この章では、WebGateのインストール方法およびWebGateを構成してWebサーバーと連動させる方法について説明します。ここでは、次の項目について説明します。
WebGateは、Oracle Access Managerに同梱された、すぐに使用可能なWebサーバー・プラグインです。WebGateは、WebリソースのユーザーからのHTTPリクエストを捕捉して、これらを認証および認可するためのアクセス・サーバーに転送します。WebGateインストール・パッケージは、メディア上、およびコア・コンポーネントから分離された仮想メディア上にあります。詳細は、「最新のインストーラ、パッチ・セット、バンドル・パッチおよび動作保証されたエージェントの入手」を参照してください。
WebGateをインストールする前に、WebGateをアクセス・サーバーに関連付ける必要があります。
タスクの概要: インスタンスの追加およびWebGateのインストール
「WebGateインスタンスの作成」で説明されているように、インスタンスを作成します。
「WebGateおよびアクセス・サーバーの関連付け」で説明されているように、インスタンスを関連付けます。
「WebGateのインストール」で説明されているように、WebGateをインストールします。
必要に応じて、次のタスクを実行します。
Webサーバーの手動構成(インストール時に自動的に構成されなかった場合)
第19章の「IISでのWebGateのインストールの完了」(必要な場合)
最後に行う適切な手順として、「WebGateのインストールの確認」を完了します。
WebGateのインストールは、WebPassのインストールと類似しています。指定するディレクトリ・サーバー詳細はなく、WebGateのWebサーバー構成を更新する必要があります。様々なプラットフォーム上のWebGateに対して、個別のWebサーバー固有のインストール・パッケージが提供されています。必ず環境にあわせたパッケージを選択してください。
注意: WebGateは、WebPassまたはポリシー・マネージャ(あるいはその両方)と同じWebサーバー・インスタンスに対してインストールできます。これにより、WebGateですべてのアイデンティティおよびポリシー・マネージャのURLを認証されていないアクセスから保護できます。リソースの保護の詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。 |
正常なインストールのためには、すべての手順を完了する必要があります。情報は、インストール・プロセス中の特定の時点で保存されます。WebGateがインストールされていることが通知された後でインストールを取り消す場合は、「以前のリリースのアップグレード」で説明されているように、コンポーネントをアンインストールする必要があります。通告はすべて確認されますが、使用中の環境に該当しない場合はスキップされることがあります。
フェイルオーバーおよびロード・バランシングに備えて、複数のWebGateをインストールすることをお薦めします。第15章「コンポーネントのレプリケート」で説明されているように、クローニング機能を使用して複数システム上のインストールを容易にすることをお薦めします。
複数のWebサーバー・インスタンスに対する複数のWebGateのインストールは、この章で説明されている手順と同じ手順に従います。
第19章で説明されているように、単一のIIS Webサーバー・インスタンスに対して複数のWebGateをインストールできます。第20章で説明されているように、ISAサーバーに対してWebGateをインストールできます。
WebGateのインストールを開始する前に、表9-1のタスクを完了していることを確認してください。すべての前提条件を満たさない場合、Oracle Access Managerインストールに悪影響を及ぼすことがあります。
チェックリスト | WebGateの前提条件 |
---|---|
第I部「インストールの計画と前提条件」で説明されている、ユーザーの環境に適用される前提条件および要件がすべて満たされていることを確認する。 |
|
第II部「アイデンティティ・システムのインストールおよび設定」のアクティビティをすべて完了する。 |
|
第7章「ポリシー・マネージャのインストール」で説明されているように、ポリシー・マネージャをインストールおよび設定し、ポリシー・マネージャが動作していることを確認する。 |
|
第8章「アクセス・サーバーのインストール」で説明されているように、アクセス・サーバーをインストールおよび設定し、アクセス・サーバーが動作していることを確認する。 |
|
LinuxおよびSolaris: GCCランタイム・ライブラリをこのコンピュータにインストールする。 |
|
Oracle HTTP Server 11g WebGate: 他のWebGateとして使用可能。また、『Oracle Fusion Middlewareセキュリティ・ガイド』で説明されているように、Oracle Fusion Middleware 11gでエンタープライズレベルのSSOをサポートするために必要。 |
|
Oracle Application Serverに対するOracle HTTP Server用のWebGate: 「Oracle HTTP Server Webサーバー構成ファイルの問題」を参照。 |
|
必要に応じて、次の項目でWebサーバー固有の詳細事項を確認する。 |
AccessGateまたはWebGateをインストールする前に、アクセス・システム・コンソールを使用して新規のWebGateインスタンスを定義する必要があります。アクセス・システム・コンソールで指定するWebGate IDは、一意である必要があり、スペース、コロン(:)、番号記号(#)または英語以外のキーボードの文字は使用できません。
アクセス・システム・コンソールでのWebGateインスタンスの定義の手順
アクセス・システム・コンソールに移動します。次に例を示します。
http://hostname:port/access/oblix
ここで、hostnameはWebサーバーをホストするコンピュータ、portはWebPassのWebサーバー・インスタンスのHTTPポート番号をそれぞれ指し、/access/oblixはアクセス・システム・コンソールに接続します。
アクセス・システムのメイン・ページが表示されます。
「アクセス・システム・コンソール」リンクをクリックしてから、マスター管理者でログインします。
アクセス・システム・コンソールのメイン・ページが表示されます。
「アクセス・システム構成」をクリックしてから、「新規Access Gateの追加」を選択します。
WebGate(AccessGate)に次のパラメータを指定して、「保存」をクリックします。
アクセス・ゲート名: このWebGate/AccessGateを説明する一意の名前。名前にスペースを使用しないでください。
説明: オプション。後で追加できます。大/小文字は区別されません。このフィールド内の情報の大文字使用を変更する場合、新しい情報を含めないかぎり受け入れられません。
ホスト名: WebGate/AccessGateがインストールされるコンピュータの名前。
ポート: WebGateのWebサーバーがリスニングするポート。詳細は、「WebGateの前提条件チェックリスト」を参照してください。
「アクセス・ゲートのパスワード」および「アクセス・ゲートのパスワードを再入力」: トランスポート・セキュリティ・モードに関係なくコンポーネントを検証および識別するオプションの一意のパスワード。各WebGateインスタンスに対して異なるものを使用する必要があります。
トランスポート・セキュリティ: アクセス・サーバーおよび関連するWebGateの間のトランスポート・セキュリティのレベル。デフォルト値は、「オープン」です。詳細は、「Oracle Access Managerコンポーネントの通信の保護」を参照してください。『Oracle Access Manager IDおよび共通管理ガイド』で説明されているように、後でモードを変更できます。
優先HTTPホスト: ここで、このパラメータは、WebGateのインストールの前に必要です。保護されたWebサーバーにユーザーがアクセスを試行した場合にホスト名がすべてのHTTPリクエストに表示される方法を定義します。HTTPリクエストのホスト名は、ユーザーのHTTPリクエストで定義された方法に関係なく、このフィールドに入力した値に翻訳されます。
優先ホスト機能により、ホスト識別子が「ホスト識別子」リストに含まれていない場合に誤って作成される可能性があるセキュリティ・ホールが回避されます。ただし、仮想Webホスティングでは使用できません。仮想ホスティングの場合、ホスト識別子機能を使用する必要があります。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
WebGateの詳細が表示され、アクセス・サーバーまたはアクセス・サーバー・クラスタをAccessGate(WebGate)に関連付けるように求められます。このページの下部のボタンを使用して、仕様を変更すること、アクセス・サーバーを一覧表示すること、または前のページに戻ることができます。
このページを印刷してから、「戻る」ボタンをクリックします。
各アクセス・サーバーは、WebGate/AccessGateとの関連付けで、プライマリ・サーバーまたはセカンダリ・サーバーとして機能します。このサーバーがこのWebGateに関連付けている唯一のアクセス・サーバーである場合、このサーバーはプライマリ・サーバーになります。複数のプライマリ・サーバーは、リクエストの到達時に着信リクエストを共有します。セカンダリ・サーバーは、プライマリ・サーバーが停止中にのみアクティブになります。複数のアクセス・サーバーがある場合、このWebGateに対して1つ以上のプライマリ・アクセス・サーバーを定義し、その他のアクセス・サーバーをプライマリ・サーバーまたはセカンダリ・サーバーとして定義します。
接続数は、このWebGateが接続できるアクセス・サーバーの数、およびWebGateを介したリクエストに対するアクセス・サーバーの相対的優先度を識別します。たとえば、2つのプライマリ・アクセス・サーバーがあり、最初のサーバーに2接続を、2番目のサーバーに1接続を指定する場合、最初のサーバーは2番目のサーバーが1リクエストを受信するたびに2リクエストを受信します。デフォルトは1です。WebGateが1回に受信するリクエストの数は、「AccessGate構成」ページの最大接続数パラメータにより制御されます。
注意: 前項の手順5から続けて行う場合は、手順1をスキップできます。 |
「アクセス・ゲートの詳細」ページに移動します。必要に応じて、「アクセス・システム・コンソール」→「アクセス・システム構成」→「アクセス・ゲート構成」→WebGate_Linkに移動します。
このWebGateを個々のアクセス・サーバーまたはアクセス・サーバーのクラスタに関連付けることができます。クラスタの詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
「AccessGateの詳細」ページで、ページ下部の「アクセス・サーバーをリスト」(または「クラスタをリスト」)ボタンをクリックします。
ページが表示され、現在このWebGateにはプライマリまたはセカンダリのアクセス・サーバーが構成されていないことが示されます。
「追加」ボタンをクリックして、「新規アクセス・サーバーの追加」ページに進みます。
「サーバーの選択」リストからアクセス・サーバーを選択して、優先度を指定し、このWebGateが接続できるアクセス・サーバー(接続)の数を定義します。
次に例を示します。
サーバーの選択: Your_Choice
優先順位の選択: プライマリ・サーバー
接続数: 1
必要なアクセス・サーバーが一覧表示されていない場合、これを構成する必要がある場合があります。詳細は、「システム・コンソールでのアクセス・サーバー・インスタンスの作成」を参照してください。
「追加」ボタンをクリックして、関連付けを完了します。
ページが表示され、このWebGateに関連付けられたアクセス・サーバーがリストされます。
リンクをクリックしてサマリーを表示し、後で使用するためにこのページを印刷します。
必要に応じて、手順3から手順6を繰り返して、別のWebGateおよびアクセス・サーバーを関連付けます。
ログアウトして、「WebGateのインストール」に進みます。
WebGateインスタンスを作成し、これをアクセス・サーバーに関連付けた後、WebGateをインストールできます。次の手順を完了しながら、記入済のインストール準備ワークシートを参照します。
WebGateのインストール手順は、他のOracle Access Managerコンポーネントで実行したインストール手順と類似しています。
必ず、使用するWebサーバーに適したインストール・パッケージを選択し、表9-1の内容に従ってWebサーバー固有の詳細事項を確認します。
管理者権限を持つユーザーとしてログインします。
作成した一時ディレクトリでWebGateインストーラ(インストールするアクセス・システム言語パックを含む)を検索します。
選択したプラットフォーム、インストール・モード、およびWebサーバーのWebGateインストーラを起動します。次に例を示します。
Windows: Oracle_Access_Manager10_1_4_3_0_Win32_API_WebGate.exe
Solaris: ./ Oracle_Access_Manager10_1_4_3_0_sparc-s2_API_WebGate
Linux: ./ Oracle_Access_Manager10_1_4_3_0_linux_API_WebGate
ここで、APIは、Webサーバーが使用するAPIを指します。たとえば、IIS WebサーバーのISAPIなどです。
HP-UXおよびAIXシステムの場合、-is:tempdirパス・パラメータを使用して、十分な領域のあるディレクトリにインストールを送ることができます。パスは、十分な領域のあるファイル・システムへの絶対パスにしてください。
「次へ」をクリックして、「ようこそ」画面を閉じます。
プラットフォームに基づいて管理者権限に関する質問に応答します。
WebGateのインストール・ディレクトリを指定します。次に例を示します。
\OracleAccessManager\WebComponent\
LinuxまたはSolaris: このコンピュータ上のGCCランタイム・ライブラリの場所を指定します。
言語パック: インストールするデフォルト・ロケールおよび他のロケールを選択してから、「次へ」をクリックします。
まだ記録していない場合、準備ワークシートにインストール・ディレクトリ名を記入してから、「次へ」をクリックして続行します。
数秒後、WebGateがインストールされます。Windowsシステムの場合、Microsoft管理インタフェースが構成されるという通知が表示されます。
インストール・プロセスはまだ完了していません。トランスポート・セキュリティ・モードを指定するよう求められます。この時点で、戻って情報を再指定することはできません。
すべてのアクセス・システム・コンポーネント(ポリシー・マネージャ、アクセス・サーバーおよび関連WebGate)間のトランスポート・セキュリティは一致している必要があります(すべてオープン、シンプルまたは証明書モード)。
WebGateに対して、「オープン」、「シンプル」または「証明書」を選択します。
「次へ」をクリックします。
ここで、WebGate構成詳細を指定するよう求められます。
次の手順を完了して、アクセス・システム・コンソールから印刷したページを参照することをお薦めします。この手順の間、WebGateおよび関連するアクセス・サーバーの詳細を指定するよう求められます。
アクセス・システム・コンソールで指定したようにWebGateについてリクエストされた情報を指定します。
「次へ」をクリックして続行します。
以前に選択したトランスポート・セキュリティ・モードに従って、次の操作を実行します。
「オープン」または「シンプル」: 「WebGateのWebサーバー構成の更新」にスキップします。
証明書: 証明書の手順を完了し、「WebGateのWebサーバー構成の更新」に進みます。
証明書をリクエストし、このインストール中にまだ準備ができていない場合、\WebGate_install_dir\access\oblix\configディレクトリに証明書をコピーして、これらの到達時にWebGateを再起動してください。
警告: WebGateの証明書リクエストにより、証明書リクエスト・ファイルaaa_req.pemが作成されます。このWebGateの証明書リクエストを、AAA serverにより信頼されたルートCAに送信する必要があります。ルートCAは、WebGate証明書を返します。これは、WebGateのインストール中またはインストール後にインストールできます。 |
Webサーバーは、WebGateと連動するように構成する必要があります。インストール中に、自動的にWebサーバー構成を更新することをお薦めします。ただし、自動および手動の更新の手順があります。
Webサーバーを自動的に更新するには「はい」をクリックしてから、「次へ」をクリックします。
ほとんどのWebサーバー: Webサーバー構成ファイルを含むディレクトリの絶対パスを指定します。
IIS Webサーバー: プロセスが即時に開始され、プロセスには1分以上かかることがあります。詳細は、第19章「IIS WebサーバーのWebコンポーネントのインストール」を参照してください。
Webサーバー構成が更新されたことを通知する画面が表示されます。
IIS Webサーバー: 続行する前に、実行する必要のある特別な指示を受信することがあります。
注意: NTFSをサポートするファイル・システムにインストールする場合にのみ、IIS WebGateでは、/accessディレクトリに対する様々な権限の設定が必要です。最後のインストール・パネルには、FAT32ファイル・システム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、この指示は無視してください。 |
Webサーバーを停止および再起動して、構成の更新を有効化します。
注意: IIS Webサーバーを使用する場合、メタベースが破損しないように、WebGateのインストール後、net stop iisadmin およびnet start w3svc を使用することを検討してください。 |
「次へ」をクリックして、「WebGateのインストールの終了」に進みます。
自動更新を続行するかどうかの指定を求められた場合、「いいえ」をクリックしてから「次へ」をクリックします。
新規画面とともにREADMEの情報が表示され、WebGateのWebサーバーを手動で設定できます。
WebGateのインストール画面に戻り、「次へ」をクリックします。
「Webサーバーの手動構成」に進みます。
READMEの情報には、ドキュメントおよびオラクル社に関する詳細が記載されています。
READMEの情報を確認してから、「次へ」をクリックして終了します。
「終了」をクリックして、インストールを終了します。
セキュリティ強化Linux: このプラットフォームにインストールしたWebGateに対してchconコマンドを実行します。
Webサーバーをすぐに再起動するか、後で再起動します。
IIS Webサーバーを使用する場合、メタベースが破損しないように、WebGateのインストール後、net stop iisadmin
およびnet start w3svc
を使用することを検討してください。
必要に応じて、該当する手順に進みます。次に例を示します。
ネイティブPOSIXスレッド・ライブラリ(NPTL): Oracle Access Manager WebコンポーネントをNPTLで使用できるようにインストールすると、環境変数LD_ASSUME_KERNELを2.4.19に設定する必要がありません。
Webサーバーの手動構成(インストール時に自動的に構成されなかった場合)
64ビットのWebGate: 第19章の「64ビットのWebGateのインストールの終了」
IIS Webサーバー: 第19章の「IIS Webサーバー上におけるpostgate.dllのインストール」
「WebGateのインストールの確認」により終了します。
WebGateのインストール中に、Webサーバーのインストールを自動で更新するかどうかの指定を求められます。「いいえ」を選択した場合、これを手動で実行する必要があります。
注意: WebGateのインストール中に手動構成プロセスを起動した場合、次の手順の手順1をスキップできます。 |
Webブラウザを起動し、必要に応じて次のファイルを開きます。次に例を示します。
\WebGate_install_dir\access\oblix\lang\langTag\docs\config.htm
ここで、\WebGate_install_dirは、WebGateをインストールしたディレクトリです。
注意: 64ビットのWebGateのインストール時に手動のIIS構成を選択した場合、次のパスで詳細にアクセスできます。WebGate_install_dir\access\oblix\lang\en-us\docs\dotnet_isapi.htm |
サポートされているWebサーバーから選択し、各Webサーバーのタイプに固有の指示にすべて従い、次を実行します。
Web Gateの設定中に変更する必要があるファイルのバックアップ・コピーを作成します。これは、再度Webサーバーを設定する必要がある場合に使用できます。
元の設定指示に戻ってすべてを実行し、該当するOracle Access ManagerファイルをWebサーバーが認識できるようにします。
注意: 誤ってウィンドウを閉じた場合、手順1に戻り、該当するリンクを再度クリックできます。設定によっては、新しいブラウザ・ウィンドウが起動されます。または、情報を入力するためにコマンド・ウィンドウを起動する必要があります。 |
必要に応じて、次の手順のいずれかに進みます。
WebGateのインストールおよびWebサーバーの更新の後、WebGateの診断を有効化してWebGateが正しく実行されていることを確認できます。
WebGateの診断の有効化の手順
コンポーネント(アイデンティティ・サーバー、WebPassのWebサーバー、ポリシー・マネージャおよびWebサーバー、アクセス・サーバーおよびWebGateのWebサーバー)が稼働していることを確認します。
WebGateの診断用に次のURLを指定します。次に例を示します。
ほとんどのWebサーバー: http(s)://hostname:port/access/oblix/apps/ webgate/bin/webgate.cgi?progid=1
IIS Webサーバー: http(s)://hostname:port/access/oblix/apps/ webgate/bin/webgate.dll?progid=1
ここで、hostnameは、WebGateをホストするコンピュータの名前を、portは、Webサーバーのインスタンスのポート番号を表します。詳細は、第19章「IIS WebサーバーのWebコンポーネントのインストール」を参照してください。
WebGateの診断ページが表示されます。
成功: WebGateの診断ページが表示された場合、WebGateは正しく機能しているため、このページを閉じてかまいません。
失敗: WebGateの診断ページが開かない場合、WebGateは正しく機能していません。WebGateをアンインストールして再インストールする必要があります。詳細は、第22章「Oracle Access Managerの削除」を参照してください。その後、この章に戻ってください。
インストールに成功した場合は、次の処理を行えます。
『Oracle Access Manager IDおよび共通管理ガイド』および『Oracle Access Managerアクセス管理ガイド』で説明されているOracle Access Managerの構成。
『Oracle Access Managerカスタマイズ・ガイド』で説明されているOracle Access Managerのカスタマイズ。
『Oracle Access Manager統合ガイド』で説明されているサード・パーティ製品の統合。
『Oracle Fusion Middlewareセキュリティ・ガイド』で説明されているOracle Fusion Middlewareアプリケーションに対するエンタープライズレベルのシングル・サインオンの設定