Oracle Application Server 管理者ガイド 10gリリース3(10.1.3.1.0) B31834-01 |
|
この章では、中間層インスタンスによって使用されるInfrastructureサービスを変更する手順について説明します。
この章の項目は次のとおりです。
このリリースでは、第6.6項で説明されているとおり、10gリリース3(10.1.3.1.0)の中間層インスタンスをリリース10.1.4またはリリース2(10.1.2)のIdentity Managementサービスに関連付けることができます。
中間層インスタンスをIdentity Managementサービスに関連付けた後、中間層インスタンスによって使用されるIdentity Managementサービスを変更しなければならないことがあります。たとえば、ID管理サービスを別のホストで使用しなければならない場合などです。
Identity Managementサービスは、図8-1に示すApplication Server Controlコンソールの「ID管理」ページで変更できます。
Identity Managementサービスを変更しなければならないのは、次のいずれかを変更する場合です。
Oracle Internet Directoryで匿名バインドが無効になっている場合、構成を変更する前に有効にする必要があります。詳細は、第6.7項「匿名バインドの有効化と無効化」を参照してください。
単にウィザードを使用するだけでは、特定のInfrastructureサービスを別のInfrastructureサービスに変更することはできません。新しいInfrastructureサービスを作成および準備するには、まず手動の作業を実行する必要があります。この章では、Infrastructureサービスの変更に対応する次の手順について説明します。
Oracle Internet Directoryのモードを非SSLからSSLに変更する場合は、この手順を実行します。モードの変更とともに、中間層インスタンスが新しいモード情報を使用するように変更する必要があるため、Infrastructureサービスの変更が必要になります。
インストールされたIdentity Managementとそれに関連付けられたMetadata Repositoryを新しいホストに移動する場合は、この手順を実行します。移動後は、中間層インスタンスがIdentity Managementの新しいホスト情報を使用するように変更する必要があるため、Infrastructureサービスの変更が必要になります。
ポートの変更方法の詳細は、次の各項を参照してください。
Identity Managementをインストールすると、Oracle Internet Directoryのモードを選択するよう求められます。デフォルトのモードはデュアル・モードです。デュアル・モードでは、一部のコンポーネントは非SSL接続を使用してOracle Internet Directoryにアクセスできます。インストール時には、SSLモードを選択することができます。SSLモードでは、ディレクトリに接続する際にすべてのコンポーネントがSSLを使用する必要があります。
インストール時にSSLモードを選択せず、インストール後にSSLに変更する場合は、この項の手順を実行します。手順には、Oracle Internet Directoryのモードの変更と、中間層インスタンスで新しいモードを使用するための変更処理が含まれます。
この手順を実行する前に、Application Server Controlでファイルベースのセキュリティ・プロバイダが使用されていることを確認する必要があります。そうでない場合は、Oracle Internet Directoryモードの変更後に追加の手順を実行します。
セキュリティ・プロバイダのタイプを確認する手順は次のとおりです。
「セキュリティ・プロバイダ」ページに、使用されているセキュリティ・プロバイダのタイプが表示されます。
セキュリティ・プロバイダがOracle Internet Directoryであり、この手順を実行するまで変更しない場合は、「作業3: jazn.xmlの変更(Oracle Internet Directoryセキュリティ・プロバイダにのみ該当)」の手順を実行する必要があります。
Oracle Internet DirectoryをSSLモードに変更するには、次の作業を実行します。
Oracle Internet Directoryを使用するすべての中間層インスタンスで、次の手順を実行します。
(UNIX) ORACLE_HOME/opmn/bin/opmnctl stopall (Windows) ORACLE_HOME¥opmn¥bin¥opmnctl stopall
この作業は、Oracle Internet Directoryを含むリリース2(10.1.2)Infrastructureに対して実行します。
mod.ldif
という名前のファイルを作成し、次の行を入力します。
dn:cn=configset0,cn=osdldapd,cn=subconfigsubentry changetype:modify replace:orclsslenable orclsslenable:1
ldapmodify -D "cn=orcladmin" -w orcladmin_passwd -p oid_port -v -f mod.ldif
この例で、oid_port
は、非SSLのOracle Internet Directoryポートです。この値は、ORACLE_HOME
/config/ias.properties
内のOIDport
で確認できます。
OracleAS Cold Failover Clusterを使用している場合は、次のコマンドを使用する必要があります。
ldapmodify -D cn=orcladmin -w orcladmin_passwd -h virtual_hostname -p oid_port -v -f mod.ldif
この例で、virtual_hostname
は、OracleAS Cold Failover Clusterの仮想ホスト名です。
(UNIX) ORACLE_HOME/ldap/admin/ldap.ora (Windows) ORACLE_HOME¥ldap¥admin¥ldap.ora
ldap.ora
ファイルをIdentity ManagementのOracleホームからOracleAS Metadata RepositoryのOracleホームへコピーします。たとえば、リリース2(10.1.2)の場合、場所は次のとおりです。
(UNIX) ORACLE_HOME/ldap/admin (Windows) ORACLE_HOME¥ldap¥admin
sqlnet.ora
ファイルを編集します。
(UNIX) ORACLE_HOME/network/admin (Windows) ORACLE_HOME¥network¥admin
次の例に示すように、LDAPをNAMES.DIRECTORY_PATHエントリに追加します。
NAMES.DIRECTORY_PATH= (LDAP, TNSNAMES, ONAMES, HOSTNAME)
(UNIX) ORACLE_HOME/config/ias.properties (Windows) ORACLE_HOME¥config¥ias.properties
ORACLE_HOME/opmn/bin/opmnctl stopall ORACLE_HOME/bin/emctl stop iasconsole ORACLE_HOME/opmn/bin/opmnctl startall ORACLE_HOME/bin/emctl start iasconsole
ORACLE_HOME¥opmn¥bin¥opmnctl stopall ORACLE_HOME¥bin¥emctl stop iasconsole ORACLE_HOME¥opmn¥bin¥opmnctl startall ORACLE_HOME¥bin¥emctl start iasconsole
Application Server Controlのセキュリティ・プロバイダがOracle Internet Directoryである場合は、アクティブなascontrol
アプリケーションを含むインスタンスのjazn.xml
を変更しないと、その中間層インスタンスでSSLモードを使用するように変更できません(Application Server Controlで使用するセキュリティ・プロバイダのタイプを決定する方法は、第8.2.1項を参照)。
アクティブなascontrol
アプリケーションを含むインスタンスで変更する手順は次のとおりです。
(Unix) ORACLE_HOME/j2ee/OC4J_InstanceName/config/jazn.xml (Windows) ORACLE_HOME¥j2ee¥OC4J_InstanceName¥config¥jazn.xml
location
属性を変更し、SSLポートを使用します。次に例を示します。
location="ldap://myoid.us.oracle.com:636"
ldap.protocol
のプロパティ値を変更し、ssl
を指定します。次に例を示します。
<property name=:ldap.protocol" value="ssl"/>
各中間層インスタンスで、ID管理の変更ウィザードを起動し、インスタンスを再起動します。
cn=orcladmin
またはiASAdmins
グループのユーザーの識別名。
このパスワードは、Oracle Internet Directoryで作成したoc4jadminユーザーのデフォルト・パスワードとして使用されます。
「Oracle Internet Directory SSLポート」フィールドに、Oracle Internet DirectoryのSSLポート番号を入力します。
「OK」をクリックします。
第6.6項で説明されているとおり、10gリリース3(10.1.3.1.0)の中間層インスタンスをリリース10.1.4またはリリース2(10.1.2)のIdentity Managementサービスに関連付けた後、Identity Managementを新しいホストに移動する場合は、この項の手順を実行します。
この手順では、元のIdentity Managementのレプリカ(またはコピー)と、そのレプリカの新しいMetadata Repositoryを別のホストに作成し、中間層インスタンスが新しいIdentity Managementを使用するように変更します。
10gリリース3(10.1.3.1.0)でサポートされているOracle Identity Managementの各バージョンの詳細は、Oracle Application Serverのアップグレード・ガイドを参照してください。
この手順の使用例は次のとおりです。
この項では、リリース10.1.4またはリリース2(10.1.2)のIdentity Managementを新しいホストに移動する方法について説明します。
その手順の概要は次のとおりです。
図8-2に、リリース2(10.1.2)のIdentity Managementを使用する設定を示します。
関連項目: 「作業1: 新しいIdentity ManagementとMetadata Repositoryのインストールおよび設定」
関連項目: 「作業2: Oracle Single Sign-OnおよびDirectory Integration and Provisioningデータの移行」
関連項目: 「作業4: レプリケーションの停止」
図8-3に、これらの手順を示します。
この作業では、新しいリリース10.1.4またはリリース2(10.1.2)のIdentity Managementと、それに関連付けられたMetadata Repositoryをインストールおよび設定します。新しいIdentity Managementは、元のIdentity ManagementのLDAPベースのレプリカです。
この作業では、元のMetadata Repositoryから新しいMetadata RepositoryにOracle Single Sign-OnおよびDirectory Integration and Provisioningデータを移行します。移行元は元のMetadata Repository(Master)で、移行先は新しいMetadata Repository(Replica)です。
この作業には次の下位作業があります。
Oracle Single Sign-Onデータを移行する手順は次のとおりです。
MASTER_HOME/bin/ldapsearch -p master_oid_port -h master_host -D "cn=orcladmin" -w master_orcladmin_passwd -b "orclresourcename=orasso, orclreferencename=master_global_db_name, cn=ias infrastructure databases, cn=ias, cn=products, cn=oraclecontext" -s base "objectclass=*" orclpasswordattribute
このコマンドを実行すると、ORASSOパスワードが次のように行に出力されます。
orclpasswordattribute=LAetjdQ5
MASTER_HOME/sso/bin/ssomig -export -s orasso -p master_orasso_passwd -c master_db_name -log_d $MASTER_HOME/sso/log
この例では、master_orasso_passwd
は前の手順で取得したORASSOパスワードです。
ssomig.dmp
およびssoconf.log
ファイルをマスターからレプリカにコピーします(各ファイルの正確なフルパスを保持)。
REPLICA_HOME/bin/ldapsearch -p replica_oid_port -h replica_host -D "cn=orcladmin" -w replica_orcladmin_password -b "orclresourcename=orasso, orclreferencename=replica_global_db_name, cn=ias infrastructure databases, cn=ias, cn=products, cn=oraclecontext" -s base "objectclass=*" orclpasswordattribute
REPLICA_HOME/sso/bin/ssomig -import -overwrite -s orasso -p replica_orasso_passwd -c replica_db_name -log_d $REPLICA_HOME/sso/log -discoforce
この例では、replica_orasso_passwd
は前の手順で取得したORASSOパスワードです。
Oracle Single Sign-On移行ツールによって成功がレポートされていることを確認します。次のログ・ファイルでエラーをチェックすることもできます。
MASTER_HOME/sso/log/ssomig.log REPLICA_HOME/sso/log/ssomig.log
Directory Integration and Provisioningデータを移行する手順は次のとおりです。
MASTER_HOME/bin/oidctl server=odisrv instance=1 stop
MASTER_HOME/bin/dipassistant reassociate -src_ldap_host master_host -src_ldap_port master_oid_port -dst_ldap_host replica_host -dst_ldap_port replica_oid_port -src_ldap_passwd master_orcladmin_passwd -dst_ldap_passwd replica_orcladmin_passwd
ログ・メッセージが次のファイルに出力されます。
MASTER_HOME/ldap/odi/log/reassociate.log
REPLICA_HOME/bin/oidctl server=odisrv instance=1 stop
REPLICA_HOME/bin/odisrvreg -D "cn=orcladmin" -w replica_orcladmin_passwd -h replica_host -p replica_oid_port
REPLICA_HOME/bin/oidctl server=odisrv instance=1 flags="port=replica_oid_port" start
各中間層インスタンスで、次の手順を実行します。
中間層インスタンスが新しいホストを使用するように変更する際に問題が発生した場合は、レプリケーションが実行されていることを確認してからもう一度やりなおしてください。
元のIdentity Managementと新しいIdentity Management(Replica)の間のレプリケーションを停止します。これには、新しいIdentity ManagementのOracleホームで次のコマンドを実行します。
oidctl connect=global_db_name server=oidrepld instance=1 flags="-p oid_port" stop
この例では、次のようになります。
global_db_name
は、新しいIdentity Managementのグローバル・データベース名です。
oid_port
は、新しいIdentity Managementの非SSLのOracle Internet Directoryポートです。
第8.3.1項で説明されているとおり、この手順に変更を加えると、Identity Managementのフェイルオーバーを実施できます。これにより、元のIdentity Managementを失った場合に、中間層インスタンスを新しいIdentity Managementに移動することができます。
フェイルオーバー環境を設定する手順は次のとおりです。
|
Copyright © 2002, 2006, Oracle. All Rights Reserved. |
|