニングEJBが起動された場合は、プロビジョニング対象の各アプリケーションに対してOracle Internet Directoryへの変更が通知されます。同期化EJBが起動された場合は、すべての接続ディレクトリに対して該当する変更が同期化されます。
Oracle Directory Integration Platformのライフサイクル・イベントは、次に示すコマンドライン・ツールおよびコンソールを1つ以上使用して管理できます。
Oracle WebLogic Scripting Tool(WLST)
Oracle Enterprise Manager Fusion Middleware Control
Oracle WebLogic Server管理コンソール
Oracle WebLogicノード・マネージャ
Oracle Directory Integration Platformは、外部リクエストを処理しません。この主要機能は、作成されたプロファイルに基づいて、同期化とプロビジョニングをサポートすることです。
この項では、同期化およびプロビジョニングの際の情報フローについて説明します。
Oracle Directory Integration Platform Synchronization Serviceフロー
Oracle Directory Integration Platformは、ディレクトリ同期プロファイルに従ってOracle Internet Directoryと接続ディレクトリ間の変更を同期します。
変更が行われた場所に応じて、次のような同期化が発生します。
接続ディレクトリからOracle Internet Directoryへの同期化
Oracle Internet Directoryから接続ディレクトリへの同期化
双方向での同期化
Oracle Internet Directoryから接続ディレクトリへの同期
Oracle Internet Directoryでは、ディレクトリ・オブジェクトに対する増分変更が保存される変更ログが管理されます。このログには、変更ログ番号に基づいて連続的に変更が保存されます。
Oracle Internet Directoryから接続ディレクトリへの同期では、この変更ログが利用されます。このため、Oracle Directory Integration Platformの実行時には、変更ロギングが有効化されているデフォルト設定を使用してOracle Internet Directoryを起動する必要があります。
Oracle Directory Integration Platform Synchronization Serviceが同期プロファイルを処理するたびに、次の処理が行われます。
すべての変更が適用された最新の変更ログ番号が取得されます。
この番号より新しい変更ログ・エントリがそれぞれチェックされます。
プロファイルのフィルタリング・ルールを使用して、接続ディレクトリとの同期対象の変更が選択されます。
エントリにマッピング・ルールが適用され、接続ディレクトリで対応する変更が実行されます。
該当するエントリまたは属性がその接続ディレクトリで更新されます。接続ディレクトリで、DB、LDAP、タグ付き、またはLDIFの各形式が直接使用されていない場合は、プロファイルに指定されているエージェントが起動されます。正常に使用された最後の変更番号がプロファイルに保存されます。
Oracle Internet Directoryは、すべてのプロファイルが必要な変更ログを使用した後、変更ログをパージして、後続の同期の開始位置を示します。
接続ディレクトリからOracle Internet Directoryへの同期
接続ディレクトリで、DB、LDAP、タグ付き、またはLDIFの各形式が直接使用されている場合、そのエントリまたは属性に対する変更は、Oracle Directory Integration Platform Synchronization Serviceによって自動的に同期化されます。それ以外の場合、コネクタは同期プロファイルにエージェントを持ち、エージェントがLDIFまたはタグ付き形式でファイルへの変更を書き込みます。次に、Oracle Directory Integration Platform Synchronization Serviceは、この接続ディレクトリ・データのファイルを使用して、Oracle Internet Directoryを更新します。
プロビジョニングとは、ユーザー、グループおよび他のオブジェクトに対し、環境内で利用可能なアプリケーションや他のリソースへのアクセスを提供するプロセスです。プロビジョニング統合アプリケーションとは、プロビジョニング・イベント用に、Oracle Internet Directoryにプロビジョニング統合プロファイルが登録されているアプリケーションです。
Oracle Directory Integration Platform Provisioningでは、次の方法のいずれかを使用してアプリケーションをプロビジョニングできます。
同期プロビジョニング
非同期プロビジョニング
プロビジョニング・データ・フロー
それぞれのプロビジョニング方法については、後続の各項で説明します。
Oracle Internet Directoryでユーザー情報を管理するアプリケーションでは、データ・アクセスJavaプラグインを使用して、Oracle Inernet Directoryに変更が発生するたびにユーザー・エントリを作成、変更および削除でき、同期的にプロビジョニングされます。これは、Oracle Identity Management(プロビジョニング・コンソールやコマンドラインLDAPツールなど)からデータ・アクセスJavaプラグインを直接起動できるためです。
Oracle Directory Integration Platform Provisioning Serviceの同期プロビジョニングは、Oracle Identity Managementツール(Oracle Fusion Middleware Controlのプロビジョニング・コンソールやbulkprovなど)、サード・パーティ・ディレクトリ、またはコマンドラインLDAPツールから起動できます。
Oracle Identity Managementツール(Oracle Fusion Middleware Controlのプロビジョニング・コンソール画面やprovProfileBulkProvコマンドによるバルク・プロビジョニングなど)、およびサード・パーティ・ディレクトリを使用したOracle Directory Integration Platform Provisioning Serviceの同期プロビジョニングは、次のプロセスに従います。
Oracle Internet Directoryに新規ユーザー・エントリが作成されます。
新規ユーザー・エントリを作成したOracle Identity Managementコンポーネントは、データ・アクセスJavaプラグインを起動します。
データ・アクセスJavaプラグインは、アプリケーションにこの新規ユーザー・アカウントをプロビジョニングします。
コマンドラインLDAPツールを使用した同期プロビジョニングは、次のプロセスに従います。
コマンドラインLDAPツールによって、Oracle Internet Directoryに新規ユーザー・エントリが作成されます。
次にスケジュールされた同期間隔で、Oracle Directory Integration Platformは、プロビジョニングの必要な新規ユーザー・エントリがOracle Internet Directoryに存在することを確認します。
Oracle Directory Integration Platformは、データ・アクセスJavaプラグインを起動します。
データ・アクセスJavaプラグインは、アプリケーションに新規ユーザー・アカウントをプロビジョニングします。
非同期プロビジョニングでは、プロビジョニングは、任意のOracle Identity ManagementのコンポーネントではなくPL/SQLプラグインによって処理されます。
Oracle Directory Integration Platformは、PL/SQLイベントをプロビジョニング統合アプリケーションに伝播します。次に、このアプリケーションがイベントを処理するためにPL/SQLプラグインを実行します。PL/SQLプラグインの実行は、アプリケーション・リポジトリ内で発生し、任意のOracle Identity Managementコンポーネントのアドレス空間では発生しません。プロビジョニングは、任意のOracle Identity ManagementのコンポーネントではなくPL/SQLプラグインによって処理されるため、PL/SQLプラグインを実装するプロビジョニング統合アプリケーションは、非同期的にプロビジョニングされます。
Oracle Directory Integration Platform Provisioning Serviceを使用した非同期プロビジョニングは、Oracle Identity Managementツール(プロビジョニング・コンソールやbulkprovなど)、サード・パーティ・ディレクトリとの同期化、またはコマンドラインLDAPツールから起動できます。
Oracle Identity Managementツール(プロビジョニング・コンソール、provProfileBulkProvコマンドによるバルク・プロビジョニングなど)、およびサード・パーティ・ディレクトリからの非同期プロビジョニングは、次のプロセスに従います。
Oracle Internet Directoryに新規ユーザー・エントリとアプリケーション固有のユーザー・プリファレンスを含む関連エントリが作成されます。
次に、Oracle Directory Integration Platformはスケジュールされた同期間隔で、プロビジョニングの必要な新規ユーザー・エントリがOracle Internet Directoryに存在するか確認します。
Oracle Directory Integration PlatformからPL/SQLプラグインにプロビジョニング・イベントが送信されます。
コマンドラインLDAPツールを使用した非同期プロビジョニングは、次のプロセスに従います。
コマンドラインLDAPツールを使用して、Oracle Internet Directoryに新規ユーザー・エントリが作成されます。
次に、Oracle Directory Integration Platformはスケジュールされた同期間隔で、プロビジョニングの必要な新規ユーザー・エントリがOracle Internet Directoryに存在するか確認し、アプリケーション固有のユーザー・プリファレンスを含む関連エントリを作成します。
Oracle Directory Integration PlatformからPL/SQLプラグインにプロビジョニング・イベントが送信されます。
プロビジョニングが同期か非同期かにかかわらず、アプリケーションでは、プロビジョニング・インテリジェント機能を拡張してビジネス・ポリシーを実装するために、プレデータ・エントリ・プラグインとポストデータ・エントリ・プラグインを起動できます。どちらのプラグインも、Oracle Internet Directoryプロビジョニング・コンソールなどのOracle Identity ManagementコンポーネントやprovProfileBulkProvコマンドによるバルク・プロビジョニングから起動できます。
プレデータ・エントリ・プラグインは、プロビジョニング・ポリシーに基づいてフィールドを移入します。このプラグインの主な目的は、アプリケーションでユーザーをプロビジョニングするかどうかを決定することです。たとえば、財務管理アプリケーションにはマネージャのみをプロビジョニングするというポリシーを持つ組織の場合、プレデータ・エントリ・プラグインを使用することで、どのユーザー・エントリをプロビジョニングするかを特定できます。共通のユーザー属性は、このプラグインの起動時にすでに移入が行われているため、プロビジョニングの決定を行うための十分な情報がすでに存在していることになります。
ポストデータ・エントリ・プラグインは、主に、ユーザーによって入力された共通属性とアプリケーション固有属性に関するデータを検証します。プロビジョニングを続けるためには、このプラグインでの検証に成功する必要があります。
プロビジョニングのデータ・フローは、次のプロセスに従います。
ベース・ユーザー情報が作成されます。
プレデータ・エントリ・プラグインが起動し、ポリシーに基づいてフィールドの移入が行われます。
ポストデータ・エントリ・プラグインが起動し、ユーザーが入力したデータが検証されます。
プロビジョニング方式に応じて、非同期または同期プロビジョニング・プロシージャが起動します。
プロビジョニング・コンソールでプロビジョニングを実行する場合、管理者は、プレデータ・エントリ・プラグインが起動した後、かつポストデータ・エントリ・プラグインが起動する前にアプリケーション属性を変更できます。
Oracle Directory Integration Platformに関する構成の詳細は、dip-config.xmlファイルで管理されます。この構成ファイルは、Oracle Directory Integration Platformアプリケーションの一部としてパッケージ化されています。dip-config.xmlファイルのデフォルトの場所は、次のとおりです。
MW_HOME/user_projects/domains/domainName/serverName/stage/DIP/11.1.1.1.0/ DIP/configuration
パラメータは、Config MBeansを使用して管理されます。表7-6は、Oracle Directory Integration Platformを起動するためにdip-config.xmlに必要な構成パラメータを示しています。
表7-6 Directory Integration Platformの起動に必要な構成パラメータ
| パラメータ | 説明 |
|---|---|
|
OID Host |
Oracle Directory Integration Platformが接続する必要のあるOracle Internet Directoryのホスト名。 |
|
OID Port |
Oracle Internet Directoryのポート |
|
SSL Mode |
Oracle Internet Directoryへの接続に使用されるSSLモード。有効な値は次のとおりです。
|
|
JKS Location |
Javaキーストア(JKS)を格納するファイル・システムの場所 |
|
Quartz Threads |
プロセスをスケジュールするクォーツで使用できる最大スレッド数 |
Oracle Directory Integration Platformサーバーは、実行状態になると、同期化の処理および機能のプロビジョニングに関する詳細をOracle Internet Directoryから読み込みます。
同期プロファイルおよびプロビジョニング・プロファイル作成の詳細は、次を参照してください。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』の同期プロファイルの作成に関する項。
『Oracle Fusion Middleware Oracle Identity Management統合ガイド』のoidprovtoolを使用したプロビジョニング・プロファイルの管理に関する項。
Oracle Directory Integration Platformは、メタデータの格納にOracle Internet Directoryを使用します。クォーツ・スケジューラは、ODSSMスキーマを使用してデータベースにスケジュール情報を格納します。Oracle Internet DirectoryとOracle Directory Integration Platformは、同じデータベースを使用します。Oracle Directory Integration Platformに必要なODSSMスキーマは、Oracle Internet Directoryのスキーマ作成の一環として作成されます。
Oracle Directory Integration Platformは、Oracleが提供するセキュアなフレームワークであるOracle資格証明ストア・フレームワーク(CSF)、およびSSLを介したOracle Internet Directoryやサード・パーティのLDAPストアへの接続に使用されるウォレットと資格証明を保存するJavaキーストア(JKS)にも依存します。
Oracle Directory Integration Platformは、デフォルトでインストールされるOracle Fusion Middleware共通の監査フレームワークにも依存します。
Oracle Directory Integration Platformは、Oracle WebLogic Server上にデプロイされるJ2EEアプリケーションです。ログ・メッセージはすべて、アプリケーションがデプロイされるOracle WebLogic Serverのサーバー・ログ・ファイルに記録されます。サーバー・ログのデフォルトの場所は次のとおりです。
WEBLOGIC_SERVER_HOME/user_projects/domains/domainName/servers/serverName/logs/serverName-diagnostic.log
この項では、Oracle Directory Integration Platformを高可用性構成で使用する場合の概要について説明します。
この項で説明するOracle Directory Integration Platformの高可用性構成では、2つのホスト上にOracle Directory Integration PlatformとOracle Directory Services Managerが、2ノードのアクティブ/アクティブの高可用性構成で、インストールおよび構成されています。
図7-7は、Oracle Directory Integration PlatformとOracle Directory Services Managerのアクティブ/アクティブ構成での高可用性アーキテクチャを示しています。
図7-7 高可用性アーキテクチャのOracle Directory Integration PlatformとOracle Directory Services Manager
図7-7では、アプリケーション層にコンピュータIDMHOST1とIDMHOST2があります。
IDMHOST1では、次のインストールが実行されています。
Oracle Directory Integration PlatformインスタンスとOracle Directory Services Managerインスタンスが、WLS_ODS1管理対象サーバーにインストールされています。RACデータベースは、インスタンスをRACノードの障害から保護するためにJDBCマルチ・データソース内に構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。
IDMHOST2では、次のインストールが実行されています。
Oracle Directory Integration PlatformインスタンスとOracle Directory Services Managerインスタンスが、WLS_ODS2管理対象サーバーにインストールされています。RACデータベースは、インスタンスをRACノードの障害から保護するためにJDBCマルチ・データソース内に構成されています。
IDMHOST2上のWLS_ODS2管理対象サーバーにあるインスタンスと、IDMHOST1上のWLS_ODS1管理対象サーバーにあるインスタンスは、CLUSTER_ODSクラスタとして構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。
高可用性アーキテクチャでは、Oracle Directory Integration PlatformおよびOracle Directory Services ManagerはOracle WebLogicクラスタにデプロイされます。このクラスタには、その一部として少なくとも2つのサーバーが存在します。
WebLogic Serverはデフォルトで、アプリケーションの起動、停止および監視を行います。Oracle Directory Integration PlatformとOracle Directory Services Managerの各アプリケーションはともにデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。
高可用性環境では、WebLogicノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。ノード・マネージャがこのサーバーを再起動できない場合は、フロントエンドのロード・バランシング・ルーターによってクラスタ内のWebLogicインスタンスの障害が検出され、障害が発生していないインスタンスにトラフィックがルーティングされます。
Oracle Internet Directoryをアクティブ/アクティブの高可用性構成にデプロイする場合は、そのクラスタに属するすべてのOracle Internet Directoryインスタンスが同じデータベースを共有します。いずれかのOracle Internet DirectoryノードのOracle Directory Integration Platformに加えられた変更は、クラスタ内のすべてのOracle Internet Directoryインスタンスに自動的に伝播されます。
次の各項では、Oracle Internet Directoryマルチマスター・レプリケーション・デプロイメントにおけるOracle Directory Integration Platformアプリケーションの構成変更について説明します。マルチマスター・レプリケーションでは、次に説明するように、クラスタ内のすべてのノードに構成の変更を適用する必要があります。
デフォルトのOracle Internet Directoryマルチマスター・レプリケーション環境では、任意のOracle Internet Directoryノード上のディレクトリ統合プロファイルへの変更は、他のOracle Internet Directoryノードへは自動的にレプリケートされません。これらのファイルは、1次ノードから2次ノードに対して定期的に手動でコピーする必要があります。これにより、1次ノードで問題が発生した場合、2次ノードでディレクトリ同期プロファイルを実行できます。
Oracle Directory Integration Platformで使用されるパラメータの1つにorcllastappliedchangenumberがあります。ディレクトリ同期プロファイルのlastchangenumber属性に指定した値は、Oracle Directory Integration Platformが実行されているディレクトリ・サーバーによって異なります。アクティブ/アクティブ構成のOracle Directory Integration Platformでは、すべてのインスタンスのlastchangenumber属性を手動で更新する必要があります。
次の項では、同期プロファイルとプロビジョニング・プロファイルをマルチマスター・レプリケーション・デプロイメントの1次Oracle Internet Directoryから2次Oracle Internet Directoryにコピーする手順の詳細について説明します。
エクスポート・プロファイルをターゲット・ノードにコピーした後に、lastchangenumber属性をターゲット・ノードの値で更新する必要があります。次の手順に従って、値を更新します。
同期プロファイルを無効化します。
ldapsearchコマンドを使用して、ターゲット・ノードのlastchangenumber属性の値を取得します。
ldapsearchを使用して、プロファイル・エントリのLDIFダンプを取得します。
ldapaddを使用して、他のOracle Internet Directoryインスタンスにプロファイルを追加します。
manageSyncProfilesコマンドのupdatechgnum演算子を使用して、ターゲット・ノードにコピーしたエクスポート・プロファイルのlastchangenumber属性を手順2で取得した値で更新します。
同期プロファイルを有効化します。
デフォルトのOracle Internet Directoryマルチマスター・レプリケーション環境では、Oracle Directory Integration Platformは1次Oracle Internet Directoryと同じ場所にインストールされます。この項の情報と手順は、マルチマスター・レプリケーションが設定されている場合にのみ適用できます。
1次ノードで障害が発生した場合、そのノードにあるすべてのプロファイルに対するイベント伝播は停止します。イベントはキューに入れられ、1次ノードの停止中にも失われることはありませんが、どのアプリケーションにもイベントは伝播されません。バージョン1.0および2.0のプロファイルで、1次ノードが停止した場合でもイベントの伝播が継続されることを保証するには、ディレクトリ・プロビジョニング・プロファイルを他の2次ノードにコピーする必要があります。
ただし、ディレクトリ・プロビジョニング・プロファイルは、アプリケーションがインストールされた直後からOracle Internet Directoryでユーザー変更が行われる前にしか、1次ノードから任意の2次ノードに対してコピーされません。
1次ノードと2次ノード間でディレクトリ・プロビジョニング・プロファイルを同期するには、次の手順に従う必要があります。
1次ノードで、ldifwriteコマンドを使用してこのコンテナからエントリのLDIFダンプを作成します。
cn=provisioning profiles,cn=changelog subscriber,cn=oracle internet directory
LDIFダンプを2次ノードにコピーします。
ldapaddコマンドを使用して、2次ノードにプロファイルを追加します。
この項では、Oracle Directory Integration Platformのアクティブ/アクティブ・クラスタにおける様々な障害からの保護について説明します。
高可用性環境では、Oracle Directory Integration Platformアプリケーションは、少なくとも2つのWebLogicインスタンスで構成されるOracle WebLogic Serverクラスタにデプロイされます。
Oracle Directory Integration Platformアプリケーションはデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。Oracle Directory Integration Platformがデプロイされるときに、クォーツ・スケジューラはクラスタリング・オプションを使用して起動されます。クラスタリング・オプションを指定して起動されると、スケジューラはノードの負荷に応じて、クラスタ内の利用可能なノードのいずれかでジョブを実行します。1つ以上のノードでハードウェアなどの障害が発生すると、スケジューラは利用可能なノードでジョブを実行します。
さらに、高可用性環境では、WebLogicノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。
Oracle Directory Integration Platformアプリケーション内では、クォーツ・スケジューラによって、実際の処理を行うプロビジョニングまたは同期化EJBが起動されます。クォーツ・スケジューラによってEJBが起動されるとただちに、そのEJBにはジョブ実行中のタグが付けられます。EJBがジョブに失敗した場合は、クォーツ・スケジューラはジョブに失敗のマークを付け、後で別のEJBで実行されるよう再スケジュールします。
Oracle Directory Integration Platformのフェイルオーバーは、エンド・ユーザーに対して透過的ではありません。
高可用性トポロジにデプロイされたOracle Directory Integration Platformインスタンスに対する構成の変更は、トポロジ内のすべてのOracle Directory Integration Platformインスタンスに自動的には伝播されません。
トポロジ内のすべてのOracle Directory Integration Platformインスタンスに同一の構成変更を行うには、manageDIPServerConfigツールの使用をお薦めします。これにより、トポロジ内のすべてのOracle Directory Integration Platformインスタンスの構成が同一になることが保証されます。
manageDIPServerConfigツールについての詳細は、『Oracle Fusion Middleware Oracle Identity Management統合ガイド』を参照してください。
この項では、Oracle Directory Integration Platformの高可用性アーキテクチャを設定するための前提条件について説明します。
|
注意: Oracle Directory Integration Platformは、クォーツを使用して、データベース内のジョブとスケジュールを管理します。クォーツ・ジョブをクラスタ内の複数のOracle Directory Integration Platformノードで実行するには、クラスタ・ノードのシステム・クロックを同期させる必要があります。 |
Oracle Internet Directoryのインストールと構成は、次の各項の説明に従います。
高可用性環境では、WebLogic Serverのユーティリティを使用してOracle Directory Integration PlatformインスタンスとOracle Directory Services Managerのクラスタ化、ロード・バランシングおよびフェイルオーバーを行うことをお薦めします。
この項では、IDMHOST1とIDMHOST2で次のインストールと構成を実行する手順について説明します。
IDMHOST1へのOracle Directory Integration PlatformとOracle Directory Services Managerのインストールと構成
IDMHOST2へのOracle Directory Integration PlatformとOracle Directory Services Managerのインストールと構成
Oracle Directory Integration PlatformとOracle Directory Services Managerのインストール後の手順
Oracle Directory Integration PlatformおよびOracle Directory Services Managerは、同一インストール・セッション、同一管理対象サーバー、または同一ホストにインストールする必要はありません。この項のインストールと構成の手順は、Oracle Directory Integration PlatformとOracle Directory Services Managerを2ノードのアクティブ/アクティブ・クラスタにインストールする場合の一例です。
IDMHOST1およびIDMHOST2で、インストーラ実行可能ファイルを実行してOracle WebLogic Serverのインストールを開始します。
次の手順に従って、Oracle WebLogic Serverインストーラを起動します。
UNIXの場合(次の例はLinuxの場合):
./server103_linux32.bin
Windowsの場合:
server103_win32.exe
インストーラが起動したら、次の手順に従ってOracle WebLogic Serverをコンピュータにインストールします。
「ようこそ」画面で「次へ」をクリックします。
「ミドルウェア・ホーム・ディレクトリの選択」画面で、Oracle WebLogicソフトウェアのインストール先となるディレクトリを選択します。
「ミドルウェア・ホーム・ディレクトリ」に、次の値を指定します。
/u01/app/oracle/product/fmw
「次へ」をクリックします。
「セキュリティ更新のための登録」画面で、「My Oracle Support」のユーザー名とパスワードを入力します。
「インストール・タイプの選択」画面では、完全インストールとカスタム・インストールのどちらを実行するかを指定します。
「標準」または「カスタム」を選択します(この例では「標準」を選択します)。
「次へ」をクリックします。
「製品インストール・ディレクトリの選択」画面のフィールドに、次の値を指定します。
WebLogic Server:
/u01/app/oracle/product/fmw/wlserver_10.3
「次へ」をクリックします。
「インストール・サマリー」画面に、インストール対象として選択したコンポーネントの一覧と、それらをインストールするために使用されるディスク領域の概算値が表示されます。
「次へ」をクリックします。
「インストール 完了」画面で、「Quickstartの実行」チェック・ボックスの選択を解除します。
「完了」をクリックします。
次の手順に従って、IDMHOST1にOracle Directory Integration PlatformとOracle Directory Services Managerをインストールし、構成します。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
ポート7006がOVDHOST1上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "7006"
Windowsの場合:
netstat -an | findstr :7006
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート7006のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Directory Services Managerのポート番号を指定する行は非コメント化)を割り当てます。
# The port for ODSM server ODS Server port = 7006
次の手順に従って、Oracle Identity Management 11gのインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「新規ドメインの作成」を選択して、ドメインの詳細を入力します。
ユーザー名: weblogic
ユーザー・パスワード: ******
パスワードの確認: ******
ドメイン名: IDMDomain
「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
Oracle Middlewareホームの場所:
/u01/app/oracle/product/fmw
Oracleホームの場所:
ods
WebLogic Serverのディレクトリ:
/u01/app/oracle/product/fmw/wlserver_10.3
Oracleインスタンスの場所:
/u01/app/oracle/admin/ods_instance1
Oracleインスタンス名:
ods_instance1
「次へ」をクリックします。
「Oracle Configuration Managerの詳細の指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、「Oracle Directory Integration Platform」、「管理コンポーネント」配下の「Oracle Directory Services Manager」を選択します。その他のコンポーネントはすべて選択を解除します。前提条件としてOracle Internet Directoryの構成が必要であるという警告は無視します。
「クラスタ化」チェック・ボックスを選択します。
「次へ」をクリックします。
|
注意: インストーラによって設定されるデフォルトのOracle WebLogic Serverのクラスタ・モードは、(マルチキャストではなく)ユニキャストになります。 |
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を選択し、一時ディレクトリにコピーしたstaticports.iniファイルのファイル名を入力します。
「次へ」をクリックします。
「OID詳細の指定」画面で、次のように指定します。
ホスト名: oid.mycompany.com
ポート: 636
ユーザー名: cn=orcladmin
パスワード: ******
「次へ」をクリックします。
「スキーマ・データベースの指定」画面で、「既存のスキーマの使用」を選択し、次の値を指定します。
接続文字列:
infradbhost1-vip.mycompany.com:1521:idmdb1^infradbhost2-vip.mycompany.com:1521:idmdb2@idmedg.mycompany.com
|
注意: RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。このインストール時に、すべてのRACインスタンスを起動する必要はありません。1つのRACインスタンスが起動されていれば、インストールを続行できます。 前述のように指定した情報は、完全で正確である必要があります。具体的には、ホスト、ポート、およびインスタンス名が各RACインスタンスに正しく指定されている必要があります。また、指定したRACインスタンスのすべてにサービス名が構成されている必要があります。 RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。 |
ユーザー名: ODSSM
パスワード: ******
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認して(正しくない場合は「戻る」をクリックして前の画面に戻り、修正します)、「インストール」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログ・ボックスが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。
「次へ」をクリックします。
「構成」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。終了したら、「次へ」をクリックします。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
この項では、IDMHOST1上の管理サーバーに対してboot.propertiesファイルを作成する方法を説明します。boot.propertiesファイルを使用すると、administratorのユーザー名とパスワードの入力を求められることなく管理サーバーを起動できます。
次の手順に従って、boot.propertiesファイルを作成します。
IDMHOST1で、次のディレクトリに移動します。
MW_HOME/user_projects/domains/domainName/servers/AdminServer/security
次に例を示します。
cd /u01/app/oracle/product/fmw/user_projects/domains/IDMDomain/servers/AdminServer/security
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。
username=adminUserpassword=adminUserPassword
|
注意: 管理サーバーの起動時に、このファイルのユーザー名とパスワードのエントリは暗号化されます。セキュリティ上の理由から、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。ファイルの編集後は、速やかにサーバーを起動してエントリを暗号化する必要があります。 |
管理サーバーが実行されている場合は停止します。
WebLogic Serverの起動と停止の詳細は、Oracle Fusion Middlewareの管理者ガイドの「Oracle Fusion Middlewareの起動と停止」を参照してください。
MW_HOME/user_projects/domains/domainName/binディレクトリにあるstartWebLogic.shスクリプトを使用して、IDMHOST1上の管理サーバーを起動します。
Webブラウザを開いて次のページにアクセスし、変更が正常に行われたことを確認します。
次のURLのWebLogic Server管理コンソールにアクセスします。
http://oidhost1.mycompany.com:7001/console
次のURLのOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
http://oidhost1.mycompany.com:7001/em
weblogicユーザーの資格証明を使用して、これらのコンソールにログインします。
次の手順に従って、IDMHOST2にOracle Identity Managementソフトウェアのみをインストールします。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
次の手順に従って、Oracle Identity Management 11gのインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「クラスタを開く」オプションを選択して、次の例の値を指定します。
ホスト名: idmhost1.mycompany.com
ポート: 7001
ユーザー名: weblogic
パスワード: <weblogicユーザーのパスワード>
「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
Oracle Middlewareホームの場所:
/u01/app/oracle/product/fmw
Oracleホーム・ディレクトリ:
ods
WebLogic Serverのディレクトリ:
/u01/app/oracle/product/fmw/wlserver_10.3
Oracleインスタンスの場所:
/u01/app/oracle/admin/ods_instance2
Oracleインスタンス名:
ods_instance2
「次へ」をクリックします。
「コンポーネントの構成」画面で、Oracle Internet Directoryおよび管理コンポーネントを除く全製品の選択を解除します。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択した内容を確認します。変更が必要な場合は、「戻る」をクリックします。選択が適切であれば、「インストール」をクリックします。
「インストールの進行状況」画面で、インストールの進行状況を確認します。
UNIXシステムでは、インストールが終了すると、oracleRoot.shの確認ダイアログ・ボックスが表示されます。このダイアログ・ボックスは、インストールを続行する前に構成スクリプトをrootユーザーとして実行する必要があることを示しています。
確認ダイアログ・ボックスを開いたままにして、別のシェル・ウィンドウを開き、rootユーザーとしてログインして、次のスクリプト・ファイルを実行します。
/u01/app/oracle/product/fmw/ods/oracleRoot.sh
「構成の進行状況」画面で、構成の進行状況を確認します。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
|
注意: このインストールの完了後に、WebLogic Server管理コンソールを使用してwls_ods2管理対象サーバーの状態を表示すると、そのサーバーの状態はUNKNOWNと表示されます。
第7.5.3.5項「Oracle Directory Integration PlatformとOracle Directory Services Managerのインストール後の手順」にある手順を実行して、IDMHOST1およびIDMHOST2上のOracle Directory Integration PlatformとOracle Directory Services Managerの各インスタンスのインストールを完了してください。 |
前の項では、インストーラによってIDMHOST2に2つ目の管理対象サーバーwls_ods2が作成されました。ただし、IDMHOST2上にOracle Directory Integration Platformアプリケーションがデプロイされていないため、新たに作成した管理対象サーバーは自動的に起動されません。また、WebLogic管理コンソールには、IDMHOST2上のwls_ods2管理対象サーバーの状態がUNKNOWNと表示されます。
この項にあるインストール後の手順を実行して、IDMHOST2上のOracle Directory Integration PlatformとOracle Directory Services Managerアプリケーションのインストールと構成を完了します。
次の手順に従って、IDMHOST1からIDMHOST2にOracle Directory Integration Platformアプリケーションをコピーします。
IDMHOST2で、次のディレクトリ構造を作成します。
MW_HOME/user_projects/domains/IDMDomain/servers/wls_ods2/stage/DIP/11.1.1.1.0
次に例を示します。
mkdir -p MW_HOME/user_projects/domains/IDMDomain/servers/wls_ods2/stage/DIP/11.1.1.1.0/
IDMHOST1からIDMHOST2に、DIPディレクトリをコピーします。
IDMHOST1の次のDIPディレクトリを、
MW_HOME/user_projects/domains/IDMDomain/servers/wls_ods1/stage/DIP/11.1.1.1.0/DIP
IDMHOST2の次の場所にコピーします。
MW_HOME/user_projects/domains/IDMDomain/servers/wls_ods2/stage/DIP/11.1.1.1.0/
たとえば、IDMHOST1から、次のコマンドを実行します。
scp -rp MW_HOME/user_projects/domains/IDMDomain/servers/wls_ods1/stage/
DIP/11.1.1.1.0/DIP user@IDMHOST2://MW_HOME/user_projects/domains/IDMDomain/
servers/wls_ods2/stage/DIP/11.1.1.1.0
次の手順に従って、クラスタ内のIDMHOST2上に新たに作成したwls_ods2管理対象サーバーを起動します。
Webブラウザで、次のURLを使用して、Oracle WebLogic Server管理コンソールにアクセスします。
http://idmhost1.mycompany.com:7001/console
管理者の資格証明を使用して、コンソールにログインします。
WebLogic Server管理コンソールの左側のペインで、「環境」を開いて、「クラスタ」を選択します。
WebLogic Serverの起動と停止の詳細は、Oracle Fusion Middlewareの管理者ガイドの「Oracle Fusion Middlewareの起動と停止」を参照してください。
停止する管理対象サーバー(wls_ods2)が存在するクラスタ(cluster_ods)のリンクをクリックします。
「制御」を選択します。
「このクラスタの管理対象サーバーのインスタンス」で、起動する管理対象サーバー(wls_ods2)の横のチェック・ボックスを選択して「起動」をクリックします。
「クラスタ・ライフサイクル・アシスタント」ページで、「はい」をクリックして確定します。
ノード・マネージャによって、対象マシン上のサーバーが起動されます。ノード・マネージャによる起動シーケンスが終了すると、「サーバー状態」表の「状態」列にサーバーの状態が表示されます。この状態はRUNNINGになります。
この項では、Oracle HTTP ServerをWEBHOST1およびWEBHOST2にインストールする方法について説明します。Oracle Directory Integration Platform以外にインストール済のコンポーネントがない場合は、Oracle HTTP Serverは必要ありません。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、ご使用のプラットフォームおよびバージョンのOracle Fusion Middlewareドキュメント・ライブラリにある『Oracle Fusion Middleware Installation Guide for Web Tier』に記載されています。
ポート7777がWEBHOST1またはWEBHOST2上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "7777"
Windowsの場合:
netstat -an | findstr :7777
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート7777のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle HTTP Serverのポート番号を指定する行は非コメント化)を割り当てます。
# The port for Oracle HTTP server Oracle HTTP Server port = 7777
Oracle Fusion Middleware 11g Web Tier Utilities CDインストールのOracle Universal Installerを、次のように開始します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「インストール場所の指定」画面で、次の操作を行います。
WEBHOST1およびWEBHOST2で、「場所」を次のように設定します。
/u01/app/oracle/admin
「次へ」をクリックします。
「コンポーネントの構成」画面で、次の操作を行います。
「Oracle HTTP Server」を選択します。
「選択されたコンポーネントとWebLogicドメインの関連付け」を選択します。
「次へ」をクリックします。
「インストール場所の指定」画面で、次の操作を行います。
Oracle WebLogic Serverをインストールした場所を入力します。管理サーバーが実行されている必要があります。
ドメイン・ホスト名: IDMHOST1
ドメインのポート番号: 7001
ユーザー名: weblogic
パスワード: ******
「次へ」をクリックします。
「コンポーネントの詳細の指定」画面で、次の操作を行います。
WEBHOST1に次の値を入力します。
インスタンス・ホームの場所: /u01/app/oracle/admin/ohs_inst1
インスタンス名: ohs_inst1
OHSコンポーネント名: ohs1
WEBHOST2に次の値を入力します。
インスタンス・ホームの場所: /u01/app/oracle/admin/ohs_inst2
インスタンス名: ohs_inst2
OHSコンポーネント名: ohs2
「次へ」をクリックします。
「Web Tierポートの詳細の指定」画面で、次の操作を行います。
「カスタム・ポートを指定」を選択します。カスタム・ポートを指定する場合には、「構成ファイルを使用してポートを指定」を選択してから、「参照」機能を使用してファイルを選択します。
Oracle HTTP Serverポートを入力します(例: 7777)。
「次へ」をクリックします。
「Oracle Configuration Manager」画面で、次のように入力します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取ります。: このチェック・ボックスを選択します。
「インストール・サマリー」画面で、選択した内容が正しいことを確認します。正しくない場合は、「戻る」をクリックして必要に応じて修正します。選択が適切であれば、「次へ」をクリックします。
UNIXシステムでは、「インストールの進行状況」画面にoracleRoot.shスクリプトの実行を指示するダイアログが表示されます。ウィンドウを開き、表示される指示に従ってスクリプトを実行します。
「次へ」をクリックします。
「構成の進行状況」画面で、複数の構成アシスタントが連続して起動します。このプロセスには時間がかかる可能性があります。
「構成が完了しました」画面で「終了」をクリックして終了します。
この項の手順に従って、Oracle Directory Services ManagerのためのOracle HTTP Serverの高可用性を構成します。
Oracle HTTP Serverで、ロード・バランシング・ルーターの仮想ホストを使用するように構成します。
WEBHOST1およびWEBHOST2上のOracle HTTP Serverインスタンスは、ロード・バランサの仮想ホストの設定を使用するように構成する必要があります。仮想ホストの詳細は、第7.2.4.5項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。
Oracle HTTP Serverインスタンスでロード・バランシング・ルーターの仮想ホストを使用するように構成するには、httpd.confファイルを編集して、仮想ホストのディレクティブを次のように定義します。
NameVirtualHost *:7777 <VirtualHost *:7777> ServerName admin.mycompany.com:7777 ServerAdmin you@your.address RewriteEngine On RewriteOptions inherit </VirtualHost>
httpd.confファイルは、WEBHOST1およびWEBHOST2上のORACLE_INSTANCE/config/OHS/componentNameディレクトリにあります。
Oracle HTTP ServerからOracle Directory Services Manager、Oracle Enterprise Manager Fusion Middleware Control、およびOracle WebLogic Server管理コンソールにルーティングされるように構成します。
Oracle HTTP Serverインスタンスで、IDMHOST1とIDMHOST2のOracle Directory Services Managerアプリケーションへのルーティングを有効にするには、WEBHOST1とWEBHOST2のORACLE_INSTANCE/config/OHS/componentNameディレクトリにあるmod_wl_ohs.confファイルに次のディレクティブを追加します。
LoadModule weblogic_module "${ORACLE_HOME}/ohs/modules/mod_wl_ohs.so"
<IfModule mod_weblogic.c>
WebLogicHost IDMHOST1.MYCOMPANY.COM
WebLogicPort PORT
</IfModule>
<Location /odsm>
SetHandler weblogic-handler
WebLogicCluster IDMHOST1.MYCOMPANY.COM:<PORT>,IDMHOST2.MYCOMPANY.COM:<PORT>
</Location>
opmnctlコマンドを使用してOracle HTTP Serverの停止と起動を行います。
ORACLE_INSTANCE/bin/opmnctl stopallORACLE_INSTANCE/bin/opmnctl startall
ロード・バランシング・ルーターの仮想ホストを使用して、次の各コンソールにアクセスできることを確認します。
Oracle Directory Services Manager Console:
http://admin.mycompany.com:7777/odsm
Oracle WebLogic Server管理コンソール:
http://idmhost1.mycompany.com:7001/console
Oracle Enterprise Manager Fusion Middleware Control:
http://idmhost1.mycompany.com:7001/em
|
注意: 高可用性構成にデプロイされたOracle Directory Integration PlatformがサーバーのみのSSL認証(SSL Mode2)に対応している場合は、すべてのOracle Internet Directoryインスタンスの証明書を含む共通キーストアを使用する必要があります。共通キーストアは、すべてのOracle Internet Directoryインスタンスから証明書をインポートし、Oracle Directory Integration Platformが実行されているすべてのノードにそのキーストアをコピーすることによって作成できます。Oracle Directory Integration PlatformでのSSL使用の詳細は、『Oracle Fusion Middleware Oracle Identity Management統合ガイド』を参照してください。 |
高可用性環境では、Oracle Directory Integration Platformアプリケーションは、少なくとも2つのWebLogicインスタンスで構成されるOracle WebLogic Serverクラスタにデプロイされます。
Oracle Directory Integration Platformアプリケーションはデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。
さらに、高可用性環境では、WebLogicノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。データベース・インスタンスの障害が発生した場合は、障害が発生していないRACノードが残りのプロセスを引き継ぎます。第7.5.5項「Oracle Directory Integration Platformの高可用性のトラブルシューティング」で説明されているように、RACのフェイルオーバー時には、管理対象サーバー・ログに無害のエラーが記録される場合があります。
この項では、Oracle Directory Integration Platformの高可用性に関する問題に対処する方法について説明します。
RACのフェイルオーバー時に、Oracle Directory Integration Platformアプリケーションを実行する管理対象サーバーのログ・ファイルに次のような例外が表示されることがあります。これらのエラーは、フェイルオーバー時に、WebLogic Serverプラットフォーム上に構成された複数のデータソースによって、RACデータベースの状態の検証が試行されるときにスローされます。これらのエラーは無害なため、無視してかまいません。Oracle Directory Integration Platformアプリケーションは、数分の遅延の後、リカバリして正常動作を開始します。RACのフェイルオーバー時に、1つのRACインスタンスが実行を続けていれば、Oracle Directory Integraion Platformに停止時間は発生しません。
RuntimeException:
[2008-11-21T00:11:10.915-08:00] [wls_ods] [ERROR] []
[org.quartz.impl.jdbcjobstore.JobStoreTX] [tid: 25] [userId: <anonymous>]
[ecid: 0000Hqy69UiFW7V6u3FCEH199aj0000009,0] [APP: DIP] ClusterManager: Error
managing cluster: Failed to obtain DB connection from data source
'schedulerDS': java.sql.SQLException: Could not retrieve datasource via JNDI
url 'jdbc/schedulerDS' java.sql.SQLException: Cannot obtain connection:
driverURL = jdbc:weblogic:pool:schedulerDS, props =
{EmulateTwoPhaseCommit=false, connectionPoolID=schedulerDS,
jdbcTxDataSource=true, LoggingLastResource=false,
dataSourceName=schedulerDS}.[[
Nested Exception: java.lang.RuntimeException: Failed to setAutoCommit to true
for pool connection
AuthenticationException while connecting to OID:
[2008-11-21T00:12:08.812-08:00] [wls_ods] [ERROR] [DIP-10581] [oracle.dip]
[tid: 11] [userId: <anonymous>] [ecid: 0000Hqy6m54FW7V6u3FCEH199apO000000,0]
[APP: DIP] DIP was not able to get the context with the given details {0}[[
javax.naming.AuthenticationException: [LDAP: error code 49 - Invalid
Credentials]
ほとんどの例外は、スケジューラまたはLDAPに関連するものです。たとえば次のような例外です。
1. Could not retrieve datasource via JNDI url 'jdbc/schedulerDS' java.sql.SQLException.
2. javax.naming.AuthenticationException: [LDAP: error code 49 - Invalid Credentials]
WebLogicノード・マネージャの起動後に次のエラー・メッセージを受信した場合は、エラー・メッセージの後に表示される手順に従います。
<Dec 15, 2008 8:40:05 PM> <Warning> <Uncaught exception in server handler: javax.net.ssl.SSLKeyException: [Security:090482]BAD_CERTIFICATE alert was received from stbee21.us.oracle.com - 152.68.64.2155. Check the peer to determine why it rejected the certificate chain (trusted CA configuration, hostname verification). SSL debug tracing may be required to determine the exact reason the certificate was rejected.> javax.net.ssl.SSLKeyException: [Security:090482]BAD_CERTIFICATE alert was received from stbee21.us.oracle.com - 152.68.64.215. Check the peer to determine why it rejected the certificate chain (trusted CA configuration, hostname verification). SSL debug tracing may be required to determine the exact reason the certificate was rejected.
まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。
コンソールの左側のペインで、「サーバー」を開いて、「AdminServer (admin)」をクリックします。
「構成」→「SSL」→「Advanced Link」を選択します。
「ホスト名の検証」に「なし」を選択します。
「保存」をクリックして設定を保存します。
これらの変更をアクティブにするには、管理コンソールのチェンジ・センターで「変更のアクティブ化」をクリックします。
すべてのサーバーを再起動します。
管理対象サーバーが管理モードで起動したら、次の手順を実行します。
まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。
コンソールの左側のペインで、「サーバー」を開いて、ADMINモードで実行されているサーバーの名前をクリックします。
「制御」→「起動と停止」タブを選択します。
サーバーの名前を選択します。
「再開」をクリックします。
「はい」をクリックしてサーバーを再開します。
IDMHOST1からIDMHOST2へDIPディレクトリをコピーした後に、IDMHOST2上の管理対象サーバーが起動しない場合は、次の手順を実行します。
IDMHOST1のMW_HOME/user_projectsディレクトリをIDMHOST2のMW_HOME/user_projectsディレクトリにコピーします。
IDMHOST2で、次のディレクトリに移動し、wls_odsフォルダがないことを確認します。
MW_HOME/user_projects/domains/IDMDomain/servers
次のコマンドを使用して、WebLogicノード・マネージャが実行されていないことを確認します。
ps -ef | grep java
次のコマンドを使用して、WebLogicノード・マネージャを起動します。
UNIXの場合:
./startNodeManager.sh
Windowsの場合:
startNodeManager.cmd
WebLogic Server管理コンソールで、すでに作成されているwls_ods2管理対象サーバーを起動します。
IDMHOST2で、次のディレクトリに移動し、 wls_ods2フォルダが作成されていることを確認します。
MW_HOME/user_projects/domains/IDMDomain/servers
管理コンソールで、wls_ods2管理対象サーバーを停止します。
次のコマンドを発行してから、NodeManagerプロセスを停止します。
ps -ef | grep java
前述のように、wls_ods1からwls_ods2へDIPフォルダをコピーします。
WebLogicノード・マネージャを再起動します。
wls_ods2を起動します。
WebLogicノード・マネージャの起動に失敗する場合は、IDMHOST1からIDMHOST2に次のドメイン・ファイルがコピーされていることを確認します。
MW_HOME/wlserver_10.3/common/nodemanager/nodemanager.domains
高可用性トポロジのOracle Directory Integration Platformインスタンスの構成を変更した場合、この構成の変更はトポロジ内のすべてのOracle Directory Integration Platformインスタンスに自動的には伝播されません。
かわりに、manageDIPServerConfigツールを使用して、トポロジ内の各Oracle Directory Integration Platformインスタンスに同一の構成変更を行います。これにより、トポロジ内のすべてのOracle Directory Integration Platformインスタンスに同じ構成が適用されることが保証されます。manageDIPServerConfigツールについての詳細は、『Oracle Fusion Middleware Oracle Identity Management統合ガイド』を参照してください。
この項では、Oracle Directory Services Managerの概要、およびOracle Directory Integration PlatformとOracle Directory Services Managerの高可用性環境の設計とデプロイについて説明します。
Oracle Directory Integration Platformの詳細は、 第7.5項「Oracle Directory Integration Platformの高可用性」を参照してください。
Oracle Directory Services Managerは、Oracle Internet DirectoryおよびOracle Virtual Directoryのインスタンスの管理用に統一されたグラフィカル・ユーザー・インタフェース(GUI)です。非推奨となったOracle Directory Managerにかわるものです。Oracle Directory Services Managerでは、ディレクトリ構造の構成、ディレクトリ内のオブジェクトの定義、ユーザー、グループおよびその他のエントリの追加と構成ができます。
エンド・ユーザーは、Oracle Directory Services Managerを使用して、各自のディレクトリ・エントリ、スキーマ、セキュリティおよびその他の機能を管理できます。
図7-8は、Oracle Directory Services Managerのアーキテクチャを示しています。
図7-8は、非高可用性アーキテクチャにデプロイされたOracle Directory Services Managerを示しています。Oracle Directory Services ManagerはOracle WebLogic Server上にデプロイされます。Oracle Directory Services Managerは、管理対象となるOracle Virtual DirectoryとOracle Internet Directoryの各インスタンスと通信を行うよう構成されます。
Oracle Directory Services Managerでは、クライアント・ブラウザとの通信にHTTPプロトコルが使用されます。Oracle Internet Directoryとの通信には、LDAPプロトコルを使用し、Oracle Virtual Directoryとの通信はWebサービスを介して行われます。
Oracle Directory Services Managerは、Oracle Application Development Framework(ADF)ベースのJ2EEアプリケーションであり、Oracle WebLogic Server上にデプロイされます。デフォルトでは、Oracle Directory Services ManagerはWebLogicドメイン内の管理サーバーにデプロイされますが、使用環境の要件に応じて、管理対象サーバーにデプロイすることもできます。
Oracle Directory Services Managerは、Oracle Internet Directoryと同じノードまたは独立したノードにデプロイできます。
Oracle Directory Services Managerは、直接またはOracle Enterprise Manager Fusion Middleware Controlから起動できます。サポートされるブラウザには、Firefox 2、Firefox 3、およびInternet Explorer 7などがあります。
Oracle Directory Services Managerを直接起動するには、次のURLをブラウザのアドレス・フィールドに入力します。
http://host:port/odsm/faces/odsm.jspx
前述の内容に関する説明は次のとおりです。
hostは、Oracle Directory Services Managerが実行されている管理対象サーバーの名前です。
portは、管理対象サーバーのポート番号です。
Oracle Directory Services ManagerをOracle Enterprise Manager Fusion Middleware Controlから起動する手順は次のとおりです。
Oracle Internet Directoryターゲットの「Oracle Internet Directory」メニューで「Directory Services Manager」を選択して、「データ・ブラウザ」、「スキーマ」、「セキュリティ」、または「拡張」を選択します。
Oracle Virtual Directoryターゲットの「Oracle Virtual Directory」メニューで「Directory Services Manager」を選択してから、「データ・ブラウザ」、「スキーマ」、「アダプタ」、「拡張機能」、または「クイック構成ウィザード」を選択します。
ブラウザ・ウィンドウが新たに起動され「Oracle Directory Services Managerへようこそ」画面が表示されます。
Oracle Directory Services Managerは、Oracle WebLogic Serverに対して外部的にステージングされたアプリケーションとしてデプロイされます。WebLogicサーバーは、Oracle Directory Services Managerアプリケーションの起動、停止、監視を管理します。Oracle Directory Services Managerは、管理対象サーバーの起動時に初期化されます。Oracleノード・マネージャは、サーバー・プロセスを監視して、障害発生時には再起動するように構成されます。
Oracle Directory Services Managerアプリケーションのライフサイクル・イベントは、次に示すコマンドライン・ツールおよびコンソールのいずれかを使用して管理できます。
次のツールは、Oracle Directory Services Managerプロセスの起動と停止に使用できます。
Oracle WebLogic Server Scripting Tool(WLST)
Oracle Enterprise Manager Fusion Middleware Control
WebLogic Server管理コンソール
WebLogicノード・マネージャ
この項では、Oracle Directory Services Managerを高可用性構成で使用する場合の概要について説明します。
この項で説明するOracle Directory Services Managerの高可用性構成では、2つのホスト上にOracle Directory Services ManagerとOracle Directory Integration Platformが、2ノードのアクティブ/アクティブの高可用性構成でインストールおよび構成されています。
図7-9は、Oracle Directory Integration PlatformとOracle Directory Services Managerのアクティブ/アクティブ構成での高可用性アーキテクチャを示しています。
図7-9 高可用性アーキテクチャのOracle Directory Services ManagerとOracle Directory Integration Platform
図7-9では、アプリケーション層にコンピュータIDMHOST1とIDMHOST2があります。
IDMHOST1では、次のインストールが実行されています。
Oracle Directory Integration PlatformインスタンスとOracle Directory Services Managerインスタンスが、WLS_ODS1管理対象サーバーにインストールされています。RACデータベースは、インスタンスをRACノードの障害から保護するためにJDBCマルチ・データソース内に構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。
IDMHOST2では、次のインストールが実行されています。
Oracle Directory Integration PlatformインスタンスとOracle Directory Services Managerインスタンスが、WLS_ODS2管理対象サーバーにインストールされています。RACデータベースは、インスタンスをRACノードの障害から保護するためにJDBCマルチ・データソース内に構成されています。
IDMHOST2上のWLS_ODS2管理対象サーバーにあるインスタンスと、IDMHOST1上のWLS_ODS1管理対象サーバーにあるインスタンスは、CLUSTER_ODSクラスタとして構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。
高可用性アーキテクチャでは、Oracle Directory Integration PlatformおよびOracle Directory Services ManagerはOracle WebLogicクラスタにデプロイされます。このクラスタには、その一部として少なくとも2つのサーバーが存在します。
WebLogic Serverはデフォルトで、アプリケーションの起動、停止および監視を行います。Oracle Directory Integration PlatformとOracle Directory Services Managerの各アプリケーションはともにデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。
高可用性環境では、WebLogicノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。ノード・マネージャがこのサーバーを再起動できない場合は、フロントエンドのロード・バランシング・ルーターによってクラスタ内のWebLogicインスタンスの障害が検出され、障害が発生していないインスタンスにトラフィックがルーティングされます。
この項では、Oracle Directory Services Managerのアクティブ/アクティブ・クラスタにおける様々な障害からの保護について説明します。
高可用性環境では、Oracle Directory Services Managerアプリケーションは、少なくとも2つのWebLogicインスタンスで構成されるOracle WebLogic Serverクラスタにデプロイされます。
Oracle Directory Services Managerアプリケーションはデフォルトで、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。
さらに、高可用性環境では、WebLogicノード・マネージャはWebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。ノード・マネージャがこのサーバーを再起動できない場合は、Oracle HTTP Serverの一部として構成されているmod_wl_ohsによって、障害が発生していないWebLogicインスタンスにリクエストがルーティングされます。
OPMNは、Oracle HTTP Serverプロセスを監視し、障害発生時にはこのプロセスを再起動します。OPMNがHTTPプロセスを再起動できない場合は、フロントエンドのロード・バランシング・ルーターによってOracle HTTP Serverインスタンスの障害が検出され、障害が発生していないインスタンスにトラフィックがルーティングされます。
Oracle Directory Services Managerによって、セッション状態が管理されますが、障害発生時には、セッション状態の情報は障害が発生していないノードに対して引き継がれません。
Oracle Directory Services Managerのフェイルオーバーは、透過的ではありません。Oracle WebLogic Serverインスタンスのフェイルオーバー時は、Oracle Directory Services Managerを使用して接続を再確立する必要があります。
この項では、Oracle Directory Services Managerの高可用性アーキテクチャを設定するための前提条件について説明します。
|
注意: Oracle Directory Services Managerを高可用性デプロイメントで使用する場合は、クラスタ・ノードのシステム・クロックを同期する必要があります。 |
Oracle Directory Services Managerをインストールする前に、次のコンポーネントをインストールし、構成しておく必要があります。各必須コンポーネントのインストールおよび構成の手順については、次の各項の前提条件を参照してください。
Oracleデータベース
Oracle Real Application Clustersデータベースのインストールと構成は、次の各項の説明に従います。
Oracleリポジトリ作成ユーティリティ
Oracleリポジトリ作成ユーティリティをインストールして、必要なスキーマを作成しロードするには、次の各項の説明に従います。
ロード・バランサと仮想ホスト
ロード・バランサの構成と必要な仮想サーバーの作成の詳細は、第7.2.4.5項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。
Oracle Internet Directory
Oracle Internet Directoryのインストールと構成は、次の各項の説明に従います。
図7-9に示されているアクティブ/アクティブの高可用性構成のインストールおよび構成の手順については、第7.5.3項「Oracle Directory Integration PlatformとOracle Directory Services Managerの高可用性の構成手順」を参照してください。
この項では、高可用性構成のOracle Directory Services Managerを検証する方法について説明します。
Oracle HTTP Serverを通してOracle Directory Services Managerにアクセスしている間に、この項の手順を使用してWebLogic Serverインスタンスをフェイルオーバーし、フェイルオーバー後もOracle Directory Services Managerがアクセス可能であることを検証できます。
この例で使用するOracle HTTP Server仮想サーバー名は次のとおりです。
http://admin.mycompany.com
次の手順を実行します。
Oracle HTTP Server仮想サーバー名を使用してOracle Directory Services Managerにアクセスします。
http://admin.mycompany.com/odsm/faces/odsm.jspx
「Oracle Directory Services Managerへようこそ」画面が表示されたら、Webブラウザを開いて次のURLを入力します。
http://hostname:port/console
hostnameは管理サーバーのDNS名、portは管理サーバーがリクエストをリスニングするポートのアドレス(デフォルトでは7001)です。
ログイン・ページで、管理サーバーの起動に使用するユーザー名とパスワードを入力して、「ログイン」をクリックします。
次の手順に従って、Oracle Directory Services Managerがデプロイされている管理対象サーバーの1つを停止させます。
Oracle WebLogic Server管理コンソールの左側のペインで、「環境」を開いて、「サーバー」を選択します。
WebLogic Serverの起動と停止の詳細は、Oracle Fusion Middlewareの管理者ガイドの「Oracle Fusion Middlewareの起動と停止」を参照してください。
停止させる管理対象サーバーの名前をクリックします。(例:wls_ods1)。
wls_ods1の設定画面で、「制御」→「起動と停止」タブを選択します。
停止させる管理対象サーバー(wls_ods1)の名前の横のチェック・ボックスを選択して、「停止」→「作業完了時」をクリックします。
管理対象サーバー(wls_ods1)のステータスを確認します。
コンソールの左側のペインで、「環境」を開いて、「サーバー」を選択します。
管理対象サーバー(wls_ods1)の状態はSHUTDOWNとなっているはずです。
Oracle HTTP Server仮想サーバー名を使用してOracle Directory Services Managerにアクセスします。
http://admin.mycompany.com/odsm/faces/odsm.jspx
「Oracle Directory Services Managerへようこそ」画面が表示されます。
ロード・バランシング・ルーターを介してOracle Directory Services Managerにアクセスしている間に、この項の手順に従ってRACデータベース・インスタンスを一度に1つずつフェイルオーバーし、フェイルオーバー後もOracle Directory Services Managerが機能していることを確認します。この例では、Oracle Directory Services Managerの確認だけでなく、Oracle Internet Directoryからデータベースへのアクセスも確認します。
この例で使用するOracle HTTP Server仮想サーバー名は次のとおりです。
http://admin.mycompany.com
この例で使用するLDAP仮想サーバー名は次のとおりです。
oid.mycompany.com:389
次の手順を実行します。
Oracle HTTP Server仮想サーバー名を使用してOracle Directory Services Managerにアクセスします。
http://admin.mycompany.com/odsm/faces/odsm.jspx
「Oracle Directory Services Managerへようこそ」画面が表示されます。
LDAP仮想サーバーを使用してOracle Internet Directoryに接続できることを確認します。
右上にある「ディレクトリに接続」→「新規接続の作成」リンクを選択します。
「新規接続」画面で、次の接続情報を入力し、「接続」をクリックします。
ディレクトリ・タイプ: OID
名前: OIDHA
サーバー: oid.mycompany.com
ポート: 389
SSL有効: 空白にしておきます。
ユーザー名: cn=orcladmin
パスワード: ********
開始ページ: Home(デフォルト)
INFRADBHOST1-VIP上のOracle Internet Directoryスキーマ・データベース・インスタンスを停止させるために、次のようにsrvctlコマンドを実行します(この例では、INFRADBというデータベース名を使用します)。
ORACLE_HOME/bin/srvctl stop instance -d infradb -i infradb1ORACLE_HOME/bin/srvctl status database
Oracle Directory Services Managerの画面を再表示するか、タブ(「ホーム」、「データ・ブラウザ」、「スキーマ」、「セキュリティ」、「詳細」)の1つをクリックします。依然としてOracle Internet Directoryの情報にアクセスできるはずです。
INFRADBHOST1-VIP上でOracle Internet Directoryスキーマ・データベース・インスタンスを再起動させるために、次のようにsrvctlコマンドを実行します。
ORACLE_HOME/bin/srvctl start instance -d infradb -i infradb1ORACLE_HOME/bin/srvctl status database
INFRADBHOST2-VIPで手順3、4、および5を実行します。
この項では、Oracle Directory Services Managerを使用して、管理対象サーバー、Oracle Internet Directoryインスタンス、およびRACデータベースのフェイルオーバーを検証する手順について説明します。
次の手順に従って、Oracle Directory Services Managerを使用し、管理対象サーバーのフェイルオーバーを検証します。
Webブラウザで、Oracle HTTP Serverのホストとポートを使用して、「Oracle Directory Services Manager」ページを起動します。次に例を示します。
http://WEBHOST1:PORT/odsm/faces/odsm.jspx
Oracle Internet Directoryに接続します。
管理コンソールに移動して、wls_ods1管理対象サーバーを停止します。
「Oracle Directory Services Manager」ページに戻り、作業を続行します。
「Oracle Directory Services Manager」ページの接続が切断されます。
同じブラウザから、Oracle HTTP Serverのホストとポートを使用して「Oracle Directory Services Manager」ページを再起動します。
接続を再確立します。
この動作が必要となる動作です。Oracle Directory Services Managerのフェイルオーバーは、透過的ではありません。WebLogic Serverインスタンスのフェイルオーバー時は、Oracle Directory Services Managerを使用して接続を再確立する必要があります。
次の手順に従って、Oracle Directory Services Managerを使用し、Oracle Internet Directoryインスタンスのフェイルオーバーを検証します。
Webブラウザで、Oracle HTTP Serverのホストとポートを使用して、「Oracle Directory Services Manager」ページを起動します。次に例を示します。
http://WEBHOST1:PORT/odsm/faces/odsm.jspx
Oracle Internet Directoryハードウェア・ロード・バランサに接続します。
一度に1つずつOracle Internet Directoryインスタンスを停止します。
フェイルオーバー時には、「Oracle Directory Services Manager」ページに戻り、作業を続行します。
これは、Oracle Directory Services ManagerにOracle Internet Directoryが停止しているというメッセージのポップ・アップ・ウィンドウが表示された場合に必要な対応です。Oracle Directory Services Managerは、Oracle Internet Directoryへの接続を再確立しますが、フェイルオーバー時には接続が永続的でない場合もあります。詳細は、第7.6.6.4項「Oracle Internet Directoryのフェイルオーバー時に、メッセージ「LDAPサーバーが停止しています。」がOracle Directory Services Managerに表示される」を参照してください。
Oracle Directory Services Managerにアクセスしている間に、Oracle Internet Directoryインスタンスを一度に1つずつフェイルオーバーし、フェイルオーバー後もLDAPストアがアクセス可能であることを確認します。Oracle Directory Services ManagerからOracle Internet Directoryへの接続が永続的でない場合もあります。
次の手順に従い、Oracle Directory Services Managerを使用してRACのフェイルオーバーを検証します。
Webブラウザで、Oracle HTTP Serverのホストとポートを使用して、「Oracle Directory Services Manager」ページを起動します。次に例を示します。
http://WEBHOST1:PORT/odsm/faces/odsm.jspx
「Oracle Directory Services Manager」ページからOracle Internet Directoryに接続します。
一度に1つずつRACデータベース・インスタンスを停止します。
「Oracle Directory Services Manager」ページに戻り、手順2で確立したOracle Internet Directoryの接続から作業を続行します。
RACのフェイルオーバー時に一時的に接続が失われますが、これはOracle Directory Services Managerに必要な動作です。RACのフェイルオーバー時にOracle Directory Services Managerに表示されるエラー・メッセージの詳細は、第7.6.6.5項「RACフェイルオーバー時のOracle Directory Services Managerの一時的な接続の消失」を参照してください。
ハードウェア・ロード・バランサを介してOracle Directory Services Managerへアクセスしている間に、RACデータベース・インスタンスを一度に1つずつフェイルオーバーし、フェイルオーバー後もOracle Directory Services Managerが機能していることを確認します。これによって、Oracle Directory Services Managerの確認だけでなく、Oracle Internet DirectoryからRACデータベースへのアクセスも確認できます。
この項では、Oracle Directory Services Managerの高可用性に関する問題に対処する方法について説明します。
WebLogicノード・マネージャの起動後に次のエラー・メッセージを受信した場合は、エラー・メッセージの後に表示される手順に従います。
<Dec 15, 2008 8:40:05 PM> <Warning> <Uncaught exception in server handler: javax.net.ssl.SSLKeyException: [Security:090482]BAD_CERTIFICATE alert was received from stbee21.us.oracle.com - 152.68.64.2155. Check the peer to determine why it rejected the certificate chain (trusted CA configuration, hostname verification). SSL debug tracing may be required to determine the exact reason the certificate was rejected.> javax.net.ssl.SSLKeyException: [Security:090482]BAD_CERTIFICATE alert was received from stbee21.us.oracle.com - 152.68.64.215. Check the peer to determine why it rejected the certificate chain (trusted CA configuration, hostname verification). SSL debug tracing may be required to determine the exact reason the certificate was rejected.
まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。
コンソールの左側のペインで、「サーバー」を開いて、「AdminServer (admin)」をクリックします。
「構成」→「SSL」→「Advanced Link」を選択します。
「ホスト名の検証」に「なし」を選択します。
「保存」をクリックして設定を保存します。
これらの変更をアクティブにするには、管理コンソールのチェンジ・センターで「変更のアクティブ化」をクリックします。
すべてのサーバーを再起動します。
管理対象サーバーが管理モードで起動したら、次の手順を実行します。
まだ行っていない場合は、管理コンソールのチェンジ・センターで「ロックして編集」をクリックします。
コンソールの左側のペインで、「サーバー」を開いて、ADMINモードで実行されているサーバーの名前をクリックします。
「制御」→「起動と停止」タブを選択します。
サーバーの名前を選択します。
「再開」をクリックします。
「はい」をクリックしてサーバーを再開します。
WebLogicノード・マネージャの起動に失敗する場合は、IDMHOST1からIDMHOST2に次のドメイン・ファイルがコピーされていることを確認します。
MW_HOME/wlserver_10.3/common/nodemanager/nodemanager.domains
Oracle HTTP Serverを使用してOracle Directory Services Managerのフェイルオーバーを実行する場合、このフェイルオーバーは透過的には行われません。次の手順を実行すると、この動作を確認できます。
Oracle HTTP Serverを使用して、Oracle Directory Services Managerをアクティブ/アクティブの高可用性構成にデプロイします。
Oracle HTTP Server名とポート番号を使用して、「Oracle Directory Services Manager」ページを表示します。
Oracle Internet DirectoryサーバーやOracle Virtual DirectoryサーバーなどのLDAPサーバーに接続します。
現行のOracle Directory Services ManagerのOracle HTTP Serverホストとポートを使用して、LDAPサーバーで作業します。
Oracle WebLogic Sever管理コンソールを使用して、一度に1つずつ管理対象サーバーを停止します。
「Oracle Directory Services Manager」ページとポート、およびすでに確立されているOracle Internet DirectoryまたはOracle Virtual Directoryの接続に戻ります。この操作を行うと、「Oracle Directory Services Manager」ページへの接続を再確立する必要があることを示すメッセージが表示されます。
このような場合は、次の手順を実行する必要があります。
Webブラウザで、現在の「Oracle Directory Services Manager」ページを終了します。
新たにWebブラウザ・ページを起動して、同じOracle Directory Services ManagerのOracle HTTP Serverの名前とポートを指定します。
前述の手順で作業中を行っていたLDAPサーバー(Oracle Internet DirectoryまたはOracle Virtual Directory)への接続を再確立します。
Oracle Directory Services Managerがロード・バランサを介してOracle Internet Directoryに接続される高可用性構成では、Oracle Internet Directoryのインスタンス間のフェイルオーバー時にOracle Directory Services Managerにメッセージ「LDAPサーバーが停止しています。」が表示されます。
Oracle Internet Directoryのフェイルオーバーが完了すると、この接続は数分以内に再確立されるため、再ログインすることなく作業を続行できます。
Oracle Directory Services Managerでは、RACのフェイルオーバー時にRACデータベースを使用中のOracle Internet Directoryインスタンスとの接続が一時的に失われます。Oracle Directory Services Managerに、メッセージFailure accessing Oracle database (oracle errcode=errcode)が表示されることがあります(errcodeは、次のいずれかです。値: 3113、3114、1092、28、1041、または1012)。
RACのフェイルオーバーが完了すると、この接続は数分以内に再確立されるため、再ログインすることなく作業を続行できます。
この項では、Oracle Identity Federationの概要およびOracle Identity Federationの高可用性環境の設計とデプロイについて説明します。
Oracle Identity Federationは、複数ドメインのアイデンティティ・ネットワークのシングル・サインオンと認証を提供し、もっとも広範なフェデレーション標準のセットをサポートするスタンドアロンの自己完結型フェデレーション・サーバーです。これにより、ソリューション・セットでその他のOracle Identity Mangement製品が実装されているかどうかに関係なく、異種環境とビジネス結合に属するユーザーのフェデレーションが可能になります。
これは、アイデンティティ・プロバイダ(IdP)およびサービス・プロバイダ(SP)両方の役割を果たすマルチプロトコル・ハブとしてデプロイできます。
Oracle Identity Federationは、SPとして機能することで、帯域外の複数のセキュリティ・ドメイン間でユーザー同期をせずに、実際のユーザー認証をIdPにオフロードする間もリソース管理を可能にします。いったんIdPで認証されると、SPはローカル・アクセス・ポリシーに応じて、そのSPのアプリケーションに対するユーザー・アクセスを許可または拒否できます。
ユーザーがそのIdPに対するアカウントを持っていない場合、フェデレーションは終了し、そのユーザーのドメイン間でのシングル・サインオンは自動的に無効化されます。Oracle Identity FederationをIdPとして利用すると、信頼できるプロバイダからの連携リクエストに基づいて、ローカル・ユーザーの管理と認証が実行できます。
Oracle Identity Federationの主要な機能には、次のサポートが含まれます。
SAML 1.x、SAML 2.0、WS-Federation、SAML 1.x/2.0属性共有機能、Liberty ID-FF 1.1/ Liberty ID-FF 1.2などの複数の主要なフェデレーション・プロトコル
プロトコルを超えたシングル・サインオンおよびサインアウト
サービス・プロバイダのフェデレーション情報の共有化およびフェデレーションの数の削減によるアフィリエーション
X.509証明書検証
Oracle Access ManagerおよびOracle Single Sign-Onとの統合
Oracle Internet Directoryとの統合および広範な認証エンジン、ユーザー・データ・リポジトリ、リレーショナル・データベースのサポート
アイデンティティ・プロバイダおよびサービス・プロバイダの両方が含まれる環境でのサイトを超えたアクセスと認証の実装
外部サイトを構成、有効化および無効化する機能
シングル・サインオンを使用した宛先サイトのアプリケーションへのアクセス
図7-10は、非高可用性アーキテクチャのOracle WebLogic ServerにデプロイされたOracle Identity Federationと、他のフェデレーション・コンポーネントとの関係を示しています。
図7-10は、他のアイデンティティ・プロバイダ(IdP)およびサービス・プロバイダ(SP)間のフェデレーション・メンバーとしてのOracle Identity Federationを示しています。
Oracle Identity Federation認証サービスは次のように構成できます。
Oracle Single Sign-On(Oracle Internet Directoryユーザー・リポジトリを使用)またはOraclre Access Manager(各種リポジトリを使用)により保護されたリソースへのシングル・サインオン・アクセスを可能にします。リソースとして、Oracle Collaboration Suite、Oracle E-Business Suite、PeopleSoftモジュールなどを含めることができます。
LDAPディレクトリ、RDBMSデータベース、Oracle Access Managerなどのアイデンティティおよびアクセス管理ソリューションと相互運用できます。
|
注意: Oracle Identity FederationとOracle Single Sign-Onの両方がリソースを保護している環境では、いずれかのコンポーネントを、ユーザー・リクエストが保護リソースにアクセスした場合に認証メカニズムとして動作するように構成できます。また、Oracle Identity FederationとOracle Access Managerの両方を含む環境にも同様の機能があります。Oracle Identity Federationの認証についての詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』を参照してください。 |
Oracle Identity Federationは、J2EE標準に準拠した、スタンドアロンの自己完結型フェデレーション・サーバーです。複数ドメインのアイデンティティ・ネットワークのシングル・サインオンと認証を提供し、SAML 1.x、SAML 2.0、WS-Federation、およびSAML 1.x/2.0属性共有機能など、広範なフェデレーション標準のセットをサポートします。
Oracle Identity Federationは、デフォルトでは、Oracle WebLogic Serverに対して外部的にステージングされたアプリケーションとしてデプロイされます。
Oracle Identity Federationは、Oracle WebLogic Serverに対して外部的にステージングされたアプリケーションとしてデプロイされるJ2EEアプリケーションです。Oracle Identity Federationサーバーは、デプロイされたWebLogic Serverの起動時に初期化されます。
Oracle Identity Federationアプリケーションは、資格証明ストア・フレームワークにアクセスして、バックエンド・サーバーに接続するための資格証明を取得します。この処理が完了すると、Oracle Identity Federationサーバーは実行状態となり、リクエストを受け入れて処理する準備ができます。
Oracle Identity Federationは、外部的に管理されるアプリケーションとしてOracle WebLogic Serverにデプロイされます。Oracle WebLogic Serverはデフォルトで、Oracle Identity Federationアプリケーションに対する他のライフサイクル・イベントの起動、停止、監視、および管理を行います。
このアプリケーションは、デプロイされるOracle WebLogic Serverの起動時に初期化され、WebLogic Serverの停止時に停止されます。
WebLogicノード・マネージャは、サーバー・プロセスを監視し、障害発生時にそのプロセスを再起動するように構成できます。
Oracle Enterprise Manager Fusion Middleware Controlは、アプリケーションの監視および構成の変更に使用します。
Oracle Identity Federationのライフサイクル・イベントは、次に示すコマンドライン・ツールおよびコンソールを1つ以上使用して管理できます。
Oracle WebLogic Scripting Tool(WLST)
Oracle WebLogic Server管理コンソール
Oracle Enterprise Manager Fusion Middleware Control
WebLogicノード・マネージャ
通常、ユーザーは、会社のポータルを介して複数のドメインのアプリケーションにアクセスします。たとえば、Alpha Corporationが、Alphaのユーザー・ログイン、ページのパーソナライズなどを管理するポータル・サーバーを備えているとします。そのポータル・サーバーは、アプリケーション・サーバー内で動作する自社製ロジックで構成されている場合や、市販の製品の場合があります。パートナー会社であるBeta Corporationは、MyBeta.comというタイプのポータルを使用して、その技術的なデータベース・アプリケーションを提供できます。この場合、それぞれが自社ポータル・サーバーを運用していることになります。
プロセス・フローは次のようになります。
ユーザーは、Oracle Access ManagerやOracle Single Sign-OnなどのWebアクセス管理(WAM)システムによりアクセスが管理されているAlphaポータルにログインします。
ユーザーは、実際にはBeta Corporationがホストしているリソースをクリックしてリクエストを開始します。
アイデンティティ・プロバイダ(IdP)として動作しているAlphaポータルのOracle Identity Federationインスタンスが、ユーザー情報をWAMシステムに送信します。
WAMシステムは、ローカル・アイデンティティ・ストアのアイデンティティにユーザーをマッピングした後、セッションを作成します。
WAMシステムにより、成功したレスポンスとセッション・トークンがAlphaポータルのOracle Identity Federation IdPサーバーに戻されます。
前述の情報を使用して、AlphaポータルのIdPはSAMLアイデンティティ・アサーションを作成し、プライベート署名キーを使用して署名します。このレスポンスは、Beta Corporationのサービス・プロバイダ(SP)として動作するOracle Identity Federationインスタンスに送信されます。
Beta CorporationのSPとして動作するOracle Identity Federationサーバーは、署名キーに関連付けられたIdPのパブリック証明書を使用して署名付きレスポンスを検証します。
Beta CorporationのOracle Identity Federationサービス・プロバイダはアサーションを抽出し、ユーザー・セッションをローカル認証システムにマッピングした後、アサーションに対するユーザー・セッションを作成します。
Oracle Identity Federationサービス・プロバイダは、ユーザーのブラウザにリクエストされたリソースへのリダイレクトを送信します。
ユーザーのブラウザは、サービス・プロバイダによって作成されたユーザー・セッションを介して、ターゲット・リソースへのリクエストを送信します。
Oracle Identity Federationサーバーの構成は、MBeansによって管理されます。Oracle Identity Federationの構成データは、次の3つのメイン・ファイルに格納されます。
config.xml: サーバー全体の構成が格納されます。
cot.xml: プロバイダ固有の構成が格納されます。
datastore.xml: バックエンドのデータ・ストアの構成が格納されます。
Oracle Identity Federationアプリケーションは、Oracle Identity Management 11gインストーラによって、EARファイルとしてデプロイされます。アプリケーションのデプロイ後、展開されたEARファイルは、各管理対象サーバーのアプリケーション・ディレクトリに格納されます。この場所は次のとおりです。
DOMAIN_HOME/servers/serverName/stage/OIF/11.1.1.1.0/OIF/
デフォルトでは、serverNameはwls_oif1です。
Oracle Enterprise Manager Fusion Middleware Controlを使用して構成を変更すると、ノード間での構成の不整合を回避できます。これは、アプリケーションが高可用性構成にデプロイされている場合、特に有効です。ただし、WLSTスクリプトおよびJMX MBeansを使用してOracle Identity Federationサーバーを構成することもできます。
Oracle Identity Federationサーバーは、Oracle WebLogic管理対象サーバーにデプロイされるJ2EEアプリケーションです。Oracle Identity Federationサーバーは外部構成データ、ランタイム一時データ(メッセージ、ユーザー・セッション)、およびフェデレーション・データを格納するリポジトリと対話して、ユーザーの認証を行います。Oracle Identity Federationサーバーでは、初期化またはランタイム時に、これらのリポジトリが使用可能である必要があります。Oracle Identity Federationサーバーの機能に必要な外部コンポーネントは次のとおりです。
Oracle WebLogic Server
管理サーバー
管理対象サーバー
データ・リポジトリ
メッセージ・データ・ストアおよびユーザー・セッション・データ・ストア(一時データ・ストア)
構成データ・ストア
ユーザー・データ・ストア
フェデレーション・データ・ストア
認証エンジン
サービス・プロバイダ・エンジン
これらの外部コンポーネントがOracle Identity Federationを使用してどのように機能するかについては、次の各項を参照してください。
Oracle Identity Federationサーバーは、Oracle WebLogic管理対象サーバーにデプロイされるJ2EEアプリケーションです。このサーバーは、Oracle Enterprise Manager Fusion Middleware Controlを使用して管理されます。
管理対象サーバーが実行されていない場合は、アプリケーションを起動できません。管理サーバーが使用できない場合は、このサーバーは現行の状態で実行を続けますが、構成の変更はできません。
Oracle Identity Federationサーバーは、様々な外部データ・リポジトリを使用して、構成、ユーザー・セッション、メッセージ、およびフェデレーション・データを格納します。Oracle Identity Federationサーバーでは、初期化またはランタイム時、あるいはその両方で、これらのデータ・ストアが使用可能である必要があります。リポジトリの詳細は次のとおりです。
メッセージ・データ・ストアとユーザー・セッション・データ・ストア(一時データ・ストア)
Oracle Identity Federationサーバーは、フェデレーション・プロトコル/セッションの状態などの一時データの格納にメッセージ・データ・ストアとユーザー・データ・ストアを使用します。メッセージ・データ・ストアはユーザー・セッション・データ・ストアとともに、一時データ・ストアとも呼ばれます。
Oracle Identity Federationサーバーのデプロイメント・オプションに応じて、一時データは、メモリーまたはリレーショナル・データベースに格納されます。表7-7は、デプロイメント・オプションとそのオプションに必要な一時データ・ストアのタイプとの関係を示しています。
構成データ・ストア
Oracle Identity Federationアプリケーションは、構成データ・ストアを使用して、構成アーティファクトを格納します。Oracle Identity Federationサーバーのデプロイメント・オプションに応じて、構成データ・ストアはXMLファイル、またはリレーショナル・データベースに格納されます。
表7-8は、デプロイメント・オプションとそのオプションに必要な構成データ・ストアのタイプとの関係を示しています。
表7-8 Oracle Identity Federationのデプロイメント・オプションに対応する構成データ・ストアのタイプ
| デプロイメント・オプション | ストア・タイプ |
|---|---|
|
非高可用性/スタンドアロン |
XML リレーショナル・データベース・ストア |
|
高可用性 |
リレーショナル・データベース・ストア |
Oracle Identity Federationアプリケーションは、プロセスの起動時に、構成データ・ストアに接続して構成データを取得します。構成データ・ストアが使用できない場合は、アプリケーションを起動できません。
ユーザー・データ・ストア
Oracle Identity Federationサーバーでは、ローカル認証の後、またはSAMLアサーションの受信処理の後にユーザーを特定するとき、およびユーザー固有の属性を取得するときに、ユーザー・データ・ストアを使用します。ユーザー・データ・リポジトリは、リレーショナル・データベースまたはLDAPリポジトリになります。
Oracle Identity Federationサーバーでは、Oracle Internet Directory、Sun Java System Directory Server、Microsoft Active DirectoryなどのLDAPリポジトリ、およびリレーショナル・データベースと使用した場合の動作が保証されます。
ユーザー・データ・リポジトリの役割は、Oracle Identity Federationをアイデンティティ・プロバイダ(IdP)またはサービス・プロバイダ(SP)のどちらとして構成するかによって異なります。
IdPとして構成する場合
Oracle Identity Federationは、ユーザー・アイデンティティの検証およびプロトコル・アサーションの構築にリポジトリを使用します。
SPとして構成する場合
Oracle Identity Federationは、リポジトリを使用して、受信したアサーションの情報を宛先のユーザー・アイデンティティにマッピングしてから、ユーザーに対して保護されたリソースへのアクセスを認可します。
新たにフェデレーションを作成する場合、Oracle Identity Federationは、リポジトリを使用してユーザーを特定し、新しいフェデレーションをそのユーザーのアカウントにリンクします。
Oracle Identity Federationアプリケーションでは、起動時にユーザー・データ・ストアが使用可能である必要はありません。ユーザー・データ・ストアはランタイム時に必要になります。
|
注意: Oracle Identity Federationでは、Oracle Databaseバージョン10.2.0.4以上またはOracle Database 11.1.0.7以上を使用した場合のみ、動作が保証されます。 |
フェデレーション・データ・ストア
フェデレーション・データ・ストアには、XML、RDBMS、またはLDAPを使用できます。高可用性モードでは、RDBMSまたはLDAPのみを使用して、クラスタ内のすべてのノードでフェデレーション・データ・ストアを使用できるようにします。
Oracle Identity Federationサーバーは、フェデレーション・データ・ストアを使用して、ユーザーのフェデレーション・レコードを永続化します。アイデンティティ・フェデレーションとは、あるトラスト・サークル内の1つ以上のアイデンティティ・プロバイダまたはサービス・プロバイダで、プリンシパルによって保持される可能性のある2つ以上のアカウントのリンクです。ユーザーが複数のビジネスに対して持っている、相互に孤立している個別のアカウント(ローカル・アイデンティティ)をフェデレートすると、2つのエンティティ間にリレーションシップ(任意の数のサービス・プロバイダとアイデンティティ・プロバイダで構成される関連付け)が作成されます。
Oracle Identity Federationサーバーでは、Oracle Internet Directory、Sun Java System Directory Server、およびMicrosoft Active Directoryなどの業界標準のLDAPリポジトリ、またはリレーショナル・データベースが保証されています。
表7-9は、デプロイメント・オプションとそのオプションに必要なフェデレーション・データ・ストアのタイプとの関係を示しています。
表7-9 Oracle Identity Federationのデプロイメント・オプションに対応するフェデレーション・データ・ストアのタイプ
| デプロイメント・オプション | ストア・タイプ |
|---|---|
|
非高可用性/スタンドアロン |
なし、またはXML |
|
高可用性 |
なし、LDAP、またはリレーショナル・データベース・ストア |
フェデレーション・データ・ストアは、プロトコルの交換の際に永続的な名前識別子フォーマットを使用する場合にかぎり、ランタイム時に必要となります。電子メール・アドレスなど不透明でない名前識別子を使用する場合は、実行時のフェデレーション・データ・ストアはオプションになります。
|
注意: Oracle Identity Federationでは、Oracle Databaseバージョン10.2.0.4以上またはOracle Database 11.1.0.7以上を使用した場合のみ、動作が保証されます。 |
Oracle Identity Federationのフェデレーション・データ・ストアの詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』を参照してください。
認証エンジン
Oracle Identity FederationのIdPおよびSPプロトコルの操作(シングル・サインオン、フェデレーションの作成、フェデレーションの終了、および名前ID登録など)では、ユーザーの認証が必要です。Oracle Identity Federationの認証モジュールは、ユーザー認証に対応しています。認証モジュールは、ユーザー認証で次の2つの異なる役割を果たします。
Oracle Identity Federationがアイデンティティ・プロバイダとしてデプロイされる場合は、認証モジュールは、ローカル認証メカニズムとして動作します。認証モジュールでは、認証を委任することも、各種のリポジトリやアイデンティティ管理ソリューションと直接対話することも可能です。
Oracle Identity Federationがサービス・プロバイダとしてデプロイされる場合は、フェデレーション・プロトコルを使用して、ピア・アイデンティティ・プロバイダでユーザーを認証します。Oracle Identity Federationは、ユーザーを認証モジュールに転送します。このモジュールは、SPにデプロイされたアイデンティティ管理ソリューションに認証済のユーザー・セッションを伝播し作成します。これにより、リクエストされた保護リソースへのアクセスが順に可能になります。
サポート対象のRDBMSおよびLDAPリポジトリには、Oracleデータベース、Oracle Internet Directory、Sun Java System Directory Server、およびMicrosoft Active Directoryなどがあります。
サポート対象のリポジトリおよびアイデンティティ管理ソリューションには、Oracle Access Manager、Oracle Single Sign Onなどがあります。
認証モジュールのランタイム時には、外部の認証エンジンが使用できるだけでかまいません。
サービス・プロバイダ・エンジン
サービス・プロバイダ統合エンジン(SP統合エンジン)は、アイデンティティとアクセス管理(IAM)サーバーの認証済ユーザー・セッションの作成に使用します。SPエンジンを付属したOracle Identity Federationには、各種IAMサーバーとの相互運用を可能にする、次のような内部プラグインが含まれています。
Oracle Single Sign-On
Oracle Access Manager
Oracle Identity Federationテスト・アプリケーション
Oracle Identity Federationでは、サード・パーティのIAMフレームワークと統合するためのフレームワークが提供されています。カスタマイズされたSP統合モジュールが内部のJ2EEサーブレット転送を使用してOracle Identity Federationと対話し、サード・パーティのIAMシステムと通信して認証済ユーザー・セッションを作成します。
いずれのカスタムSPエンジン・モジュールも、クラスタ内の各管理対象サーバーにデプロイされる必要があります。
Oracle Identity Federationは、Oracle WebLogic Server上にデプロイされるJ2EEアプリケーションです。サーバーに関連するログ・メッセージはすべて、サーバーのログ・ファイルに記録され、Oracle Identity Federationに固有のメッセージはすべて、アプリケーションがデプロイされたOracle WebLogic Serverの診断ログ・ファイルに記録されます。
Oracle WebLogic Serverのログ・ファイルのデフォルトの場所は次のとおりです。
WEBLOGIC_SERVER_HOME/user_projects/domains/domainName/servers/serverName/logs/serverName-diagnostic.log
Oracle Identity Federationのログ・ファイルの名前は、serverName-diagnostic.logです。たとえば、Oracle WebLogic Server名がwls_oif1の場合、ログ・ファイル名はwls_oif1-diagnostic.logになります。
ログ・ファイルを表示するには、Oracle Enterprise Manager Fusion Middleware Controlを使用します。
この項では、Oracle Identity Federationの概要およびOracle Identity Federationの高可用性環境の設計とデプロイについて説明します。
Oracle Identity Federationを高可用性構成でデプロイする場合のガイドラインを次に示します。
一時データおよび構成データは、常に共有リレーショナル・データベースに格納する必要があります。これは、次の場合に必要です。
Oracle Identity FederationがIdPとして機能し、アーティファクトSSOプロファイルが使用される場合。この場合、ユーザーは、アサーションが作成されるIdP #1と対話します。その後アーティファクトが間接参照されるときに、SPがIdP #2に接続します。2つのOracle Identity Federationサーバーが同じメッセージ・ストアを共有していない場合、IdP #2は、IdP #1が作成したアーティファクトのアサーションをロケーティングできません。
Oracle Identity FederationがSPとして機能し、POST SSOプロファイルが使用される場合。POSTプロファイルでは、ユーザーのブラウザによってアサーションが行われるため、そのアサーションのOracle Identity Federation SPへの再送信が可能になります。潜在的なリプレイ攻撃に対処するため、Oracle Identity Federation SPサーバーは、受信したアサーションを追跡して、同じアサーションが再度使用されないようにします。
Oracle Identity Federationが認証問合せ局として機能する場合。Oracle Identity Federationサーバーは、Oracle Identity Federationサーバーの特定ユーザーの既存セッションを示すアサーションを返すことによって、リモート・プロバイダからの問合せに応じます。このため、Oracle Identity Federationサーバーは一時セッション・ストアを共有する必要があります。
Oracle Identity FederationがIdP/属性認証局として機能し、アサーションIDレスポンダ機能が有効化されている場合。この機能を使用すると、リモート・プロバイダはIdPに対して問合せを行い、以前のSAMLフローで作成されたアサーションを取得します。このため、レスポンダは、作成されるすべてのアサーションを格納するストアに、アクセスできる必要があります。
高可用性環境では、パフォーマンス上の理由により、ロード・バランサでスティッキー・セッションを有効化し、HTTPセッション・レプリケーションを無効化することをお薦めします。HTTPセッション・レプリケーションでは、ノード間でセッション情報がレプリケートされるため、メモリーが大量に消費されます。デフォルトでは、HTTPセッションは有効化されていません。
|
注意: HTTPセッションの状態は、Oracle Identity FederationがHTTPリクエストを処理する際、ランタイム時に使用されます。HTTPセッション状態に格納される情報は短期間しか保持されません。情報の有効期間は、シングル・サインオンなどのフェデレーション操作の長さに相当します。 |
ロード・バランサでスティッキー・セッションを有効化して、そのセッションではユーザーからのリクエストが同じOracle Identity Federationサーバーに転送されるようにする必要があります。
|
注意: Oracle Identity Managementソフトウェアを高可用性構成でデプロイする場合に、ロード・バランサでの有効化が必要な機能についての説明は、第7.2.4.5.1項「ロード・バランサ」を参照してください。 |
Oracle Identity Federationサーバーでは、次の2つのタイプのHTTPセッション・レプリケーションがサポートされます。
メモリー内のセッション・レプリケーション
JDBCセッション・レプリケーション
メモリー内のセッション・レプリケーションには、次のような特性があります。
セッション作成時に、クラスタ内でOracle Identity Federationアプリケーションを実行するすべての管理対象サーバーが起動されている必要があります。
パフォーマンスが低下する可能性があります。
セッション・レプリケーションが完了する前に、サーバーがリクエストを受信すると、サーバーからエラーがスローされます。これを回避するには、Oracle Enterprise Manager Fusion Middleware Controlを使用して、次のパラメータを設定します。
sessionreplicationenabled: trueに設定します。
sessionreplicationtimeout: デフォルトでは2000に設定されています。必要に応じてこの値を大きくします。
JDBCセッション・レプリケーションには、次のような特性があります。
堅牢性を備えています。
データベース呼出しに余分なオーバーヘッドがかかるため、メモリー内のセッション・レプリケーションに比べてパフォーマンスが低下します。
セッションの永続性の状態が、共有リレーショナル・データベースに格納されます。
Oracle WebLogic ServerでJDBCセッションの永続性を構成するには、『Oracle Fusion Middleware Developing Web Applications, Servlets, and JSPs for Oracle WebLogic Server』の永続記憶域としてのデータベースの使用(JDBCの永続性)に関する項を参照してください。
図7-11は、Oracle Identity Federationのアクティブ/アクティブ構成での高可用性アーキテクチャを示しています。
図7-11では、アプリケーション層にコンピュータIDMHOST1とIDMHOST2があります。
IDMHOST1では、次のインストールが実行されています。
Oracle Identity FederationインスタンスがWLS_OIF1管理対象サーバーにインストールされています。RACデータベースは、インスタンスをRACノードの障害から保護するためにJDBCマルチ・データソース内に構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。
IDMHOST2では、次のインストールが実行されています。
Oracle Identity FederationインスタンスがWLS_OIF2管理対象サーバーにインストールされています。RACデータベースは、インスタンスをRACノードの障害から保護するためにJDBCマルチ・データソース内に構成されています。
IDMHOST2上のWLS_OIF2管理対象サーバーにあるインスタンスと、IDMHOST1上のWLS_OIF1管理対象サーバーにあるインスタンスは、CLUSTER_OIFクラスタとして構成されています。
WebLogic管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。IDMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。
高可用性アーキテクチャでは、Oracle Identity Federationサーバーは、Oracle WebLogicクラスタにデプロイされます。このクラスタには、その一部として少なくとも2つのサーバーが存在します。
デフォルトでは、Oracle WebLogic Severによって、このアプリケーションの起動、停止、監視および様々なライフサイクル・イベントの監視が行われます。Oracle Identity Federationアプリケーションは、基盤となるWebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。
高可用性環境では、WebLogicノード・マネージャはOracle WebLogic Serverを監視するように構成されます。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。
高可用性環境では、ハードウェア・ロード・バランサを使用して、複数のOracle Identity Federationインスタンス間のリクエストをロード・バランシングします。Oracle Identity Federationインスタンスのいずれかに障害が発生した場合は、ロード・バランサによって障害が検出され、障害が発生していないインスタンスにリクエストがルーティングされます。
高可用性環境では、状態情報と構成情報は、クラスタ内のすべてのメンバーが共有するデータベースに格納されます。
状態情報が共有データベースに格納されており、クラスタ内のすべてのメンバーがこの情報を使用できるため、障害が発生していないOracle Identity Federationインスタンスでは、障害が発生したインスタンスで開始された未完了のトランザクションの処理をシームレスに継続します。
Oracle Identity Federationインスタンスのいずれかで障害が発生すると、そのデータベースとLDAP接続は解放されます。アクティブ/アクティブ・デプロイメント内にある障害が発生していないインスタンスは、独自の接続を行い、障害が発生したインスタンス上にある未完了のトランザクションの処理を継続します。
Oracle Identity Federationアプリケーションのライフサイクル・イベントは、次に示すコマンドライン・ツールまたはコンソールのいずれかを使用して管理できます。
Oracle WebLogic Server管理コンソール
Oracle Enterprise Manager Fusion Middleware Control
Oracle WebLogic Scripting Tool(WLST)
任意のクラスタ・メンバーによって加えられた構成変更は、その構成が共有データベースに格納されているため、すべてのメンバーに自動的に伝播されます。
セッション・レプリケーションのオンとオフを切り替えるには、Oracle Identity Federationがデプロイされているすべての管理対象サーバーで、次のweblogic.xmlファイルを更新する必要があります。
DOMAIN_HOME/servers/serverName/stage/OIF/11.1.1.1.0/OIF/web.war/WEB-INF/ weblogic.xml
デフォルトでは、セッション・レプリケーションは無効化されています。セッション・レプリケーションが無効化されている場合は、ロード・バランサでスティッキー・セッションを有効化する必要があります。スティッキー・セッションの設定の詳細は、第7.7.3.6.2項「Oracle Identity Federationの構成」を参照してください。
セッション・レプリケーションの有効化/無効化には、次に示す中で該当する手順に従います。
セッション・レプリケーションを有効化するには、persistent-store-typeをreplicated_if_clusteredに設定します。weblogic.xmlファイルを保存してから、Oracle WebLogic Serverを再起動します。
セッション・レプリケーションを無効化するには、persistent-store-typeをmemoryに設定します。weblogic.xmlファイルを保存してから、Oracle WebLogic Serverを再起動します。
Oracle Enterprise Manager Fusion Middleware Controlを使用して構成を変更すると、ノード間での構成の不整合を回避できます。これは、アプリケーションが高可用性構成にデプロイされている場合、特に有効です。ただし、WLSTスクリプトおよびJMX MBeansを使用してOracle Identity Federationサーバーを構成することもできます。
この項では、Oracle Identity FederationとOracle Access Managerを高可用性トポロジで統合する際に必要な手順を説明します。
高可用性モードでOracle Identity Federationをデプロイすることに加えて、Oracle Access Managerも高可用性モードでデプロイする必要があります。
クラスタ内のすべてのOracle Identity Federationサーバーに、Oracle Access Server SDKをインストールする必要があります。Oracle Identity Federationは、SDKをインストールしたディレクトリを参照するように構成する必要があります。SDKがドメインのホーム・ディレクトリにインストールされている場合は、ドメイン・ホーム・フォルダからの相対パスを使用してSDKを参照できます。SDKが別の場所にインストールされている場合は、Oracle Identity Federationは、絶対パスを使用してSDKフォルダを参照する必要があります。
高可用性環境でOracle Identity Federationを使用する場合は、Oracle Identity Federationがインストールされているすべてのコンピュータで同じディレクトリ名を使用して、Access Server SDKをドメイン・ホーム・フォルダにインストールすることをお薦めします。すべてのOracle Identity Federationインスタンスは、同じ構成、具体的にはAccess Server SDKがインストールされているディレクトリを共有するため、これはOracle Identity FederationとOracle Access Managerで可用性の高い統合を行う場合の要件となります。相対パスを使用することにより、Oracle Identity Federationインスタンスで同一の構成を共有できます。
Oracle Access Managerを各Oracle Identity FederationサーバーのSDKと統合するには、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle Access ManagerのSP統合モジュールとしての統合に関する項で説明されている、Oracle Access ManagerをSP統合モジュールとして統合する手順に従ってください。
必要に応じて、ドメイン・ライブラリに必要なファイルをコピーし、各Oracle Identity FederationサーバーのWebLogic Server起動スクリプトを更新して、SDK jarファイルをクラスパスに追加し、LD_LIBRARY_PATH環境変数およびLD_ASSUME_KERNEL環境変数を設定します。詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle WebLogic Server環境の更新に関する項を参照してください。
Oracle Identity Federationには、次のコンポーネントが必要です。
Oracle JRockit Version 1.6.0 SDK(インストールにバンドル)
Oracle WebLogic Server(インストールにバンドル)
ユーザー・データ・ストア。通常はLDAPディレクトリですが、オプションでデータベース・ストアにすることもできます。
フェデレーション・データ・ストア。これは、Oracle Internet Directory、Microsoft Active Directory、Sun Java System Directory Serverなどの、標準のLDAPディレクトリです。
|
注意: Oracle Identity Federationではユーザー・フェデレーション・データ・ストアがすべての場合に必ず必要になるとは限りません。Liberty 1.xおよびSAML 2.0の不透明な永続識別子には必要ですが、SAML 1.x,、WS-Federation、およびSAML 2.0の不透明でない識別子(電子メール・アドレス、サブジェクトDNなど)では任意です。 |
Oracle Databaseバージョン10.2.0.4.0以上、またはRDBMS一時データ・ストアの場合は11.1.0.7以上。
プロキシ実装用のOracle HTTP Server。これはOracle Identity Federationでサポートされる唯一のプロキシ・サーバで、インストールにバンドルされています。
|
注意: Oracle Identity Federationを高可用性デプロイメントで使用する場合は、クラスタ・ノードのシステム・クロックを同期する必要があります。 |
OIFHOST1およびOIFHOST2にOracle Internet Directoryインスタンスをインストールする前に、リポジトリ作成ユーティリティ(RCU)を使用して、Oracle Identity Federationで使用するスキーマのコレクションを作成します。
リポジトリ作成ユーティリティ(RCU)は、Oracle Fusion Middleware 11gキットの部品として付属する専用のCDに収録されています。
次の手順に従って、RCUを実行し、RACデータベース・リポジトリにOracle Identity Federationスキーマを作成します。
次のコマンドを発行します。
prompt> RCU_HOME/bin/rcu &
「ようこそ」画面で「次へ」をクリックします。
「リポジトリの作成」画面で、「作成」操作を選択してコンポーネント・スキーマを既存のデータベースにロードします。
「次へ」をクリックします。
「データベース接続の詳細」画面で、既存のデータベースの接続情報を次のように入力します。
データベース・タイプ: Oracle Database
ホスト名: データベースを実行しているコンピュータの名前。RACデータベースの場合は、VIP名またはノード名を指定します。例: INFRADBHOST1-VIPまたはINFRADBHOST2-VIP
ポート: データベースのポート番号。例: 1521
サービス名: データベースのサービス名。例: idmedg.mycompany.com
ユーザー名: SYS
パスワード: SYSユーザーのパスワード
ロール: SYSDBA
「次へ」をクリックします。
「コンポーネントの選択」画面で、新しい接頭辞を作成して、このデプロイメントに関連するコンポーネントを選択します。
接頭辞の新規作成: idm
コンポーネント: Identity Management(Oracle Identity Federation - OIF)を選択します.その他のスキーマは選択を解除します。
「次へ」をクリックします。
「スキーマ・パスワード」画面で、主要なスキーマ・ユーザーおよび追加(補助)のスキーマ・ユーザーのパスワードを入力します。
「次へ」をクリックします。
「表領域のマップ」画面で、コンポーネントの表領域を選択します。
「サマリー」画面で「作成」をクリックします。
「完了サマリー」画面で「閉じる」をクリックします。
高可用性環境では、Oracle WebLogic Serverのユーティリティを使用してOracle Identity Federationインスタンスのクラスタ化、ロード・バランシングおよびフェイルオーバーを行うことをお薦めします。
スキーマ・データベースが稼働中であることを確認してから、次の手順に従ってインストールします。
この項では、OIFHOST1およびOIFHOST2にOracle Identity Federationインスタンスをインストールして、構成する手順について説明します。
OIFHOST1およびOIFHOST2で、インストーラ実行可能ファイルを実行してOracle WebLogic Serverのインストールを開始します。
次の手順に従って、Oracle WebLogic Serverインストーラを起動します。
UNIXの場合(次の例はLinuxの場合):
./server103_linux32.bin
Windowsの場合:
server103_win32.exe
インストーラが起動したら、次の手順に従ってOracle WebLogic Serverをコンピュータにインストールします。
「ようこそ」画面で「次へ」をクリックします。
「ミドルウェア・ホーム・ディレクトリの選択」画面で、Oracle WebLogicソフトウェアのインストール先となるディレクトリを選択します。このディレクトリをFusion Middlewareホーム・ディレクトリと呼びます。
「ミドルウェア・ホーム・ディレクトリ」に、次の値を指定します。
/u01/app/oracle/product/fmw
「次へ」をクリックします。
「インストール・タイプの選択」画面では、完全インストールとカスタム・インストールのどちらを実行するかを指定します。
「標準」または「カスタム」を選択します(この例では「標準」を選択します)。
「次へ」をクリックします。
「セキュリティ更新のための登録」画面で、「My Oracle Support」のユーザー名とパスワードを入力します。
「次へ」をクリックします。
「インストール・タイプの選択」画面で、実行するインストールのタイプを指定します。「標準」または「カスタム」を選択します。
「標準」を選択します。
「次へ」をクリックします。
「製品インストール・ディレクトリの選択」画面で、Oracle WebLogic Serverバイナリのインストール先となるディレクトリを指定します。
次のようにこのフィールドの値を指定します。
WebLogic Serverのディレクトリ:
/u01/app/oracle/product/fmw/wlserver_10.3
「次へ」をクリックします。
「インストール・サマリー」画面に、インストール対象として選択したコンポーネントの一覧と、それらをインストールするために使用されるディスク領域の概算値が表示されます。
選択した内容が正しいことを確認します。正しくない場合は、「戻る」ボタンをクリックして必要に応じて修正します。
「次へ」をクリックします。
「インストールの進行状況」画面で、インストールの進行状況を確認します。
「インストール 完了」画面で、「Quickstartの実行」チェック・ボックスの選択を解除します。
「完了」をクリックします。
次の手順に従って、OIFHOST1にOracle Identity Federationの1つ目のインスタンスをインストールして構成します。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
ポート7499がこのコンピュータ上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "7499"
Windowsの場合:
netstat -an | findstr :7499
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート7499のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Identity Federationのポート番号を指定する行は非コメント化)を割り当てます。
# The OIF Server Port OIF Server Port = 7499
次の手順に従って、Oracle Identity Management 11gのインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「新規ドメインの作成」を選択して、次の値を指定します。
ホスト名: OIFHOST1.MYCOMPANY.COM
ポート: 7001
ユーザー名: weblogic
パスワード: <weblogicユーザーのパスワード>
「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
Oracle Middlewareホームの場所:
/u01/app/oracle/product/fmw
Oracleホーム・ディレクトリ: oif
WebLogic Serverのディレクトリ:
/u01/app/oracle/product/fmw/wlserver_10.3
Oracleインスタンスの場所:
/u01/app/oracle/admin/oif_inst1
インスタンス名: oif_inst1
|
注意: OIFHOST1のOracleホームの場所を示すディレクトリ・パスが、OIFHOST2のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OIFHOST1のOracleホームの場所のディレクトリ・パスが/u01/app/oracle/product/fmw/oifである場合は、OIFHOST2のOracleホームの場所のディレクトリ・パスも/u01/app/oracle/product/fmw/oifである必要があります。 |
「次へ」をクリックします。
「Oracle Configuration Managerの詳細の指定」画面で、次の例で示すように値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、Oracle Identity Federationコンポーネントを除く全製品の選択を解除します。Oracle Identity Federationコンポーネントには、Oracle Identity FederationとOracle HTTP Serverが含まれています。「クラスタ化」チェック・ボックスを選択します。
「次へ」をクリックします。
|
注意: インストーラによって設定されるデフォルトのOracle WebLogic Serverのクラスタ・モードは、(マルチキャストではなく)ユニキャストになります。 |
「ポートの構成」画面で、「構成ファイルを使用してポートを指定」を指定します。一時ディレクトリにコピーしたstaticports.iniファイルへのパスを入力します。
「次へ」をクリックします。
「OIF詳細の指定」画面で、次の値を指定します。
PKCS12パスワード: <パスワード>
パスワードの確認: <入力したパスワードの再入力>
サーバーID: oif_OIFDomain
「次へ」をクリックします。
「OIF拡張フロー属性の選択」画面で、次の値を指定します。
認証タイプ: LDAP
ユーザー・ストア: LDAP
フェデレーション・ストア: LDAP
ユーザー・セッション・ストア: RDBMS(デフォルトの選択、クラスタに対する変更は不可)
メッセージ・ストア: RDBMS(デフォルトの選択、クラスタに対する変更は不可)
構成ストア: RDBMS(デフォルトの選択、クラスタに対する変更は不可)
|
注意: 拡張インストールの際にセッション、メッセージ、および構成のデータ・ストアにRDBMSを選択した場合は、インストーラによって、これら3つのすべてのデータ・ストアに対してデータソースが1つ作成されます。
これらの各ストアに個別のデータベースを設定する場合は、インストール後に構成する必要があります。 |
「認証LDAPの詳細の指定」画面で、次の例で示すように値を指定します。
LDAPタイプ: ドロップ・ダウンから「Oracle Internet Directory」を選択します。
LDAP URL: LDAPストアに接続するLDAP URLを次の形式で指定します(ldap://host:portまたはldaps://host:port)。次に例を示します。
ldaps://oid.mycompany.com:636
LDAPバインドDN: cn=orcladmin
LDAPパスワード: <orcladminのパスワード>
ユーザー資格証明ID属性: uid
ユーザーの一意ID属性: orclguid
個人オブジェクト・クラス: inetOrgPerson
「次へ」をクリックします。
「ユーザー・データ・ストアのLDAP属性の指定」画面で、次の例で示すように値を指定します。
LDAPタイプ: ドロップ・ダウンから「Oracle Internet Directory」を選択します。
LDAP URL: LDAPストアに接続するLDAP URLを次の形式で指定します(ldap://host:portまたはldaps://host:port)。次に例を示します。
ldaps://oid.mycompany.com:636
LDAPバインドDN: cn=orcladmin
LDAPパスワード: <orcladminのパスワード>
ユーザー説明属性: uid
ユーザーID属性: orclguid
個人オブジェクト・クラス: inetOrgPerson
ベースDN: dc=us,dc=mycompany,dc=com
「次へ」をクリックします。
「フェデレーション・データ・ストアのLDAP属性の指定」画面で、次の例で示すように値を指定します。
LDAPタイプ: ドロップ・ダウンから「Oracle Internet Directory」を選択します。
LDAP URL: LDAPストアに接続するLDAP URLを次の形式で指定します(ldap://host:portまたはldaps://host:port)。次に例を示します。
ldaps://oid.mycompany.com:636
LDAPバインドDN: cn=orcladmin
LDAPパスワード: <orcladminのパスワード>
ユーザー・フェデレーション・レコード・コンテキスト: cn=myfed,dc=us,dc=mycompany,dc=com
コンテナ・オブジェクト・クラス: Oracle Identity FederationがLDAPコンテナを作成するときに、このコンテナがまだ存在しない場合に使用するユーザー・フェデレーション・レコード・コンテキストのタイプです。このフィールドが空白の場合は、applicationprocessに値が設定されます。Microsoft Active Directoryの場合は、このフィールドをcontainerに設定する必要があります。
「次へ」をクリックします。
「一時ストア・データベースの詳細の指定」画面で、次の例で示すように値を指定します。
接続文字列: データベースへの接続文字列を入力します。次に例を示します。
infradbhost1-vip.mycompany.com:1521:idmdb1^infradbhost2-vip.mycompany.com: 1521:idmdb2@idmedg.mycompany.com
|
注意: RACデータベースの接続文字列の情報は、host1:port1:instance1^host2:port2:instance2@servicenameの書式で指定する必要があります。このインストール時に、すべてのRACインスタンスを起動する必要はありません。1つのRACインスタンスが起動されていれば、インストールを続行できます。 前述のように指定した情報は、完全で正確である必要があります。具体的には、ホスト、ポート、およびインスタンス名が各RACインスタンスに正しく指定されている必要があります。また、指定したRACインスタンスのすべてにサービス名が構成されている必要があります。 RACデータベース接続文字列に入力した情報に誤りがある場合は、インストール後に手動で修正する必要があります。 |
ユーザー名: OIFスキーマのユーザー名を入力します(例: ha_oif)。
パスワード: oifユーザーのパスワード
「次へ」をクリックします。
「インストール・サマリー」画面で、選択した内容が正しいことを確認します。正しくない場合は「戻る」をクリックして前の画面に戻り、修正します。「インストール」をクリックします。
「インストールの進行状況」画面で、インストールの進行状況を確認します。
インストールが終了すると、oracleRoot.shの確認ダイアログ・ボックスが表示されます。このダイアログ・ボックスは、インストールを続行する前に構成スクリプトをrootユーザーとして実行する必要があることを示しています。このダイアログ・ボックスを開いたままにして、別のシェル・ウィンドウを開き、rootユーザーとしてログインして、次のスクリプト・ファイルを実行します。
/u01/app/oracle/product/fmw/oif/oracleRoot.sh
「構成の進行状況」画面で、構成の進行状況を確認します。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
この項では、OIFHOST1上の管理サーバーに対してboot.propertiesファイルを作成する方法を説明します。boot.propertiesファイルを使用すると、administratorのユーザー名とパスワードの入力を求められることなく管理サーバーを起動できます。
次の手順に従って、boot.propertiesファイルを作成します。
OIFHOST1で、次のディレクトリに移動します。
MW_HOME/user_projects/domains/domainName/servers/AdminServer/security
次に例を示します。
cd /u01/app/oracle/product/fmw/user_projects/domains/IDMDomain/servers/AdminServer/security
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。
username=adminUserpassword=adminUserPassword
|
注意: 管理サーバーの起動時に、このファイルのユーザー名とパスワードのエントリは暗号化されます。セキュリティ上の理由から、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。ファイルの編集後は、速やかにサーバーを起動してエントリを暗号化する必要があります。 |
管理サーバーが実行されている場合は停止します。
WebLogic Serverの起動と停止の詳細は、Oracle Fusion Middlewareの管理者ガイドの「Oracle Fusion Middlewareの起動と停止」を参照してください。
MW_HOME/user_projects/domains/domainName/binディレクトリにある、startWebLogic.shスクリプトを使用して、OIFHOST1上の管理サーバーを起動します。
Webブラウザを開いて次のページにアクセスし、変更が正常に行われたことを確認します。
次のURLのWebLogic Server管理コンソールにアクセスします。
http://oidhost1.mycompany.com:7001/console
次のURLのOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
http://oidhost1.mycompany.com:7001/em
weblogicユーザーの資格証明を使用して、これらのコンソールにログインします。
次の手順に従って、OIFHOST2にOracle Identity Federationの2つ目のインスタンスをインストールして、構成します。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。これらの要件は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に記載されています。このガイドは、プラットフォームおよびバージョンごとのOracle Fusion Middlewareドキュメンテーション・ライブラリにあります。
OIFHOST1では、Oracle Identity Federationによってポート7499が使用されています。OIFHOST2上のOracle Identity Federationインスタンスにも同じポートを使用する必要があります。ポート7499がOIFHOST2上のサービスによって使用されていないことを確認するために、次のコマンドを実行します。ポートが使用されていなければ、コマンドを実行しても何も出力されません。
UNIXの場合:
netstat -an | grep "7499"
Windowsの場合:
netstat -an | findstr :7499
ポートが使用されている(コマンドを実行するとポートを識別する戻り値が表示される)場合は、そのポートを解放する必要があります。
UNIXの場合:
ポート7499のエントリを/etc/servicesファイルから削除し、サービスを再起動するか、コンピュータを再起動します。
Windowsの場合:
ポートを使用しているコンポーネントを停止します。
staticports.iniファイルをDisk1/stage/Responseディレクトリから一時ディレクトリにコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のカスタム・ポート(Oracle Identity Federationのポート番号を指定する行は非コメント化)を割り当てます。
# The OIF Server Port OIF Server Port = 7499
次の手順に従って、Oracle Identity Management 11gのインストーラを起動します。
UNIXでは、コマンドrunInstallerを発行します。
Windowsでは、setup.exeをダブルクリックします。
runInstallerとsetup.exeの各ファイルは、../install/platformディレクトリにあります。このplatformとは、LinuxやWin32などのプラットフォームです。
「Oracleインベントリの指定」画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、「Oracleインベントリ・ディレクトリ」および「オペレーティング・システムのグループ名」に値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システムのグループ名: oinstall
次のメッセージのダイアログ・ボックスが表示されます。
「インストールを続行する前に、root権限で特定の処理を実行する必要があります。別のウィンドウで/u01/app/oraInventory/createCentralInventory.shスクリプトを実行してから、「OK」をクリックしてインストールを続行してください。root権限を持たずにインストールを続行する場合は「ローカル・インベントリでインストールを続行」オプションを選択してください。」
rootユーザーとしてログインして、/u01/app/oraInventory/createCentralInventory.shを実行します。
これにより、Oracleインベントリ・ディレクトリに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: すでにこのホストにOracle製品がインストールされている場合は、「Oracleインベントリ」画面は表示されません。このインストールで「Oracleインベントリ」画面が表示されない場合は、次の内容を確認してください。
|
「ようこそ」画面で「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択して「次へ」をクリックします。
「前提条件のチェック」画面で、インストーラによって前提条件のチェックが完了します。チェックに失敗した項目がある場合は、修正してインストールを再開します。
「次へ」をクリックします。
「ドメインの選択」画面で、「クラスタを開く」オプションを選択して、次の値を指定します。
ホスト名: OIFHOST1.MYCOMPANY.COM
ポート: 7001
ユーザー名: weblogic
パスワード: <weblogicユーザーのパスワード>
「次へ」をクリックします。
「インストール場所の指定」画面で、次の値を指定します。
Oracle Middlewareホームの場所:
/u01/app/oracle/product/fmw
Oracleホーム・ディレクトリ: oif
WebLogic Serverのディレクトリ:
/u01/app/oracle/product/fmw/wlserver_10.3
Oracleインスタンスの場所:
/u01/app/oracle/admin/oif_inst2
インスタンス名: oif_inst2
|
注意: OIFHOST1のOracleホームの場所を示すディレクトリ・パスが、OIFHOST2のOracleホームの場所を示すパスと同じであることを確認してください。たとえば、OIFHOST1のOracleホームの場所のディレクトリ・パスが/u01/app/oracle/product/fmw/oifである場合は、OIFHOST2のOracleホームの場所のディレクトリ・パスも/u01/app/oracle/product/fmw/oifである必要があります。 |
「次へ」をクリックします。
「Oracle Configuration Managerの詳細の指定」画面で、次の例で示すように値を指定します。
電子メール・アドレス: My Oracle Supportアカウントの電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウントのパスワードを指定します。
セキュリティ・アップデートをMy Oracle Support経由で受け取るフィールドの横のチェック・ボックスを選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、Oracle Identity Federationコンポーネントを除く全製品の選択を解除します。Oracle Identity Federationコンポーネントには、Oracle Identity FederationとOracle HTTP Serverが含まれています。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択した内容が正しいことを確認します。正しくない場合は「戻る」をクリックして前の画面に戻り、修正します。「インストール」をクリックします。
「インストールの進行状況」画面で、インストールの進行状況を確認します。
インストールが終了すると、oracleRoot.shの確認ダイアログ・ボックスが表示されます。このダイアログ・ボックスは、インストールを続行する前に構成スクリプトをrootユーザーとして実行する必要があることを示しています。このダイアログ・ボックスを開いたままにして、別のシェル・ウィンドウを開き、rootユーザーとしてログインして、次のスクリプト・ファイルを実行します。
/u01/app/oracle/product/fmw/oif/oracleRoot.sh
「構成の進行状況」画面で、構成の進行状況を確認します。
「インストール 完了」画面で、「終了」をクリックし、選択を確定して終了します。
前の項では、インストーラによってOIFHOST2に2つ目の管理対象サーバーwls_oif2が作成されました。ただし、OIFHOST2上にOracle Identity Federationアプリケーションがデプロイされていないため、新たに作成した管理対象サーバーは自動的に起動されません。また、WebLogic管理コンソールには、OIFHOST2上のwls_oif2管理対象サーバーの状態がUNKNOWNと表示されます。
この項のインストール後の手順に従って、OIFHOST2上のOracle Identity Federationアプリケーションのインストールと構成を完了します。
Oracle Identity Federationアプリケーションは、OIFHOST1上に外部的にステージングされたアプリケーションとしてデプロイされます。このアプリケーションは、OIFHOST1からOIFHOST2にコピーする必要があります。
次のようにOIFHOST1のOIFディレクトリを、
MW_HOME/user_projects/domains/OIFDomain/servers/wls_oif1/stage/OIF/11.1.1.1.0/OIF
OIFHOST2の次の場所にコピーします。
MW_HOME/user_projects/domains/OIFDomain/servers/wls_oif2/stage/OIF/11.1.1.1.0/
たとえば、OIFHOST1から、次のコマンドを実行します。
scp -rpMW_HOME/user_projects/domains/OIFDomain/servers/wls_oif1/stage/OIF/ 11.1.1.1.0/OIF user@OIFHOST2://MW_HOME/user_projects/domains/OIFDomain/servers/ wls_oif2/stage/OIF/11.1.1.1.0
次の手順に従って、クラスタ内でOIFHOST2上に新たに作成したwls_oif2管理対象サーバーを起動します。
WebLogic Server管理コンソールの左側のペインで、「環境」を開いて、「クラスタ」を選択します。
WebLogic Serverの起動と停止の詳細は、Oracle Fusion Middlewareの管理者ガイドの「Oracle Fusion Middlewareの起動と停止」を参照してください。
停止する管理対象サーバー(wls_oif2)が存在するクラスタ(cluster_oif)のリンクをクリックします。
「制御」を選択します。
「このクラスタの管理対象サーバーのインスタンス」で、起動する管理対象サーバー(wls_oif2)の横のチェック・ボックスを選択して「起動」をクリックします。
「クラスタ・ライフサイクル・アシスタント」ページで、「はい」をクリックして確定します。
ノード・マネージャによって、対象マシン上のサーバーが起動されます。ノード・マネージャによる起動シーケンスが終了すると、「サーバー状態」表の「状態」列にサーバーの状態が表示されます。
Oracle HTTP Serverは、OIFHOST1およびOIFHOST2上にOracle Identity Federationサーバーとともにインストールされます。次の手順に従って、Oracle HTTP Serverを構成します。
OIFHOST1で、INSTANCE_HOME/config/OHS/ohsName/moduleconfディレクトリにあるoif.confファイルを編集します。
アイデンティティ管理インストールがスタンドアロン・モードの場合は、Oracle Identity Federationが実行されているWebLogic Serverの管理対象サーバーが反映されるようにWebLogicHostおよびWebLogicPort変数を非コメント化して設定します(例: oifhost1.mycompany.comと7499)。
アイデンティティ管理インストールがクラスタ化ノード内にある場合は、Oracle Identity Federationが実行されているWebLogic Server管理対象サーバーが反映されるようにWebLogicCluster変数を非コメント化して設定します(例: oifhost1.mycompany.com:7499、oifhost2.mycompany.com:7499)。
oif.confファイルを保存して終了します。
Oracle HTTP Serverを再起動します。
Oracle Identity Federationは、外部ロード・バランサを使用して、高可用性構成にデプロイされたOracle Identity Federationノード間のリクエストをロード・バランシングします。
Oracle Identity Federationを高可用性構成でデプロイする場合は、Oracle Identity Federationサーバー・インスタンスのフロントエンドに外部ロード・バランサを使用し、様々なOracle Identity Federationインスタンス間のHTTPリクエストをロード・バランシングすることをお薦めします。
詳細は、第7.2.4.5項「ロード・バランサの仮想サーバー名とポートの構成」を参照してください。
高可用性環境では、ロード・バランサでスティッキー・セッションを有効化し、HTTPセッション・レプリケーションを無効化することをお薦めします。HTTPセッション・レプリケーションでは、ノード間でセッション情報がレプリケートされるため、メモリーを大量に消費しパフォーマンスの低下を招くおそれがあります。
HTTPセッション・レプリケーションは、デフォルトで有効化されていません。また、高可用性環境ではオフにする必要があります。次の手順に従って、Oracle Identity Federationアプリケーションが実行されているすべての管理対象サーバーでHTTPセッション・レプリケーションをオフにします。
テキスト・エディタで、次のファイルを開きます。
DOMAIN_HOME/servers/serverName/stage/OIF/11.1.1.1.0/OIF/web.war/WEB-INF/weblogic.xml
persistent-store-typeパラメータの値をreplicated_if_clusteredからmemoryに変更します。
weblogic.xmlファイルを保存します。
WebLogic Server管理対象サーバーを再起動します。
Oracle Identity Federationがデプロイされている各管理対象サーバーで、この手順を実行します。
Oracle Enterprise Manager Fusion Middleware Controlで、「管理」→「サーバー・プロパティ」に移動し、ホスト名とポートを変更してロード・バランサのホストとポートに反映します。
Oracle Enterprise Manager Fusion Middleware Controlで、「管理」→「アイデンティティ・プロバイダ」に移動し、URLをhttp://LoadBalancerHost:LoadBalancerPortに変更します。
Oracle Enterprise Manager Fusion Middleware Controlで、「管理」→「サービス・プロバイダ」に移動し、URLをhttp://LoadBalancerHost:LoadBalancerPortに変更します。
Oracle Identity Federationがデプロイされている各管理対象サーバーで、この手順を実行します。
この項では、高可用性構成のOracle Identity Federationを検証する方法について説明します。
正しく構成されていれば、Webブラウザで次のURLにアクセスできます。
http://<LoadBalancerHost>:<LoadBalancerPort>/fed/sp/metadata http://<LoadBalancerHost>:<LoadBalancerPort>/fed/idp/metadata
SPからIdPに、また、IdPメタデータをSPに、メタデータをインポートするには、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサーバー・メタデータの取得、および信頼できるプロバイダの追加に関する各項の手順を参照してください。
次のURLに移動して、シングル・サインオンの操作を実行します。
http://<SP_Host>:<SP_port>/fed/user/testspsso
Oracle Identity Federationは、デフォルトでは、高可用性構成にデプロイされたLDAPサーバーと統合するように構成されていません。Oracle Identity Federationを可用性の高いLDAPサーバーと統合して、ユーザー・データ・ストア、フェデレーション・データ・ストア、または認証エンジンとして機能させるには、LDAPサーバーの機能に基づいてOracle Identity Federationを構成する必要があります。
Oracle Identity FederationにWLSTスクリプト環境を入力してから、必要に応じて次のプロパティを設定します。
ユーザー・データ・ストアを可用性の高いLDAPサーバーと統合するには、datastoreグループのuserldaphaenabledブール型プロパティをtrueに設定します。統合しない場合はfalseに設定します。
setConfigProperty('datastore','userldaphaenabled', 'true', 'boolean')
フェデレーション・データ・ストアを可用性の高いLDAPサーバーと統合するには、datastoreグループのfedldaphaenabledブール型プロパティをtrueに設定します。統合しない場合はfalseに設定します。
setConfigProperty('datastore', 'fedldaphaenabled','true', 'boolean')
LDAP認証エンジンを可用性の高いLDAPサーバーと統合するには、authnenginesグループのldaphaenabledブール型プロパティをtrueに設定します。統合しない場合はfalseに設定します。
setConfigProperty('authnengines','ldaphaenabled', 'true', 'boolean')
この項では、高可用性環境にデプロイされたOracle Identity Federationインスタンスの様々なフェイルオーバー操作の実行手順と、予想される動作について説明します。この項の手順に従って、次の操作を実行します。
Oracle Identity Federationインスタンスのフェイルオーバー
Oracle Real Application Clustersのフェイルオーバー
次の手順に従って、Oracle Identity Federationインスタンスのフェイルオーバーのテストを実行し、Oracle Identity Federationのステータスを確認します。
|
注意: 次の手順で指定されているtestspsso URLは、Oracle Identity Federation 11gにバンドルされているTest SP SSOサービスです。テスト・サービスはデフォルトで有効化されていますが、管理者により無効にできます。本番環境では、Test SP SSOサービスを無効にできます。 Test SP SSOサービスが無効化されている場合は、SPからフェデレーションSSOフローを起動するように統合したサービスであればどのサービスでも使用できます。 |
フェデレーション・シングル・サインオン操作を実行できるように、Oracle Identity Federationを設定します。
サービス・プロバイダとして動作するOracle Identity Federationから、シングル・サインオン操作を開始します。これを実行する1つの方法として、http://<SPhost>:<SPport>/fed/user/testspsso URLを使用して、「アーティファクト」プロファイルを選択します。
IdPのログイン・ページで、「管理対象サーバー」ページからwls_oif1を停止し、ユーザー名とパスワードを入力します。
シングル・サインオン操作が正常に行われます。
次の手順に従って、RACのフェイルオーバーを実行します。
Oracle Identity Federationスキーマがインストールされているデータベース・ホストの1つ(infradbhost1-vip)で、srvctlコマンドを使用してデータベース・インスタンスを停止します。
srvctl stop instance -d db_unique_name -i inst_name_list
srvctlコマンドを使用して、データベース・インスタンスのステータスを確認します。
srvctl status database -d db_unique_name -v
Oracle Identity Federationの操作を実行します。
ORACLE_INSTANCE/bin/opmnctl status ias-component=oif1
srvctlコマンドを使用して、データベース・インスタンスを起動します。
srvctl start instance -d db_unique_name -i inst_name_list
次の情報は、Oracle Identity Federationに関する問題のトラブルシューティングに役立ちます。
Oracle Identity Federationのメッセージは、Oracle WebLogic Server管理対象サーバーのログ・ファイルに記録されます。たとえば、次のファイルがあります。
DOMAIN_HOME/servers/wls_oif1/logs/wls_oif1-diagnostic.log
ログ・ファイルを表示するには、Oracle Enterprise Manager Fusion Middleware Controlを使用して、「Identity and Access」→「OIF」→「ログ」→「ログ・メッセージの表示」を選択することをお薦めします。
Oracle Identity Federationで使用するデータベースに古い構成データがないことを確認します。古いデータが存在する場合、新しいデータで上書きされることがあります。Oracle Identity Federationがデータベースをポイントする前に、Oracle Identity Federation構成データベース表の古いデータを削除するか、スキーマを作成しなおします。
Oracle Identity Federationサーバー構成のホスト名とポートには、ロード・バランサのホストとポートを設定してください。このように設定しない場合、シングル・サインオン操作でエラーが発生します。
IdPとSPが実行されている各コンピュータのクロックの時間が異なると、シングル・サインオンの際にエラーが発生します。これを修正するには、同じ時間になるようにシステム・クロックの時間を設定するか、Oracle Enterprise Manager Fusion Middleware Controlの「サーバー・プロパティ」ページを使用してサーバー・ドリフトを調整します。
ProviderIdは、IdP/SPを一意に識別する文字列です。クラスタ内のすべてのサーバーのProviderIdを同じにする必要があります。インストール時のProviderIdのデフォルトは、host:port/fed/<sp|idp>です。必要に応じて、インストール後にこの値を変更または設定します。運用時には変更しないでください。
Oracle Identity Federationのトラブルシューティングの詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』を参照してください。
この項では、Oracle Internet Directory、Oracle Directory Integration Platform、Oracle Virtual Directory、およびOracle Directory Services Managerをコロケートの高可用性環境に設計し、デプロイする方法について説明します。これらのコンポーネントの概要は、このマニュアルの前の項に記載されています。
この項では、Oracle Internet Directory、Oracle Directory Integration Platform、Oracle Virtual Directory、およびOracle Directory Services Managerを高可用性構成にデプロイする場合のコロケート・アーキテクチャについて説明します。
この項で説明するコロケート・アーキテクチャにおける各コンポーネントのアーキテクチャの概要は、次の各項を参照してください。
Oracle Internet Directory: 第7.3.1項「Oracle Internet Directoryコンポーネント・アーキテクチャ」
Oracle Virtual Directory: 第7.4.1項「Oracle Virtual Directoryコンポーネント・アーキテクチャ」
Oracle Directory Integration Platform: 第7.5.1項「Oracle Directory Integration Platformコンポーネント・アーキテクチャ」
Oracle Directory Services Manager: 第7.6.1項「Oracle Directory Services Managerコンポーネント・アーキテクチャ」
図7-12では、Oracle Internet Directory、Oracle Directory Integration Platform、Oracle Virtual Directory、およびOracle Directory Services Managerが、単一ホストにコロケートされおり、非高可用性アーキテクチャにデプロイされています。
図7-12のコンポーネントはすべて、同一ホストにデプロイされていますが、それぞれ個別のOracleホームとOracleインスタンスを持ちます。Oracle Internet Directoryは、セキュリティ・メタデータ・リポジトリとして、スタンドアロンのOracleデータベースを使用します。
図7-13では、Oracle Internet Directory、Oracle Virtual Directory、Oracle Directory Integration Platform、およびOracle Directory Services Managerが、IDMHOST1とIDMHOST2にコロケートされており、高可用性アーキテクチャでデプロイされています。
この項で説明するコロケート・アーキテクチャにおける各コンポーネントの前提条件については、次の各項を参照してください。
Oracle Internet Directory: 第7.3.2.3項「Oracle Internet Directoryの前提条件」
Oracle Virtual Directory: 第7.4.2.2項「Oracle Virtual Directoryの前提条件」
Oracle Directory Integration Platform: 第7.5.2.3項「Oracle Directory Integration Platformの前提条件」
Oracle Directory Services Manager: 第7.6.2.3項「Oracle Directory Services Managerの前提条件」
Oracle Identity Federation: 第7.7.2.3項「Oracle Identity Federationの前提条件」
この項では、IDMHOST1とIDMHOST2にOracle Internet Directory、Oracle Directory Integration Platform、Oracle Virtual Directory、およびOracle Directory Services Managerを高可用性アーキテクチャでインストールし、構成する手順を説明します。
|
注意: コロケート環境では、Oracle Identity Managementの各コンポーネントを個別のOracleホームにインストールする必要があります。これらのコンポーネントは同じMW_HOMEを共有できます。各コンポーネントで、1つ目のインスタンスのOracleホームの場所のディレクトリ・パスが、2つ目のインスタンスのOracleホームの場所のディレクトリ・パスと同じであることを確認します。 たとえば、OIDHOST1の1つ目のOracle Internet DirectoryインスタンスのOracleホームの場所のディレクトリ・パスが |
データベースをインストールします。詳細は、第7.2.2項「データベース・リポジトリのインストールと構成」を参照してください。
RCUをインストールします。詳細は、第7.2.3項「リポジトリ作成ユーティリティ・ソフトウェアのインストール」を参照してください。
データベースを構成します。詳細は、第7.2.4項「Oracle Fusion Middleware 11gメタデータのデータベースの構成」を参照してください。
RCUを実行して、Oracle Internet DirectoryとOracle Identity Federationに必要なスキーマをインストールします。詳細は、第7.3.2.3.2項「RCUを使用したリポジトリへのOracle Internet Directoryスキーマの作成」と第7.7.2.3.1項「RCUを使用したリポジトリへのOracle Identity Federationスキーマの作成」を参照してください。
1つ目のホストで、Oracle Internet Directoryのインストールと構成を行います。詳細は、第7.3.3.1.1項「OIDHOST1へのOracle Internet Directoryのインストール」または第7.3.3.2.2項「OIDHOST1へのOracle Internet Directoryのインストール」を参照してください。
2つ目のホストで、Oracle Internet Directoryのインストールと構成を行います。詳細は、第7.3.3.1.3項「OIDHOST2へのOracle Internet Directoryのインストール」または第7.3.3.2.4項「OIDHOST2へのOracle Internet Directoryのインストール」を参照してください。
1つ目のホストでOracle Virtual Directoryのインストールと構成を行います。詳細は、第7.4.3.1.1項「OVDHOST1へのOracle Virtual Directoryのインストール」または第7.4.3.2.2項「最初のOracle Virtual Directoryのインストール」を参照してください。
2つ目のホストで、Oracle Virtual Directoryのインストールと構成を行います。詳細は、第7.4.3.1.2項「OVDHOST2へのOracle Virtual Directoryのインストール」または第7.4.3.2.4項「追加のOracle Virtual Directoryのインストール」を参照してください。
1つ目のホストで、Oracle Directory Integration PlatformとOracle Directory Services Managerのインストールと構成を行います。詳細は、第7.5.3.2項「IDMHOST1へのOracle Directory Integration PlatformとOracle Directory Services Managerのインストールと構成」を参照してください。
2つ目のホストで、Oracle Directory Integration PlatformとOracle Directory Services Managerのインストールと構成を行います。詳細は、第7.5.3.4項「IDMHOST2へのOracle Directory Integration PlatformとOracle Directory Services Managerのインストールと構成」を参照してください。
高可用性アーキテクチャにコロケートされたコンポーネントの検証、およびこれらのコンポーネントとRACをフェイルオーバーする方法の詳細は、次の各項を参照してください。
高可用性アーキテクチャにコロケートされた次のコンポーネントの検証については、次の各項を参照してください。
Oracle Internet Directory: 第7.3.4項「Oracle Internet Directoryの高可用性の検証」
Oracle Virtual Directory: 第7.4.4項「Oracle Virtual Directoryの高可用性の検証」
Oracle Directory Integration Platform: 第7.6.4項「Oracle Directory Services Managerの高可用性の検証」
Oracle Directory Services Manager: 第7.6.4項「Oracle Directory Services Managerの高可用性の検証」
Oracle Identity Federation: 第7.7.3.7項「Oracle Identity Federationの高可用性の検証」
高可用性アーキテクチャにコロケートされた次のコンポーネントの障害および予想される動作の詳細は、次の各項を参照してください。
Oracle Internet Directory: 第7.3.5項「Oracle Internet Directoryのフェイルオーバーおよび予想される動作」
Oracle Virtual Directory: 第7.4.5項「Oracle Virtual Directoryのフェイルオーバーおよび予想される動作」
Oracle Directory Integration Platform: 第7.5.4項「Oracle Directory Integration Platformのフェイルオーバーおよび予想される動作」
Oracle Directory Services Manager: 第7.6.5項「Oracle Directory Services Managerのフェイルオーバーおよび予想される動作」
Oracle Identity Federation: 第7.7.4項「Oracle Identity Federationのフェイルオーバーおよび予想される動作」
高可用性アーキテクチャにコロケートされた次のコンポーネントのトラブルシューティングについては、次の各項を参照してください。
Oracle Internet Directory: 第7.3.6項「Oracle Internet Directoryの高可用性のトラブルシューティング」
Oracle Virtual Directory: 第7.4.6項「Oracle Virtual Directoryの高可用性のトラブルシューティング」
Oracle Directory Integration Platform: 第7.5.5項「Oracle Directory Integration Platformの高可用性のトラブルシューティング」
Oracle Directory Services Manager: 第7.6.6項「Oracle Directory Services Managerのトラブルシューティング」
Oracle Identity Federation: 第7.7.5項「Oracle Identity Federationの高可用性のトラブルシューティング」
高可用性アーキテクチャにコロケートされた次のコンポーネントのその他の考慮事項については、次の各項を参照してください。
Oracle Internet Directory: 第7.3.7項「Oracle Internet Directoryの高可用性に関するその他の問題」
Oracle Directory Services Manager: 第7.6.7項「Oracle Directory Services Managerの高可用性に関するその他の考慮事項」
