この章では、アクセス・サーバーをインストールする方法について説明します。アクセス・サーバーは、2番目にインストールする必要があるアクセス・システム・コンポーネントです。次の項目を参照してください。
アクセス・サーバーは、WebベースとWeb以外の両方のリソースおよびアプリケーションに動的なポリシー評価サービスを提供するスタンドアロン・コンポーネントです。アクセス・サーバーは、アクセス・クライアント(WebGateまたはカスタムAccessGate)からリクエストを受信し、LDAPディレクトリに認証、認可および監査ルールを問い合せ、資格証明の検証、ユーザーの認可およびOracle Access Managerのユーザー・セッションの管理を行います。詳細は、『Oracle Access Manager概要』を参照してください。
アクセス・サーバーをインストールする前に、アクセス・システム・コンソールでアクセス・サーバー用のインスタンスを作成する必要があります。
タスクの概要: インスタンスの追加およびアクセス・サーバーのインストール
「システム・コンソールでのアクセス・サーバー・インスタンスの作成」で説明されているように、アクセス・システム・コンソールでアクセス・サーバー・インスタンスを作成します。
「アクセス・サーバーのインストール」で説明されているように、アクセス・サーバーをインストールします。
必要に応じて、「複数のアクセス・サーバーのインストールの概要」で説明されているように、追加のアクセス・サーバーをインストールします。
「アップグレードした環境への10.1.4アクセス・サーバーのインストール」で説明されているように、アップグレードした環境に新規アクセス・サーバーを追加し、globalparams.xmlファイルに適切なパラメータを手動で設定して、以前のプラグインとの下位互換性を確認します。
アクセス・サーバーのインストールは、アイデンティティ・サーバーのインストールと類似しています。このインストール中に、ディレクトリ・サーバー詳細を指定します。デフォルトのディレクトリ・プロファイルが、このアクセス・サーバーについて作成されます。デフォルトのプロファイルは、アクセス・サーバー・インスタンスの作成後に使用可能になります。完了したプロファイルは、インストール後に使用可能になります。アクセス・サーバーのインストールにWebサーバーは関係しません。
アクセス・サーバーには、次の2つのインストール・パッケージが用意されています。
Windows: Oracle_Access_Manager10_1_4_3_0_win32_Access_Server
UNIX: Oracle_Access_Manager10_1_4_3_0_sparc-s2_Access_Server
また、プラットフォーム固有のパッケージが使用可能であり、選択したプラットフォームまたはインストール・モードに関係なく、インストールは類似しています。情報は特定の時点で保存されます。アクセス・サーバーがインストールされていることが通知された後でインストールを取り消す場合は、「以前のリリースのアップグレード」で説明されているように、コンポーネントをアンインストールする必要があります。通告はすべて確認されますが、使用中の環境に該当しない場合はスキップされることがあります。
詳細は、「アクセス・サーバーのガイドライン」を参照してください。
フェイルオーバーおよびロード・バランシングに備えて、複数のアクセス・サーバーをインストールすることをお薦めします。これを実行する手順は、1つのアクセス・サーバーをインストールする手順と類似しています。
「システム・コンソールでのアクセス・サーバー・インスタンスの作成」で説明されているように、アクセス・システム・コンソールで各アクセス・サーバーのインスタンスを作成します。
注意: 同一のディレクトリに複数のアクセス・サーバーをインストールしないでください。 |
「アクセス・サーバーのインストール」で説明されているように、アクセス・サーバーをインストールし、アクセス・サーバーごとに異なるインストール・ディレクトリを指定します。
「コンポーネントのレプリケート」で説明されているように、オプション・ファイルを使用して既存のインストールをレプリケートできます。
「WebGateのインストール」で説明されているように、1つ以上のAccessGate/WebGateをインストールし、それらにアクセス・サーバーをプライマリ・アクセス・サーバーまたはセカンダリ・アクセス・サーバーとして割り当てます。
これらの機能を有効化する方法の詳細な指示は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
10.1.4アクセス・サーバーはUTF-8エンコーディングを使用し、プラグイン・データにはUTF-8データが含まれます。以前のプラグインは、Latin-1エンコーディングでデータを送受信します。
10.1.4よりも前のリリースでは、Cookieの暗号化および復号化はWebGate/AccessGateによって処理されました。ただし、現在はCookieの暗号化および復号化はアクセス・サーバーによって処理されます。
新しくインストールされた10.1.4アクセス・サーバーでは、以前のWebGateとの下位互換性は自動的に提供されません。以前のWebGateがあるアップグレードした環境で10.1.4アクセス・サーバーをインストールする場合、以前のカスタム認証および認可プラグインへのLatin-1エンコーディングでのデータの送信(および受信)を継続できるようにアクセス・サーバーを有効化する必要があります(以前のカスタム・プラグインは、Latin-1エンコーディングでデータを設定します)。また、アクセス・サーバーは、Cookieの暗号化および復号化を継続する、以前のWebGateおよびカスタムAccessGateとの下位互換性を維持する必要があります。下位互換性を実現するには、次の手順に従ってインストールしてから、アクセス・サーバーのglobalparams.xmlファイルでパラメータ"IsBackwardCompatible" Value="true"
を手動で変更します。
注意: アップグレードした環境に10g(10.1.4.3)アクセス・サーバーを追加する前に、すべてのOracle Access Managerコンポーネントがリリース10g(10.1.4.3)であることを確認してください。アクセス・サーバーで下位互換性が有効化されている場合、以前のWebGateを共存できます。 |
すべてのプラグインおよびWebGateが正常にアップグレードされ、下位互換性が不要になった場合、すべてのアクセス・サーバーのglobalparams.xmlファイルで"IsBackwardCompatible" Value="false"
を手動で設定することをお薦めします。詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。
アップグレードした環境への10.1.4アクセス・サーバーの追加の手順
『Oracle Access Managerアップグレード・ガイド』で説明されているように、環境をアップグレードします。
「複数のアクセス・サーバーのインストールの概要」で詳細を確認します。
「システム・コンソールでのアクセス・サーバー・インスタンスの作成」のアクティビティを実行します。
「アクセス・サーバーのインストール」で説明されているように、新規アクセス・サーバーを追加します。
AccessServer_install_dir\access\oblix\apps\common\bin\globalparams.xmlにある新規アクセス・サーバーのglobalparams.xmlファイルを検索して開きます。
"IsBackwardCompatible" Value="true"
を設定します。次に例を示します。
<SimpleList <NameValPair ParamName="IsBackwardCompatible" Value="true"> </NameValPair> </SimpleList>
ファイルを保存します。
アクセス・サーバー・サービスを再起動します。
以前のプラグインおよびWebGateに下位互換性が必要であるかぎり、アップグレードした環境に追加する新規アクセス・サーバーごとに繰り返します。
アクセス・サーバーのインストールを開始する前に、表8-1のタスクを完了していることを確認してください。すべての前提条件を満たさない場合、Oracle Access Managerインストールに悪影響を及ぼすことがあります。
チェックリスト | アクセス・サーバーの前提条件 |
---|---|
第I部「インストールの計画と前提条件」で説明されている、ユーザーの環境に適用される前提条件および要件がすべて満たされていることを確認する。 |
|
第II部「アイデンティティ・システムのインストールおよび設定」のアクティビティをすべて完了する。 |
|
第7章「ポリシー・マネージャのインストール」で説明されているように、ポリシー・マネージャをインストールおよび設定し、ポリシー・マネージャが動作していることを確認する。 |
アクセス・サーバーをインストールする前に、ポリシー・マネージャおよびアクセス・システム・コンソールでアクセス・サーバー用のインスタンスを作成する必要があります。これは、マスター管理者、または定義されている場合はマスター・アクセス管理者が実行できます。
インスタンスを作成するときに指定するアクセス・サーバーIDは一意である必要があり、スペース、コロン(:)、番号記号(#)または英語以外のキーボードの文字は使用できません。Windowsシステムでは、このアクセス・サーバーIDはNetPoint AAA Serverを接頭辞として持つWindowsサービス名として使用されます。
アクセス・システム・コンソールにログインします。次に例を示します。
http://hostname:port/access/oblix
ここで、hostnameはWebサーバーをホストするコンピュータ、portはWebPassのWebサーバー・インスタンスのHTTPポート番号をそれぞれ指し、/access/oblixはアクセス・システム・コンソールに接続します。
アクセス・システムのメイン・ページが表示されます。
「アクセス・システム・コンソール」リンクをクリックしてから、マスター管理者でログインします。
アクセス・システム・コンソールのメイン・ページには、3つのタブが上部にあり、機能の説明が中央にあります。
「アクセス・システム構成」タブをクリックし、サイド・ナビゲーション・バーが表示されたら「アクセス・サーバー構成」をクリックします。
これが最初のアクセス・サーバーの場合、ディレクトリ・サーバー内にアクセス・サーバーが検索されなかったことがメイン・ページから通知されます。それ以外の場合は、すでに追加されているアクセス・サーバーが表示されます。
「追加」ボタンをクリックすると、「新規アクセス・サーバーの追加」ページがいくつかのデフォルトとともに表示されます。
インスタンスを作成するには、基本情報の入力のみが必要です。インストール後に、『Oracle Access Managerアクセス管理ガイド』で説明されているように、追加の構成を完了できます。オンライン・ヘルプも提供されます。
インストールするアクセス・サーバーについて、次のパラメータを指定します。次に例を示します。
名前: このディレクトリ・サーバーですでに使用されている他のアクセス・サーバーとは異なるアクセス・サーバーを説明する名前。名前に、スペース、コロン(:)または番号記号(#)を使用しないでください。
ホスト名: アクセス・サーバーがインストールされるコンピュータの名前。アクセス・サーバーにはWebサーバー・インスタンスは必要ありません。
ポート: アクセス・サーバーがリスニングするポート。
トランスポート・セキュリティ: すべてのアクセス・サーバーおよび関連WebGate間のトランスポート・セキュリティは一致している必要があります(すべてオープン、シンプルまたは証明書モード)。
「保存」をクリックします。
すべてのアクセス・サーバーのリスト・ページが、このインスタンスへのリンクとともに表示されます。
アクセス・サーバー・インスタンスへのリンクをクリックし、後で参照するために「詳細」ページを印刷して、ページの最下部にある「戻る」ボタンをクリックします。
「ログアウト」をクリックし、ブラウザ・ウィンドウを閉じて、「アクセス・サーバーのインストール」に進みます。
アクセス・サーバーをインストールしながら、記入済のインストール準備ワークシートを参照します。アクセス・サーバーごとに、次の手順を完了する必要があります。
タスクの概要: アクセス・サーバーのインストールに含まれる手順
「インストールの開始」で説明されているように、インストール・メソッドを選択してプロセスを開始します。
「トランスポート・セキュリティ・モードの指定」で説明されているように、トランスポート・セキュリティ・モードを定義します。
「ディレクトリ・サーバー詳細および通信詳細の指定」で説明されているように、ディレクトリ・サーバー詳細を識別します。
「アクセス・サーバーのインストールの終了」で説明されているように、プロセスを完了します。
アクセス・サーバーのインストール手順は、他のOracle Access Managerコンポーネントで実行したインストール手順と類似しています。
注意: ポリシー・マネージャと同じディレクトリにアクセス・サーバーをインストールしないでください。同一のディレクトリに複数のアクセス・サーバーをインストールしないでください。 |
管理者権限を持つユーザーとしてログインします。
アクセス・サーバー・インストーラ(インストールするアクセス・システム言語パックを含む)を検索します。
選択したプラットフォームおよびインストール・メソッドのアクセス・サーバー・インストーラを起動します。
次に例を示します。
「次へ」をクリックして、「ようこそ」画面を閉じます。
プラットフォームに基づいて管理者権限に関する質問に応答します。次に例を示します。
インストール・ディレクトリを指定してから、「次へ」をクリックします。
次に例を示します。
\OracleAccessManager
言語パック: インストールするデフォルト・ロケールおよび他のロケールを選択してから、「次へ」をクリックします。
インストール・ディレクトリ名を記録してから、「次へ」をクリックします。
数秒後、アクセス・サーバーがインストールされます。Windowsシステムの場合、Microsoft管理インタフェースが構成されるという通知が表示されます。
トランスポート・セキュリティ・モードを指定するよう求められます。
すべてのアクセス・システム・コンポーネント(ポリシー・マネージャ、アクセス・サーバーおよび関連WebGate)間のトランスポート・セキュリティは一致している必要があります(すべてオープン、シンプルまたは証明書モード)。
トランスポート・セキュリティ・モード(「オープン」、「シンプル」または「証明書」)を選択します。
「次へ」をクリックします。
トランスポート・セキュリティの選択に関係なく、次にディレクトリ・サーバー詳細を指定するよう求められます。
ここでは、ユーザーの環境、Oracle Access Managerの構成およびポリシー・データのディレクトリ・サーバーの詳細を指定するよう求められます。Oracle Access Managerは、ディレクトリ・サーバーに構成エントリを追加します。
構成データのディレクトリ・サーバーについてリクエストされた情報を指定し、「次へ」をクリックします。
「オープン」または「SSL」
ホスト・コンピュータ: 構成データのディレクトリ・サーバーのDNSホスト名
ポート番号: 構成データのディレクトリ・サーバーがリスニングするポート(SSL接続の場合、暗号化ポートを指定)
ルートDN: 構成データのディレクトリ・サーバーのバインドDN
ルート・パスワード: 構成データのディレクトリ・サーバーのバインドDNパスワード
構成ディレクトリ: Oracle Access Manager構成データのディレクトリ・サーバーのタイプ。次に例を示します。
Sun
SSLのみ: SSL証明書のパスを入力します。
Oracle Access Managerポリシー・データの格納場所を指定する必要があります。Oracle Access Manager構成データと一緒に格納するか、個別のディレクトリ・サーバーに格納します。詳細は、「データ記憶域の要件」を参照してください。
Oracle Access Managerのポリシー・データの格納場所を指定します。次に例を示します。
構成ディレクトリ
注意: ポリシー・データを個別に格納する場合、ポリシー・データのディレクトリ・サーバーの情報を指定する必要があります。構成DNおよびポリシー・ベースは一意である必要があります。「データ記憶域の要件」を参照してください。 |
ここで、アクセス・システム・コンソールで指定したアクセス・サーバー・インスタンスIDと、構成DNおよびポリシー・ベースを指定するよう求められます。
リクエストされた詳細を入力してから、「次へ」をクリックします。次に例を示します。
以前に選択したトランスポート・セキュリティ・モードに従って、次の操作を実行します。
オープン: 「アクセス・サーバーのインストールの終了」にスキップします。
シンプル: 手順6に進みます。
証明書: 証明書をリクエストするかインストールするかを指定し、「次へ」をクリックしてから、手順6に進みます。
「パスフレーズ」を指定および確認し、パスワードをファイルに格納するよう求められたら「はい」(または「いいえ」)をクリックして、「次へ」をクリックします。
注意: Windowsで「いいえ」を選択した場合、アクセス・サーバーを起動するたびにPEM句を求められます。UNIXで「いいえ」を選択した場合、start_access_serverスクリプトを起動するたびに、-Pオプションを使用してパスワードを渡す必要があります。 |
シンプル: 「アクセス・サーバーのインストールの終了」にスキップします。
証明書: 証明書リクエストおよびインストール手順を完了し、「アクセス・サーバーのインストールの終了」に進みます。
注意: 証明書をリクエストして、このインストール中に準備されなかった場合は、証明書を\AccessServer_install_dir\access\oblix\configディレクトリにコピーしてアクセス・サーバーを再起動するまでは、アクセス・サーバーを使用できません。 |
アクセス・サーバーが構成中であることが通知され、次にREADMEの情報が表示されます。
次のアクティビティを実行してインストールを終了します。これにより、アクセス・サーバーが正常にインストールされ動作することを確認できます。READMEの情報には、ドキュメントおよびオラクル社の連絡先に関する詳細が記載されています。
注意: アクセス・サーバーは、デフォルトで自動的に起動します。Windowsプラットフォームの場合、アクセス・システム・コンソールで指定したアクセス・サーバーIDが、サービス名(Oracle Access Manager接頭辞を含む)として使用されます。 |
READMEの情報を確認してから、「次へ」をクリックして終了します。
インストールが完了し、アクセス・サーバーを起動する必要があることが通知されます。
「終了」をクリックして、手順を完了します。
アクセス・サーバーを起動する必要があります。これによって、アクセス・サーバーのインストールが成功したことが確認され、WebGateのインストールが準備されます。
アクセス・サーバーが正常にインストールされ動作することを確認するために、アクセス・サーバー・サービスを起動します。
Windows: Windowsの「サービス」ウィンドウを開き、アクセス・サーバー・サービスが起動していることを確認します(Windowsシステムでは自動的に起動します)。
UNIX: /AccessServer_install_dir/access/oblix/apps/common/binディレクトリに移動し、./start_access_serverを実行します。
注意: パスワード・ファイルを使用しないインストールの場合、アクセス・サーバーをローカルで起動する必要があります。これを(NetMeetingなどの端末エミュレータやWindows 2000のリモート・サービス再起動によって)リモートで行おうとすると、失敗します。 |
次の作業は、ユーザーの環境によって異なります。
この章で説明されているように、アクセス・サーバーを追加します。
「ADSIの設定(オプション)」で説明されているように、ADSIを設定します。
第9章「WebGateのインストール」で説明されているように、WebGateをインストールします。