ヘッダーをスキップ

Oracle Application Server 管理者ガイド
10gリリース3(10.1.3.1.0)
B31834-01
目次
目次		 索引
索引

戻る 次へ

8 Infrastructureサービスの変更

この章では、中間層インスタンスによって使用されるInfrastructureサービスを変更する手順について説明します。

この章の項目は次のとおりです。

8.1 Identity Managementサービスの変更手順の概要

このリリースでは、第6.6項で説明されているとおり、10gリリース3(10.1.3.1.0)の中間層インスタンスをリリース10.1.4またはリリース2(10.1.2)のIdentity Managementサービスに関連付けることができます。

関連項目

10gリリース3(10.1.3.1.0)でサポートされているOracle Identity Managementの各バージョンの詳細は、Oracle Application Serverのアップグレード・ガイドを参照してください。 

中間層インスタンスをIdentity Managementサービスに関連付けた後、中間層インスタンスによって使用されるIdentity Managementサービスを変更しなければならないことがあります。たとえば、ID管理サービスを別のホストで使用しなければならない場合などです。

Identity Managementサービスは、図8-1に示すApplication Server Controlコンソールの「ID管理」ページで変更できます。

図8-1    Application Server Controlコンソールの「ID管理」ページ


画像の説明

Identity Managementサービスを変更しなければならないのは、次のいずれかを変更する場合です。

Oracle Internet Directoryで匿名バインドが無効になっている場合、構成を変更する前に有効にする必要があります。詳細は、第6.7項「匿名バインドの有効化と無効化」を参照してください。

単にウィザードを使用するだけでは、特定のInfrastructureサービスを別のInfrastructureサービスに変更することはできません。新しいInfrastructureサービスを作成および準備するには、まず手動の作業を実行する必要があります。この章では、Infrastructureサービスの変更に対応する次の手順について説明します。

ポートの変更方法の詳細は、次の各項を参照してください。

8.2 Oracle Internet Directoryのデュアル・モードからSSLモードへの変更

Identity Managementをインストールすると、Oracle Internet Directoryのモードを選択するよう求められます。デフォルトのモードはデュアル・モードです。デュアル・モードでは、一部のコンポーネントは非SSL接続を使用してOracle Internet Directoryにアクセスできます。インストール時には、SSLモードを選択することができます。SSLモードでは、ディレクトリに接続する際にすべてのコンポーネントがSSLを使用する必要があります。

インストール時にSSLモードを選択せず、インストール後にSSLに変更する場合は、この項の手順を実行します。手順には、Oracle Internet Directoryのモードの変更と、中間層インスタンスで新しいモードを使用するための変更処理が含まれます。

8.2.1 Application Server Controlのセキュリティ・プロバイダの制限

この手順を実行する前に、Application Server Controlでファイルベースのセキュリティ・プロバイダが使用されていることを確認する必要があります。そうでない場合は、Oracle Internet Directoryモードの変更後に追加の手順を実行します。

セキュリティ・プロバイダのタイプを確認する手順は次のとおりです。

  1. Application Server Controlコンソールで、OC4Jホーム・ページにナビゲートします。

  2. 設定」をクリックします。

  3. 「設定」ページで、「セキュリティ・プロバイダ」を選択します。

    「セキュリティ・プロバイダ」ページに、使用されているセキュリティ・プロバイダのタイプが表示されます。

  4. ファイルベースではないセキュリティ・プロバイダを変更する場合、「セキュリティ・プロバイダの変更」をクリックします。次に、「ファイルベースのセキュリティ・プロバイダ」を選択して、XMLファイルの場所を指定します。

セキュリティ・プロバイダがOracle Internet Directoryであり、この手順を実行するまで変更しない場合は、「作業3: jazn.xmlの変更(Oracle Internet Directoryセキュリティ・プロバイダにのみ該当)」の手順を実行する必要があります。

8.2.2 手順

Oracle Internet DirectoryをSSLモードに変更するには、次の作業を実行します。

作業1: 中間層プロセスの停止後のApplication Server Controlコンソールの起動

Oracle Internet Directoryを使用するすべての中間層インスタンスで、次の手順を実行します。

  1. 次のコマンドを使用して、すべての中間層インスタンスを停止します。

    (UNIX) ORACLE_HOME/opmn/bin/opmnctl stopall
(Windows) ORACLE_HOME¥opmn¥bin¥opmnctl stopall
  2. この後の手順でApplication Server Controlコンソールを使用するため、次のコマンドを使用してOPMNとApplication Server Controlを起動します。Application Server Controlコンソールを起動するには、デフォルトのOC4Jインスタンスを起動します。Application Server Controlコンソールは、デフォルトのOC4Jインスタンスのアプリケーションとして実行されるからです。

    • UNIXの場合:

      ORACLE_HOME/opmn/bin/opmnctl start
ORACLE_HOME/opmn/bin/opmnctl startproc process-type=home
    • Windowsの場合:

      ORACLE_HOME¥opmn¥bin¥opmnctl start
ORACLE_HOME¥opmn¥bin¥opmnctl startproc process-type=home
作業2: Oracle Internet Directoryのモードの変更

この作業は、Oracle Internet Directoryを含むリリース2(10.1.2)Infrastructureに対して実行します。

  1. mod.ldifという名前のファイルを作成し、次の行を入力します。

    dn:cn=configset0,cn=osdldapd,cn=subconfigsubentry
changetype:modify
replace:orclsslenable
orclsslenable:1
  2. 次のコマンドを実行します。

    ldapmodify -D "cn=orcladmin" -w orcladmin_passwd -p oid_port -v -f mod.ldif

    この例で、oid_portは、非SSLのOracle Internet Directoryポートです。この値は、ORACLE_HOME/config/ias.properties内のOIDportで確認できます。

    OracleAS Cold Failover Clusterを使用している場合は、次のコマンドを使用する必要があります。

    ldapmodify -D cn=orcladmin -w orcladmin_passwd -h virtual_hostname
-p oid_port -v -f mod.ldif

    この例で、virtual_hostnameは、OracleAS Cold Failover Clusterの仮想ホスト名です。

  3. Oracle Internet Directoryを含むインスタンス全体を停止します。

    • UNIXの場合:

      ORACLE_HOME/bin/emctl stop iasconsole
ORACLE_HOME/opmn/bin/opmnctl stopall
    • Windowsの場合:

      ORACLE_HOME¥bin¥emctl stop iasconsole
ORACLE_HOME¥opmn¥bin¥opmnctl stopall
  4. 次のファイルを編集します。

    (UNIX) ORACLE_HOME/ldap/admin/ldap.ora
(Windows) ORACLE_HOME¥ldap¥admin¥ldap.ora
    1. 次の行から非SSLポート番号を削除します。

      DIRECTORY_SERVERS=(myhost.myco.com:nonsslport:sslport)

      この行は次のようになります。

      DIRECTORY_SERVERS=(myhost.myco.com::sslport)
    2. ファイルを保存して閉じます。

  5. OracleAS RepCAを使用してOracleAS Metadata Repositoryを作成している場合、次の手順を実行します。

    1. ldap.oraファイルをIdentity ManagementのOracleホームからOracleAS Metadata RepositoryのOracleホームへコピーします。たとえば、リリース2(10.1.2)の場合、場所は次のとおりです。

      (UNIX) ORACLE_HOME/ldap/admin
(Windows) ORACLE_HOME¥ldap¥admin
    2. OracleAS Metadata RepositoryのOracleホーム内の次の場所にあるsqlnet.oraファイルを編集します。

      (UNIX) ORACLE_HOME/network/admin
(Windows) ORACLE_HOME¥network¥admin

      次の例に示すように、LDAPをNAMES.DIRECTORY_PATHエントリに追加します。

      NAMES.DIRECTORY_PATH= (LDAP, TNSNAMES, ONAMES, HOSTNAME)
  6. 次のファイルを編集します。

    (UNIX) ORACLE_HOME/config/ias.properties
(Windows) ORACLE_HOME¥config¥ias.properties
    1. SSLOnlyパラメータを次のように変更します。

      SSLOnly=true
    2. ファイルを保存して閉じます。

  7. Oracle Internet Directoryを含むインスタンス全体を再起動します。

    • UNIXの場合:

      ORACLE_HOME/opmn/bin/opmnctl stopall
ORACLE_HOME/bin/emctl stop iasconsole
ORACLE_HOME/opmn/bin/opmnctl startall
ORACLE_HOME/bin/emctl start iasconsole
    • Windowsの場合:

      ORACLE_HOME¥opmn¥bin¥opmnctl stopall
ORACLE_HOME¥bin¥emctl stop iasconsole
ORACLE_HOME¥opmn¥bin¥opmnctl startall
ORACLE_HOME¥bin¥emctl start iasconsole
作業3: jazn.xmlの変更(Oracle Internet Directoryセキュリティ・プロバイダにのみ該当)

Application Server Controlのセキュリティ・プロバイダがOracle Internet Directoryである場合は、アクティブなascontrolアプリケーションを含むインスタンスのjazn.xmlを変更しないと、その中間層インスタンスでSSLモードを使用するように変更できません(Application Server Controlで使用するセキュリティ・プロバイダのタイプを決定する方法は、第8.2.1項を参照)。

アクティブなascontrolアプリケーションを含むインスタンスで変更する手順は次のとおりです。

  1. 次のファイルを編集します。

    (Unix) ORACLE_HOME/j2ee/OC4J_InstanceName/config/jazn.xml
(Windows) ORACLE_HOME¥j2ee¥OC4J_InstanceName¥config¥jazn.xml
  2. location属性を変更し、SSLポートを使用します。次に例を示します。

    location="ldap://myoid.us.oracle.com:636"
  3. ldap.protocolのプロパティ値を変更し、sslを指定します。次に例を示します。

    <property name=:ldap.protocol" value="ssl"/>
  4. ファイルを保存して閉じます。

作業4: 中間層インスタンスがSSLモードを使用するように変更

各中間層インスタンスで、ID管理の変更ウィザードを起動し、インスタンスを再起動します。

  1. Application Server Controlコンソールを使用して、中間層インスタンスのOC4Jホーム・ページにナビゲートします。

  2. 管理」をクリックします。

  3. 表の「タスク名」列で「セキュリティ」が閉じている場合は、それを開きます。「ID管理」行で、「タスクに移動」アイコンをクリックします。

  4. 「ID管理」ページで、「変更」をクリックします。

  5. 「ID管理の変更」ページで次のように入力します。

    • Oracle Internet Directoryホスト: Oracle Internet Directoryホストの完全修飾名。

    • Oracle Internet Directoryユーザー: cn=orcladminまたはiASAdminsグループのユーザーの識別名。

    • パスワード: そのユーザーのパスワード。

      このパスワードは、Oracle Internet Directoryで作成したoc4jadminユーザーのデフォルト・パスワードとして使用されます。

    • Internet DirectoryへSSL接続のみを使用: このオプションを選択します。

      Oracle Internet Directory SSLポート」フィールドに、Oracle Internet DirectoryのSSLポート番号を入力します。

    OK」をクリックします。

  6. 操作が完了したら、OC4Jインスタンスを再起動する必要があります。「確認」ページで「再起動」をクリックしないでください。かわりに、「クラスタ・トポロジ」ページにナビゲートし、OC4Jインスタンスを選択してから、「再起動」をクリックします。

    注意

    これで非SSLのOracle Internet Directoryポートが無効になったため、LDAPコマンドライン・ユーティリティ(ldapsearchldapmodifyldapaddmtなど)を使用してSSLポートに接続するときは、「-U 1」オプションを指定する必要があります。 

8.3 新しいホストへの10.1.4または10.1.2 Identity Managementの移動

第6.6項で説明されているとおり、10gリリース3(10.1.3.1.0)の中間層インスタンスをリリース10.1.4またはリリース2(10.1.2)のIdentity Managementサービスに関連付けた後、Identity Managementを新しいホストに移動する場合は、この項の手順を実行します。

この手順では、元のIdentity Managementのレプリカ(またはコピー)と、そのレプリカの新しいMetadata Repositoryを別のホストに作成し、中間層インスタンスが新しいIdentity Managementを使用するように変更します。

10gリリース3(10.1.3.1.0)でサポートされているOracle Identity Managementの各バージョンの詳細は、Oracle Application Serverのアップグレード・ガイドを参照してください。

8.3.1 この手順の使用例

この手順の使用例は次のとおりです。

8.3.2 前提と制限

8.3.3 新しいホストにIdentity Managementを移動する手順

この項では、リリース10.1.4またはリリース2(10.1.2)のIdentity Managementを新しいホストに移動する方法について説明します。

その手順の概要は次のとおりです。

  1. 1つまたは複数の中間層インスタンスによって使用される元のリリース10.1.4またはリリース2(10.1.2)のIdentity Management(Master)があります。このIdentity ManagementにはMetadata Repositoryがあります。ここで、新しいIdentity Management(Replica)をインストールおよび設定します。このIdentity Managementには固有のMetadata Repositoryがあります。新しいIdentity ManagementのOracle Internet Directoryは、元のOracle Internet DirectoryのLDAPベースのレプリカです。元のOracle Internet Directoryから新しいOracle Internet Directoryへのレプリケーションは常時行われます。

    図8-2に、リリース2(10.1.2)のIdentity Managementを使用する設定を示します。

    図8-2    元のホスト(Master)と新しいホスト(Replica)


    画像の説明

    関連項目: 「作業1: 新しいIdentity ManagementとMetadata Repositoryのインストールおよび設定」

  2. 元のMetadata Repository(Master)から新しいMetadata Repository(Replica)へOracle Single Sign-OnおよびDirectory Integration and Provisioningデータを移行します。

    関連項目: 「作業2: Oracle Single Sign-OnおよびDirectory Integration and Provisioningデータの移行」

  3. 中間層インスタンスが新しいIdentity Managementを使用するように変更します。

    関連項目: 「作業3: 中間層インスタンスが新しいIdentity Managementを使用するように変更」

  4. LDAPベースのレプリケーションを停止します。

    関連項目: 「作業4: レプリケーションの停止」

図8-3に、これらの手順を示します。

図8-3    元のIdentity Managementから新しいIdentity Managementへの変更


画像の説明

作業1: 新しいIdentity ManagementとMetadata Repositoryのインストールおよび設定

この作業では、新しいリリース10.1.4またはリリース2(10.1.2)のIdentity Managementと、それに関連付けられたMetadata Repositoryをインストールおよび設定します。新しいIdentity Managementは、元のIdentity ManagementのLDAPベースのレプリカです。

  1. LDAPベースのレプリカおよびこの手順での使用方法は、第F.1項「LDAPベースのレプリカについて」を参照してください。

  2. 第F.2項「LDAPベースのレプリカのインストールと設定」の手順に従って、新しいIdentity ManagementとMetadata Repositoryをインストールおよび設定します。

作業2: Oracle Single Sign-OnおよびDirectory Integration and Provisioningデータの移行

この作業では、元のMetadata Repositoryから新しいMetadata RepositoryにOracle Single Sign-OnおよびDirectory Integration and Provisioningデータを移行します。移行元は元のMetadata Repository(Master)で、移行先は新しいMetadata Repository(Replica)です。

この作業には次の下位作業があります。

Oracle Single Sign-Onデータの移行

Oracle Single Sign-Onデータを移行する手順は次のとおりです。

  1. マスターのORASSOスキーマ・パスワードを取得します。

    MASTER_HOME/bin/ldapsearch -p master_oid_port -h master_host
 -D "cn=orcladmin" -w master_orcladmin_passwd 
 -b "orclresourcename=orasso,  orclreferencename=master_global_db_name, 
cn=ias infrastructure databases, cn=ias, cn=products, cn=oraclecontext" 
-s base "objectclass=*" orclpasswordattribute

    このコマンドを実行すると、ORASSOパスワードが次のように行に出力されます。

    orclpasswordattribute=LAetjdQ5
  2. マスターからOracle Single Sign-Onデータをエクスポートします(このコマンドを実行する前に、環境変数ORACLE_HOMEが設定されていることを確認してください)。

    MASTER_HOME/sso/bin/ssomig -export -s orasso -p master_orasso_passwd 
-c master_db_name -log_d $MASTER_HOME/sso/log

    この例では、master_orasso_passwdは前の手順で取得したORASSOパスワードです。

  3. ssomig.dmpおよびssoconf.logファイルをマスターからレプリカにコピーします(各ファイルの正確なフルパスを保持)。

  4. レプリカのORASSOスキーマ・パスワードを取得します。

    REPLICA_HOME/bin/ldapsearch -p replica_oid_port -h replica_host 
-D "cn=orcladmin" -w replica_orcladmin_password -b "orclresourcename=orasso,
orclreferencename=replica_global_db_name, cn=ias infrastructure databases,
cn=ias, cn=products, cn=oraclecontext" -s base "objectclass=*"
orclpasswordattribute
  5. Oracle Single Sign-Onデータをレプリカにインポートします。

    REPLICA_HOME/sso/bin/ssomig -import -overwrite -s orasso 
-p replica_orasso_passwd -c replica_db_name 
-log_d $REPLICA_HOME/sso/log -discoforce

    この例では、replica_orasso_passwdは前の手順で取得したORASSOパスワードです。

  6. Oracle Single Sign-Onのエクスポートとインポートが正常に完了したことを確認します。

    Oracle Single Sign-On移行ツールによって成功がレポートされていることを確認します。次のログ・ファイルでエラーをチェックすることもできます。

    MASTER_HOME/sso/log/ssomig.log
REPLICA_HOME/sso/log/ssomig.log

    関連項目

    ログ・ファイルのメッセージ解析の詳細は、『Oracle Application Server Single Sign-On管理者ガイド』を参照してください。 

  7. 第6.6項「作業1: SSO認証の有効化(オプション)」の説明に従って、SSO認証を再度有効化します。

Directory Integration and Provisioningデータの移行

Directory Integration and Provisioningデータを移行する手順は次のとおりです。

関連項目

Oracle Internet Directory HTTPポートが無効になっている環境で、HTTPSポートを使用して次のコマンドを実行する方法の詳細は、『Oracle Internet Directory管理者ガイド』のDirectory Integration and Provisioningデータに関する説明を参照してください。 

  1. マスターのDirectory Integration and Provisioningデータ・サーバーを停止します。

    MASTER_HOME/bin/oidctl server=odisrv instance=1 stop
  2. Directory Integration and Provisioningデータを移行します。

    MASTER_HOME/bin/dipassistant reassociate -src_ldap_host master_host 
-src_ldap_port master_oid_port -dst_ldap_host replica_host 
-dst_ldap_port replica_oid_port -src_ldap_passwd master_orcladmin_passwd
-dst_ldap_passwd replica_orcladmin_passwd

    ログ・メッセージが次のファイルに出力されます。

    MASTER_HOME/ldap/odi/log/reassociate.log
  3. レプリカのDirectory Integration and Provisioningデータ・サーバーを停止します。

    REPLICA_HOME/bin/oidctl server=odisrv instance=1 stop
  4. Directory Integration and Provisioningデータ・サーバーをレプリカに登録します。

    REPLICA_HOME/bin/odisrvreg -D "cn=orcladmin" -w replica_orcladmin_passwd
-h replica_host -p replica_oid_port
  5. レプリカのDirectory Integration and Provisioningデータ・サーバーを起動します。

    REPLICA_HOME/bin/oidctl server=odisrv instance=1 flags="port=replica_oid_port" 
start
作業3: 中間層インスタンスが新しいIdentity Managementを使用するように変更

各中間層インスタンスで、次の手順を実行します。

  1. Application Server Controlコンソールを使用して、中間層インスタンスのOC4Jホーム・ページにナビゲートします。

  2. 管理」をクリックします。

  3. 表の「タスク名」列で「セキュリティ」が閉じている場合は、それを開きます。「ID管理」行で、「タスクに移動」アイコンをクリックします。

  4. 「ID管理」ページで、「変更」をクリックします。

  5. ウィザードの手順に従って、新しいIdentity Managementの情報を指定します。詳細は、第6.6項を参照してください。

  6. 操作が完了したら、OC4Jインスタンスを再起動する必要があります。「確認」ページで「再起動」をクリックしないでください。かわりに、「クラスタ・トポロジ」ページにナビゲートし、OC4Jインスタンスを選択してから、「再起動」をクリックします。

中間層インスタンスが新しいホストを使用するように変更する際に問題が発生した場合は、レプリケーションが実行されていることを確認してからもう一度やりなおしてください。

作業4: レプリケーションの停止

元のIdentity Managementと新しいIdentity Management(Replica)の間のレプリケーションを停止します。これには、新しいIdentity ManagementのOracleホームで次のコマンドを実行します。

oidctl connect=global_db_name server=oidrepld instance=1 flags="-p oid_port" stop

この例では、次のようになります。

8.3.4 この手順を使用してフェイルオーバーを実施する方法

第8.3.1項で説明されているとおり、この手順に変更を加えると、Identity Managementのフェイルオーバーを実施できます。これにより、元のIdentity Managementを失った場合に、中間層インスタンスを新しいIdentity Managementに移動することができます。

図8-4    新しいIdentity Managementへのフェイルオーバー


画像の説明

フェイルオーバー環境を設定する手順は次のとおりです。

  1. 新しいIdentity Managementをインストールおよび設定します。手順は、「作業1: 新しいIdentity ManagementとMetadata Repositoryのインストールおよび設定」を参照してください。

  2. 元のMetadata RepositoryからOracle Single Sign-OnデータとDirectory Integration and Provisioningデータを定期的にエクスポートします。データを新しいMetadata Repositoryにインポートする必要はありません。データをエクスポートし、ファイルを新しいMetadata Repositoryホストにコピーするだけでかまいません。詳細は、「作業2: Oracle Single Sign-OnおよびDirectory Integration and Provisioningデータの移行」を参照してください。

  3. 元のIdentity Managementを失った場合は、次の手順を実行します。

    1. 「作業4: レプリケーションの停止」の説明に従って、レプリケーションを停止します。

    2. Oracle Single Sign-OnデータとDirectory Integration and Provisioningデータの最新のコピーを新しいIdentity Managementリポジトリにインポートします。詳細は、「作業2: Oracle Single Sign-OnおよびDirectory Integration and Provisioningデータの移行」を参照してください。

    3. 「作業3: 中間層インスタンスが新しいIdentity Managementを使用するように変更」の手順に従って、中間層インスタンスが新しいIdentity Managementを使用するように変更します。

戻る 次へ
Oracle
Copyright © 2002, 2006, Oracle.
All Rights Reserved.
目次
目次		 索引
索引