Oracle SOA Suite WebLogic Serverのためのインストレーション・ガイド 10g リリース3(10.1.3.4)for UNIX Systems and Microsoft Windows B52441-02 |
|
戻る |
次へ |
この項の構成手順はオプションです。必要な場合のみ実行してください。
この項では、WebLogic Server 9.2に対して、外部LDAPストアを使用してアプリケーション・セキュリティを設定する手順を説明します。
手順1: 認証プロバイダの作成
weblogic
をユーザー名およびパスワードとして使用して、http://localhost:8001/consoleにログインします。
「Security Realms」→「myrealm」→「Providers」→「Authentication」をクリックします。
「Change Centre」ペインの「Lock & Edit」ボタンをクリックして、ページ上のすべてのボタンをアクティブにします。
「New」をクリックして新しい認証プロバイダ(たとえばLDAP Authenticator)を作成します。「Create a New Authentication Provider」ページが表示されます。
「Name」フィールドに認証プロバイダの名前(たとえばLDAP_1)を入力し、「Type」ドロップダウン・リストで「LDAPAuthenticator」を選択します。
「OK」をクリックします。「Authentication Providers」表に作成したLDAPプロバイダの名前が表示されます。
手順2: WebLogic ServerでのLDAPの構成
WebLogic Serverでは、特にサポートまたは動作を保証しているLDAPサーバーはありません。LDAP v2またはv3準拠のLDAPサーバーであれば、WebLogic Serverとともに使用できます。WebLogic Serverのこのリリース(v9.2)では、LDAP認証プロバイダはSunONE(iPlanet)、Active Directory、Open LDAPおよびNovell NDSのLDAPサーバーと動作するよう構成されています。
LDAP認証プロバイダを使用して、他のタイプのLDAPサーバーにアクセスできます。LDAP認証プロバイダ(LDAPAuthenticator)または新しいLDAPサーバーに最も似ている既存のLDAPプロバイダを選択し、使用するLDAPサーバーのディレクトリ・スキーマやその他の属性に一致するように既存の構成をカスタマイズします。サーバーには次の認証プロバイダが付属しており、様々なLDAPサーバーの構成を補助します。
iPlanet認証プロバイダ
Active Directory認証プロバイダ
Open LDAP認証プロバイダ
Novell認証プロバイダ
汎用LDAP認証プロバイダ
LDAP認証プロバイダを選択した場合、すべてのLDAP認証プロバイダには次の属性があります。
LDAPサーバーとLDAP認証プロバイダ間の通信の有効化。デプロイをさらに保護するために、BEAではSSLプロトコルを使用してLDAPサーバーとWebLogic Server間の通信を保護することをお薦めします。LDAPサーバーでSSLが有効な場合のみ、SSLEnabled属性でSSLを有効化します。これはHostnameおよびPort(デフォルト: 389)属性によって参照されます。
LDAP認証プロバイダによるLDAPディレクトリの検索方法を制御するオプションの構成。これはUser name属性およびStatic Group User name属性によって参照されます。
LDAPディレクトリ構造内でのユーザーの格納場所の指定。これはUser Base DN(Distinguished Name)属性によって参照されます。
LDAPディレクトリ構造内でのグループの格納場所の指定。これはGroup Base DN属性によって参照されます。
グループのメンバーの位置の定義。
次の手順を実行してWebLogic ServerでLDAPを構成します。
Administration Consoleを使用してLDAP認証プロバイダのプロバイダ固有の属性を編集します。
weblogic
をユーザー名およびパスワードとして使用して、http://localhost:8001/consoleにログインします。
「Security Realms」→「myrealm」→「Providers」→「LDAP_1」をクリックします。「Settings of LDAP_1」ページが表示されます。
「Provider Specific」をクリックします。
「Change Centre」ペインの「Lock & Edit」ボタンをクリックして、ページ上のすべてのボタンをアクティブにします。
「Provider Specific」ページの必須属性を編集します。
「Save」をクリックします。
LDAPサーバーのキャッシュを制御するパフォーマンス・オプションを編集します。
「Performance」タブをクリックします。
「Max Group Hierarchies in Cache」を編集します。キャッシングが有効な場合に、グループ・メンバーシップ階層を保持するLRUキャッシュの最大サイズです。デフォルトは100です。
「Group Hierarchy Cache TTL」を編集します。LRUキャッシュ内で、グループ・メンバーシップ階層エントリが有効である最大秒数です。デフォルトは60です。
「Save」をクリックします。
フェイルオーバー
LDAPプロバイダを複数のLDAPサーバーと使用して、1つのLDAPサーバーが使用不可になった場合にフェイルオーバーを可能にするよう構成できます。フェイルオーバーを有効にするには、「security_realm」→「Providers」→「provider_specific」ページのHost属性を変更してホスト名およびポートのリストを含めます。たとえば、hostname1:389, hostname2:389のようになります。フェイルオーバーの使用時には、LDAP認証プロバイダ用にParallel Connect DelayおよびConnect Timeout属性を設定する必要があります。
Parallel Connect Delay: 複数のサーバーに接続する際の同時試行を、何秒遅延するかを指定します。リストで最初のサーバーへの接続が試行されます。現在のホストへの接続が失敗した場合のみ、リストの次のエントリへの接続が試みられます。ホストが停止している場合、この設定によってアプリケーションが非常に長時間ブロックされる可能性があります。値が0よりも大きい場合、指定された遅延秒数の経過後、別の接続設定スレッドが開始されます。値が0の場合、接続の試行はシリアル化されます。
Connection Timeout: LDAPサーバーへの接続を確立するまでの最大待機時間を秒単位で指定します。値が0の場合、最大時間制限はなく、WebLogic ServerはTCP/IP層がタイムアウトになって接続の失敗を返すまで待機します。TCP/IPの構成によっては、60秒より大きい値を設定します。
注意: LDAP認証プロバイダの作成後、次の変更を実行してSOADomainで稼働しているサーバーを再起動してください。
LDAPサーバーのユーザーは、LDAPディレクトリのSoaGroupグループ内に含まれている必要があります(LDAPディレクトリ内にSoaGroupグループを作成し、必要なユーザーをすべてこのグループに追加します。そうでない場合、LDAPユーザーはSOADomain内のアプリケーションにアクセスできません)。
詳細は、http://e-docs.bea.com/wls/docs92/secmanage/atn.html#wp1198953を参照してください。 |
デプロイ済のESBサービスのシステム情報が次のようになっていることを確認します。
Virtual Host
: ESBデザインタイム・インスタンスのホスト名
Port
: ESBデザインタイム・インスタンスのポート番号
Topic Location
: ESB_JAVA_DEFERRED
「Connection Factory Location」パラメータの値は、WebLogic 9.2対応のESBでは重要ではありません。これは、ESBはデフォルトではAQメッセージングを使用し、AQ JMS APIを使用してAQメッセージング・トピックに接続するためです。
デフォルトでは、WebLogic 9.2対応のESBは、メタデータ・リポジトリとしてデータベース・ベースのスライドを使用するように構成されます。ファイル・ベースのスライド・リポジトリを使用するようにWebLogic 9.2対応のESBを構成するには、次の手順を実行します。
<SOA_HOME>/integration/esb/config
ディレクトリのDomain_file.xml
の名前をDomain.xml
に変更します。
<SOASuite 10.1.3.1インストール・パック>\install\soa_schema\irca\irca oraesb
ディレクトリからORAESB
スキーマのIRCAを再実行します。
ORAESB
スキーマに対して<SOASuite 10.1.3.4パッチセット・インストール・パック>\install\soa_schema_upgrade\esb\sql\oracle\upgrade_10131_10134_oracle.sql
スクリプトを実行して、10.1.3.4にアップグレードします。
Weblogic_SOA10134_Base/ESB_data.aq.sql
ファイルを編集し、次の値を更新します。
ESB_PARAMETER
プロパティ
DT_OC4J_HOST
DT_OC4J_PORT
ORAESB
スキーマに対して次のスクリプトを実行して、WebLogic Server用に変更します。
Weblogic_SOA10134_Base/ESB_data.aq.sql
Human WorkFlow APIを呼び出すクライアントは、クライアント側に次の追加のシステム・プロパティを含める必要があります。
-Djavax.xml.parsers.DocumentBuilderFactory=oracle.xml.jaxp.JXDocumentBuilderFactory -Djavax.xml.parsers.SAXParserFactory=oracle.xml.jaxp.JXSAXParserFactory -Djavax.xml.transform.TransformerFactory=oracle.xml.jaxp.JXSAXTransformerFactory -Djavax.xml.soap.MessageFactory=oracle.j2ee.ws.saaj.soap.MessageFactoryImpl -Djavax.xml.soap.SOAPFactory=oracle.j2ee.ws.saaj.soap.SOAPFactoryImpl -Djavax.xml.soap.SOAPConnectionFactory=oracle.j2ee.ws.saaj.client.p2p.HttpSOAPConnectionFactory -Djavax.xml.soap.SOAPElementFactory=oracle.j2ee.ws.saaj.soap.SOAPFactoryImpl
デフォルト・インストールのアイデンティティ・サービスは、OC4J上のSOA Suiteデプロイと同じモデルを利用して、Jazn.com
レルムからユーザーを取得します。これは、SOA_HOME/bpel/system/services/config/is_config.xml
ファイルを構成することで変更できます。詳細は、
http://download.oracle.com/docs/cd/B31017_01/integrate.1013/b28982/service_config.htm
を参照してください。また、外部LDAPプロバイダに接続するには、SOA_HOME/bpel/system/services/config/ldap
で提供されているis_config.xml
サンプル・ファイルを参照してください。