| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B61378-01 |
|
 戻る |
 次へ |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B61378-01 |
|
戻る |
次へ |
この章では、Oracle Identity Managementエンタープライズ・デプロイメントで使用するために、Oracle Access Manager 10.1.4.3のインストールと構成を行う方法について説明します。
この章の内容は次のとおりです。
|
注意: この章に記載された手順の実行が完了すると、管理サーバーのコンソールにログインする際、Oracle Access Managerシングル・サインオン画面にリダイレクトされます。orcladminなどの管理者としてログインします。Oracle WebLogic Serverのログイン・ページが表示されます。Oracle WebLogic Server管理者としてログインします。 |
Oracle Access Managerにより、ユーザーは企業においてWebアプリケーションなどのITリソースへのアクセスをシームレスに取得できます。これにより、一元的で自動化されたシングル・サインオン(SSO)ソリューションが実現されます。このソリューションでは、拡張性のある認証方法セットが含まれ、ワークフローの定義が可能です。また、認証エンジンも含まれており、アクセスをリクエストしたユーザーのプロパティやリクエストが行われた環境に基づいて、特定のリソースに対するアクセス権限の付与や拒否を行います。包括的なポリシー管理、監査およびITインフラストラクチャで使用する他のコンポーネントとの統合により、この中核機能が強化されます。
Oracle Access Managerは、アクセス・サーバー、アイデンティティ・サーバー、Webパス、ポリシー・マネージャ、Webゲート、アクセス・ゲートおよびAccess SDKなどの各種コンポーネントで構成されています。アクセス・サーバーとアイデンティティ・サーバーは、エンタープライズ・リソースへのアクセスに対するユーザー・リクエストの処理で必要なサーバー・コンポーネントです。ポリシー・マネージャとWebパスはそれぞれ、アクセス・サーバーとアイデンティティ・サーバーの管理コンソールです。Webゲートは、Oracle Access Managerに対する実際の施行ポイントとして動作するWebサーバー・エージェントです。また、アクセス・ゲートは、アプリケーション・サーバー・エージェントです。最後に、Access SDKはツールキットで、即時利用可能なソリューションが十分でない場合にユーザーが独自のWebゲートやアクセス・ゲートを作成するために用意されています。この章と第20章「管理コンソールに対するシングル・サインオンの構成」の指示に従って、エンタープライズ・デプロイメントで必要なOracle Access Managerコンポーネントのインストールと構成を行います。
Oracle Access Manager 10.1.4.3とその各種コンポーネントの詳細は、Oracle Access Manager概要のマニュアルで各マニュアルへのロードマップに関する項を参照してください。この項にはOracle Access Manager 10.1.4.3のドキュメント・セットに含まれる各マニュアルの説明が記載されています。
この項の内容は次のとおりです。
このマニュアルでは、Oracle Access Managerをシングル・サインオンのソリューションとしてお薦めします。ただし、お客様が10g Oracle Single Sign-onをデプロイした状況で、ソリューションとして継続して使用する場合でも、可能です。お客様がOracle E-Business Suiteをデプロイした場合や、Portal、Forms、ReportsまたはDiscovererをデプロイしたりデプロイする予定がある場合、Oracle Single Sign-OnとOracle Delegated Administration Serviceは必須コンポーネントです。
Oracle Single Sign-OnとOracle Delegated Administration Serviceは、11gリリースの一部ではありません。お客様はこれらの製品で10.1.4.*リリース版をダウンロードする必要があります。これらは、11gのOracle Internet DirectoryとOracle Directory Integration Platformと互換性があり、10gでアプリケーション・サーバー・インフラストラクチャとして知られていたものを形成しています。これらの10g製品をデプロイする方法の詳細は、Oracle Identity Managementリリース10.1.4.0.1の『Oracle Application Serverエンタープライズ・デプロイメント・ガイド』で第4章「JAZN-SSO/DASのインストールおよび構成」を参照してください。このファイルは、Oracle Technology Networkで入手できます。
http://download.oracle.com/docs/cd/B28196_01/core.1014/b28184/toc.htm
このマニュアルに記載されているOracle Access Manager 11gエンタープライズ・デプロイメント(図1-2「Oracle Access Manager 10gとOracle Identity Manager 11g」)では、Oracle Internet DirectoryをLDAPリポジトリとしてのみ使用しているOracle Access Managerを示しています。Oracle Access Managerではポリシーと構成データに対して単一のLDAPを使用します。ユーザー、組織およびグループが存在するアイデンティティ・ストアとして別のLDAPを構成できます。たとえば、Oracle Access ManagerインスタンスでOracle Internet Directoryをポリシーと構成のストアとして使用し、ユーザーとグループに対してMicrosoft Active Directoryのインスタンスを指定することができます。
また、アイデンティティ・ストアがOracle Virtual Directoryによってフロントエンドされ、データソースを仮想化できます。
Oracle Access Managerの各種ディレクトリ構成の詳細は、Oracle Technology Networkで10g Oracle Access Managerのドキュメントを参照してください。これらのバリエーションを検討するお客様は、バリエーションに応じてディレクトリ層とOracle Access Managerデプロイメントを調整する必要があります。
Oracle Access Managerコンポーネントをインストールする前に、次の作業が行われたことを確認してください。
前提条件の一覧の詳細は、Oracle Access Managerインストレーション・ガイドを参照してください。
この項の内容は次のとおりです。
Linuxシステムでは、コンポーネントのインストール中に、GCC 3.3.2ランタイム・ライブラリ互換のlibgcc_s.so.1とlibstdc++.so.5の場所を指定するように求められます。これらのファイルは、Oracle Technology Networkで入手できます。
http://www.oracle.com/technology/software/products/ias/htdocs/101401.html
Oracle Access Managerがインストールされているホストからアクセスできる場所にこれらのライブラリをコピーします。たとえば、Oracle Access Managerをインストールするユーザーのホーム・ディレクトリを使用します。この場合、/home/oracleになります。
Oracle Access Managerのインストーラには既知の不具合があり、Linuxではインストール中にハングすることがあります。これはInstallShieldにより発生するサードパーティ問題です。
この問題を回避する手順は次のとおりです。
次をコピーしてから、インストーラを起動するシェルに貼り付けます。
cd /tmp mkdir bin.$$ cd bin.$$ cat > mount <<EOF #! /bin/sh exec /bin/true EOF chmod 755 mount export PATH=`pwd`:$PATH
インストールを実行します。
インストーラの実行が終了したら、次のコマンドを使用してこの一時ディレクトリをクリーンします。
rm -r /tmp/bin.$$
この項では、Oracle Access Managerアイデンティティ・システムのインストールと構成を行う方法について説明します。アイデンティティ・システムのコンポーネントには、アイデンティティ・サーバーとWebパスが含まれます。
この項の内容は次のとおりです。
次の各項では、Oracle Access Managerアイデンティティ・サーバーをOAMHOST1とOAMHOST2にインストールする方法について説明します。
次の手順に従って、Oracle Access Managerアイデンティティ・サーバーをOAMHOST1にインストールします。
システムやパッチなどの要件が満たされていることを確認します。これらはOracle Access Managerインストレーション・ガイドの「アイデンティティ・サーバーのインストール」の章に記載されています。
Oracle Access Managerアイデンティティ・サーバーのコンポーネントを共有記憶域にプロビジョニングする場合、第2.4項「共有ストレージと推奨ディレクトリ構造」の説明に従って、適切な共有記憶域ボリュームがOAMHOST1にマウントされていることを確認します。
Oracle Access Managerソフトウェアのディスクからアイデンティティ・サーバーのインストーラを探して、次のようにインストーラを起動します。「-gui」オプションを渡して、インストーラのGUIコンソールを起動します。
./Oracle_Access_Manager10_1_4_3_0_linux_Identity_Server -gui
Oracle Access Managerアイデンティティ・サーバーのInstallShieldウィザードへようこそ画面で、「次へ」をクリックします。
アイデンティティ・サーバーで使用するユーザー名とグループを入力します。「oracle/oinstall」と指定します。
「次へ」をクリックします。
Oracle Access Managerアイデンティティ・サーバーのインストール・ディレクトリを指定します。次の値を指定します。
/u01/app/oracle/product/fmw/oam
|
注意: Oracle Access Managerのインストールのベースとなる場所は/u01/app/oracle/product/fmw/oamです。Oracle Access Managerコンポーネントは、インストーラによってこの場所の下に自動的に作成されたサブディレクトリにインストールされます。
アイデンティティ・サーバーは、インストーラによってベースとなる場所の下に作成された Oracle Access Managerアイデンティティ・サーバーのインストールに使用されるORACLE_HOMEの場所:
|
「次へ」をクリックします。
Oracle Identity Managerが次の場所(identityディレクトリはインストーラによって自動的に作成されます)にインストールされます。
/u01/app/oracle/product/fmw/oam/identity
GCCランタイム・ライブラリの場所(たとえば、/home/oracle/oam_lib)を指定します。
「次へ」をクリックします。
「インストールの進行状況」画面で、「次へ」をクリックします。
最初の「アイデンティティ・サーバー構成」画面で、Webパス/アイデンティティ・クライアントとアイデンティティ・サーバー間のトランスポート・セキュリティ・モードを指定します。次の中から選択します。
オープン・モード: 暗号化なし
簡易モード: SSLおよびOracleが提供する公開鍵証明書を使用した暗号化
証明書モード: SSLおよび外部CAが提供する公開鍵証明書を使用した暗号化
オープン・モードを選択します。
「次へ」をクリックします。
次の「アイデンティティ・サーバー構成」画面で、アイデンティティ・サーバー接続のアイデンティティ・サーバーID、ホスト名およびポート番号を指定します。
アイデンティティ・サーバーIDに一意の名前を入力します。たとえば、IdentityServer_OAMHOST1です。
アイデンティティ・サーバーのインストール先となるホスト名を入力します。ホスト名を解決できることを確認します。たとえば、oamhost1.mycompany.comと指定します。
アイデンティティ・サーバーがそのクライアントとの通信で使用するポート番号を入力します。たとえば、デフォルトのポート番号は6022です。
「次へ」をクリックします。
次の「アイデンティティ・サーバー構成」画面で、このLDAPディレクトリ・サーバーのネットワーク内で今回が最初のアイデンティティ・サーバーのインストールかどうかを尋ねられます。
「はい」を選択します。
「次へ」をクリックします。
アイデンティティ・サーバーとディレクトリ・サーバー間でSSLを設定する場合は、次の「アイデンティティ・サーバー構成」画面で適切なオプションを選択します。
ユーザー・データをホストするディレクトリ・サーバーはSSLで動作します
Oracleデータをホストするディレクトリ・サーバーはSSLで動作します
このマニュアルに記載されているエンタープライズ・デプロイメントでは、ファイアウォールの背後にあるコンポーネント間の通信でSSLは使用されません。
何も選択しないでください。
「次へ」をクリックします。
最初のユーザー・データをホストするディレクトリ・サーバーの構成画面で、LDAP対応ユーザー・ディレクトリ・ストアの詳細情報を指定します。
アイデンティティ・サーバーでは、LDAP対応ディレクトリ・サーバーに接続して、ユーザー・データを格納します。適切なディレクトリ・サーバーをドロップダウン・リストから選択します。
Oracle Virtual Directoryをユーザー・ストアとして使用する予定がある場合、「Data Anywhere」をドロップダウン・リストから選択します。
Oracle Internet Directoryをユーザー・ストアとして使用する予定がある場合、「Oracle Internet Directory」をドロップダウン・リストから選択します。
ご使用環境のニーズに基づいて適切に選択し、「次へ」をクリックします。
次のユーザー・データをホストするディレクトリ・サーバーの構成画面で、ユーザー・データとOracleデータを別々のディレクトリ・サーバーに配置するかどうかを指定します。ご使用環境の要件に基づいて適切に選択します。
「Oracleデータはユーザー・データ・ディレクトリに配置されます。」オプションを選択します。
このマニュアルにおけるエンタープライズ・デプロイメントでは、Oracleデータとユーザー・データを同じディレクトリに配置します。
「次へ」をクリックします。
次のユーザー・データをホストするディレクトリ・サーバーの構成画面で、Oracle Access Managerのスキーマを含めるようにユーザー・ストアのディレクトリ・スキーマをOAMインストーラにおいて自動的に更新するかどうかを指定します。
「はい」を選択して、「次へ」をクリックします。
ディレクトリ・サーバーの構成詳細情報を指定します。
ディレクトリ・サーバーが存在するホスト・マシンまたはIP:
oid.mycompany.com(ユーザー・ストアがOracle Internet Directoryに配置されている場合)
ovd.mycompany.com(ユーザー・ストアがOracle Virtual Directoryに配置されている場合)
ポート番号: 389(非SSLポート)
ルートDN: cn=orcladmin(アイデンティティ・システムの設定中にPersonオブジェクト・クラスを変更した場合を除いて、これがデフォルトです)
ルート・パスワード: ユーザー・データのディレクトリ・サーバーにおけるルートDNのパスワードです。
「次へ」をクリックします。
「ディレクトリ・サーバーへディレクトリ・スキーマを更新しています」画面が表示されます。更新処理は、しばらく時間がかかる場合があります。
Readmeファイルを参照してください。
「次へ」をクリックし、インストール・サマリーを表示します。
このインストールで指定した詳細がインストール・サマリーに表示され、このインストールの最後にアイデンティティ・サーバーを起動するように求められます。
「次へ」をクリックします。
「終了」をクリックし、インストールを完了させます。
アイデンティティ・サーバーを起動し、インストールが正常に完了したことを確認します。ORACLE_HOME/identity/oblix/apps/common/binディレクトリの下にあるstart_ois_serverスクリプトを実行し、アイデンティティ・サーバーをOAMHOST1で起動します。ORACLE_HOMEは、アイデンティティ・サーバーのインストール場所です。
|
注意: NPTLスレッド・モデルを使用する場合は、かわりにstart_ois_server_nptlスクリプトを実行します。 |
次の手順に従って、2つ目のOracle Access Managerアイデンティティ・サーバーをIDMHOST2にインストールします。
システムやパッチなどの要件が満たされていることを確認します。これらはOracle Access Managerインストレーション・ガイドの「アイデンティティ・サーバーのインストール」の章に記載されています。
Oracle Access Managerアイデンティティ・サーバーのコンポーネントを共有記憶域にプロビジョニングする場合、第2.4項「共有ストレージと推奨ディレクトリ構造」の説明に従って、適切な共有記憶域ボリュームがOAMHOST2にマウントされていることを確認します。
Oracle Access Managerソフトウェアのディスクからアイデンティティ・サーバーのインストーラを探して、次のようにインストーラを起動します。「-gui」オプションを渡して、インストーラのGUIコンソールを起動します。
./Oracle_Access_Manager10_1_4_3_0_linux_Identity_Server -gui
Oracle Access Managerアイデンティティ・サーバーのInstallShieldウィザードへようこそ画面で、「次へ」をクリックします。
アイデンティティ・サーバーで使用するユーザー名とグループを入力します。「oracle/oinstall」と指定します。
「次へ」をクリックします。
Oracle Access Managerアイデンティティ・サーバーのインストール・ディレクトリを指定します。次の値を指定します。
/u01/app/oracle/product/fmw/oam
|
注意: Oracle Access Managerのインストールのベースとなる場所は/u01/app/oracle/product/fmw/oamです。Oracle Access Managerコンポーネントは、インストーラによってこの場所の下に自動的に作成されたサブディレクトリにインストールされます。
アイデンティティ・サーバーは、インストーラによってベースとなる場所の下に作成された Oracle Access Managerアイデンティティ・サーバーのインストールに使用されるORACLE_HOMEの場所:
|
「次へ」をクリックします。
Oracle Identity Managerが次の場所(identityディレクトリはインストーラによって自動的に作成されます)にインストールされます。
/u01/app/oracle/product/fmw/oam/identity
GCCランタイム・ライブラリの場所(たとえば、/home/oracle/oam_lib)を指定します。
「次へ」をクリックします。
「インストールの進行状況」画面で、「次へ」をクリックします。
最初の「アイデンティティ・サーバー構成」画面で、Webパス/アイデンティティ・クライアントとアイデンティティ・サーバー間のトランスポート・セキュリティ・モードを指定します。次の中から選択します。
オープン・モード: 暗号化なし
簡易モード: SSLおよびOracleが提供する公開鍵証明書を使用した暗号化
証明書モード: SSLおよび外部CAが提供する公開鍵証明書を使用した暗号化
オープン・モードを選択します。
「次へ」をクリックします。
次の「アイデンティティ・サーバー構成」画面で、アイデンティティ・サーバー接続のアイデンティティ・サーバーID、ホスト名およびポート番号を指定します。
アイデンティティ・サーバーIDに一意の名前を入力します。たとえば、IdentityServer_OAMHOST2です。
アイデンティティ・サーバーのインストール先となるホスト名を入力します。ホスト名を解決できることを確認します。たとえば、oamhost2.mycompany.comです。
アイデンティティ・サーバーがそのクライアントとの通信で使用するポート番号を入力します。たとえば、デフォルトのポート番号は6022です。
「次へ」をクリックします。
次の「アイデンティティ・サーバー構成」画面で、このLDAPディレクトリ・サーバーのネットワーク内で今回が最初のアイデンティティ・サーバーのインストールかどうかを尋ねられます。
「いいえ」を選択します。
「次へ」をクリックします。
アイデンティティ・サーバーとディレクトリ・サーバー間でSSLを設定する場合は、次の「アイデンティティ・サーバー構成」画面で適切なオプションを選択します。
ユーザー・データをホストするディレクトリ・サーバーはSSLで動作します
Oracleデータをホストするディレクトリ・サーバーはSSLで動作します
このマニュアルに記載されているエンタープライズ・デプロイメントでは、ファイアウォールの背後にあるコンポーネント間の通信でSSLは使用されません。
何も選択しないでください。
「次へ」をクリックします。
これによって構成画面が表示されます。構成が完了すると、ReadMeファイルが表示されます。
Readmeファイルを参照してください。
「次へ」をクリックし、インストール・サマリーを表示します。
このインストールで指定した詳細がインストール・サマリーに表示され、このインストールの最後にアイデンティティ・サーバーを起動するように求められます。
「次へ」をクリックします。
「終了」をクリックし、インストールを完了させます。
アイデンティティ・サーバーを起動し、インストールが正常に完了したことを確認します。ORACLE_HOME/identity/oblix/apps/common/binディレクトリの下にあるstart_ois_serverスクリプトを実行し、アイデンティティ・サーバーをOAMHOST2で起動します。ORACLE_HOMEは、アイデンティティ・サーバーのインストール場所です。
この項では、Oracle HTTP ServerコンポーネントをOAMADMINHOSTにインストールする方法について説明します。
次の手順に従って、Oracle HTTP ServerをOAMADMINHOSTにインストールします。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』にこれらの一覧が記載されています。このガイドは、ご使用のプラットフォームとリリースに対応したOracle Fusion Middlewareドキュメント・ライブラリにあります。
Oracle HTTP Serverを共有記憶域にプロビジョニングする場合、第2.4項「共有ストレージと推奨ディレクトリ構造」の説明に従って、適切な共有記憶域ボリュームがOAMADMINHOST1にマウントされていることを確認します。
デフォルトでは、Oracle HTTP Serverはポート7777でインストールされます。使用しているオペレーティング・システムに対して次のコマンドを発行して、ポートの7777、8889および4443が、OAMADMINHOSTで他のサービスに使用されていないことを確認します。ポートが使用されていない場合は、コマンドから出力は返されません。
UNIX:
netstat -an | grep "7777" netstat -an | grep "8889" netstat -an | grep "4443"
ポートが使用されている(コマンドからポートを識別する出力が返された)場合は、ポートを解放する必要があります。
UNIX:
ポートが使用されている場合、第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、/etc/servicesファイルでポートの7777、8889および4443のエントリを削除して、サービスを再起動するかコンピュータを再起動します。
Disk1/stage/Responseディレクトリから一時ディレクトリにstaticports.iniファイルをコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集し、次のカスタム・ポートを割り当てます。
#The http main port for ohs component OHS Port = 7777 #This port indicates the OHS Proxy Port OHS Proxy Port = 8889 #This port indicates the OHS SSL port OHS SSL Port = 4443
次の手順で、Oracle Fusion Middleware 11g Web Tier UtilitiesのCDをインストールするためにOracle Universal Installerを起動します。
UNIXでは、runInstallerコマンドを発行します。
runInstallerファイルは、../install/platformディレクトリにあります。ここでplatformは、LinuxやSolarisなどのプラットフォームを示します。
Oracleインベントリの指定画面が表示されます。
「インベントリ・ディレクトリの指定」画面で、Oracleインベントリ・ディレクトリとオペレーティング・システム・グループ名の値を入力します。次に例を示します。
インベントリ・ディレクトリの指定: /u01/app/oraInventory
オペレーティング・システム・グループ名: oinstall
ダイアログ・ボックスに次のメッセージが表示されます。
インストールを続行する前に、root権限で特定の処理を実行する必要があります。/u01/app/oraInventory/createCentralInventory.shスクリプトを別のウィンドウで実行してから「OK」を押してインストールを続行します。root権限はないがインストールを続行する場合、「ローカル・インベントリでインストールを続行」オプションを選択してください。
rootとしてログインし、「/u01/app/oraInventory/createCentralInventory.sh」を実行します。
これによって、Oracle Inventory Directoryに必要な権限が設定され、「ようこそ」画面が表示されます。
|
注意: Oracle製品が以前にホスト上でインストールされた場合、Oracleインベントリ画面は表示されません。Oracleインベントリ画面がこのインストールで表示されない場合、次を確認してください。
|
「ようこそ」画面で、「次へ」をクリックします。
「インストール・タイプの選択」画面で、「インストールと構成」を選択し、「次へ」をクリックします。
「前提条件のチェック」画面で、すべての前提条件が満たされていることを確認してから、「次へ」をクリックします。
「インストール場所の指定」画面で、OAMADMINHOSTの場所を次のように設定します。
/u01/app/oracle/product/fmw/web
「次へ」をクリックします。
|
注意: Oracle HTTP ServerのインストールにおいてORACLE_HOMEの場所は/u01/app/oracle/product/fmw/webです。 |
「コンポーネントの構成」画面で次を選択し、他のコンポーネントの選択は解除します。
Oracle HTTP Server
選択されたコンポーネントとWebLogicドメインの関連付け
「次へ」をクリックします。
WebLogicドメインの指定画面で、Oracle WebLogic Serverがインストールされた場所を入力します。管理サーバーが実行されている必要があります。
ドメイン・ホスト名: idmhost-vip.us.oracle.com
ドメインのポート番号: 7001
ユーザー名: weblogic
パスワード: ******
「次へ」をクリックします。
コンポーネントの詳細の指定画面で、OAMADMINHOSTのために次の値を入力します。
インスタンス・ホームの場所:
/u01/app/oracle/admin/oamAdmin_ohs
インスタンス名: oamAdmin_ohs
OHSコンポーネント名: oamAdmin_ohs
「次へ」をクリックします。
「ポートの構成」画面で、構成ファイルを使用してポートを指定を選択して、一時ディレクトリで編集したstaticports.iniファイルのフルパス名を入力します。
「次へ」をクリックします。
「セキュリティ更新用の電子メールの指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウント用の電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウント用のパスワードを指定します。
「セキュリティ・アップデートをMy Oracle Support経由で受け取ります。」フィールドの隣にあるチェック・ボックスを選択します。
「次へ」をクリックします。
「構成サマリー」画面で、選択が正しいことを確認してから、「インストール」をクリックします。
「構成」画面で、複数のConfiguration Assistantが連続して起動されるため、時間がかかることがあります。このプロセスの完了後、「構成が完了しました」画面が表示されます。
「構成が完了しました」画面で「終了」をクリックします。
第4.4.3項「Oracle HTTP Serverの11.1.1.2から11.1.1.3へのアップグレード」の説明に従って、Oracle HTTP Serverをアップグレードします。
次の手順を実行して、Oracle HTTP Serverのインストールを検証します。
opmnctl statusコマンドをINSTANCE_HOME/binディレクトリで実行します。次に例を示します。
$ cd /u01/app/oracle/admin/oamAdmin_ohs/bin $ ./opmnctl status Processes in Instance: oamAdmin_ohs ---------------------------------+--------------------+---------+--------- ias-component | process-type | pid | status ---------------------------------+--------------------+---------+--------- oamAdmin_ohs | OHS | 28575 | Alive
Webブラウザを開いてから、http://hostname.mycompany.com:portのURLに移動し、デフォルトのOracle HTTP Serverホーム・ページを表示します。次に例を示します。
http://oamadminhost.mycompany.com:7777
次の手順に従って、Oracle Access ManagerのWebパスをOAMADMINHOSTにインストールします。
システムやパッチなどの要件が満たされていることを確認します。これらはOracle Access Managerのインストレーション・ガイドの「Webパスのインストール」に記載されています。
Webパスを共有記憶域にプロビジョニングする場合、第2.4項「共有ストレージと推奨ディレクトリ構造」の説明に従って、適切な共有記憶域ボリュームがOAMADMINHOST1にマウントされていることを確認します。
WebパスのインストーラをOracle Access Managerソフトウェアのディスクで探し、次に示すようにインストーラを起動します。「-gui」オプションを渡してGUIコンソールを起動します。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_WebPass -gui
Oracle Access Manager 10.1.4.3.0 WebパスのInstallShieldウィザードへようこそ画面で、「次へ」をクリックします。
顧客情報画面で、アイデンティティ・サーバーで使用するユーザー名とグループを入力します。ユーザー名とグループのデフォルト値はnobodyです。たとえば、「oracle/oinstall」と入力します。
「次へ」をクリックします。
Oracle Access Manager Webパスのインストール・ディレクトリを指定します。たとえば、次のように入力します。
/u01/app/oracle/product/fmw/oam/webcomponents
「次へ」をクリックします。
|
注意: Oracle Access Manager Webコンポーネントのインストールにおいてベースとなる場所は/u01/app/oracle/product/fmw/oam/webcomponentsです。インストーラによってこの場所の下に自動的に作成されたサブディレクトリに、Oracle Access Manager Webコンポーネントがインストールされます。
インストーラによってベースとなる場所の下に作成された Oracle Access Manager Webパスのインストールに使用するORACLE_HOMEの場所:
|
Oracle Access Manager 10.1.4.3 Webパスが次のディレクトリにインストールされます。
/u01/app/oracle/product/fmw/oam/webcomponents/identity
Oracle Access Manager Webパスの構成画面で、GCCランタイム・ライブラリの場所を指定します。たとえば、/home/oracle/oam_libです。
「次へ」をクリックします。
Oracle Access Manager Webパスのインストール画面が表示されます。
Webパスの構成画面が表示されたら、Webパス/アイデンティティ・クライアントとアイデンティティ・サーバー間のトランスポート・セキュリティ・プロトコルを指定します。アイデンティティ・サーバーで選択したプロトコルと同じプロトコルを必ず選択してください。オープン・モードを選択します。
「次へ」をクリックします。
一連のWebパスの構成における次の画面が表示されます。アイデンティティ・サーバー接続に使用するWebパスID、ホスト名およびポート番号を指定します。
WebパスIDに一意の名前を入力します。たとえば、WebPass_OAMADMINHOSTです。
このWebパスの通信先となるアイデンティティ・サーバーのホスト名を指定します。たとえば、oamhost1.mycompany.comと指定します。
このWebパスで通信する相手であるアイデンティティ・サーバーのポート番号を指定します。たとえば、デフォルトのポート番号は6022です。
「次へ」をクリックします。
Oracle Access Manager Webパスが、Oracle Access Manager Webパスのインストール・ディレクトリにインストールされます。Oracle Access Manager Webパスのモジュールを使用するには、構成をWebサーバーのディレクトリで変更することでWebサーバーを構成します。
「httpd.confの自動更新を続行しますか。」の質問が表示されたら、「はい」を選択します。
「次へ」をクリックします。
Webサーバーのconfigディレクトリにあるhttpd.confの絶対パスを入力します。httpd.confファイルの絶対パスは次のとおりです。
/u01/app/oracle/admin/instanceName/config/OHS/componentName/httpd.conf
次に例を示します。
/u01/app/oracle/admin/oamAdmin_ohs/config/OHS/oamAdmin_ohs/httpd.conf
「次へ」をクリックします。
WebサーバーがSSLモードで設定されている場合にhttpd.confファイルをSSLパラメータで構成する必要があることが画面に表示されます。
手動でSSL構成を調整するには、画面の指示に従います。
「次へ」をクリックします。
残りの製品設定とWebサーバー構成に関する情報がドキュメント(documentLocation)に記載されていることが画面に表示されます。インストーラからブラウザを起動してドキュメントを表示するかどうかが画面で尋ねられます。
「いいえ」を選択して、「次へ」をクリックします。
画面には、ブラウザを起動してdocumentLocationドキュメントを開き、Webサーバーの構成方法を確認するように表示されます。
「次へ」をクリックします。
Coreid 10.1.4.3.0 ReadMe画面で、「次へ」をクリックします。
このインストールで指定した詳細がインストール・サマリーに表示され、このインストールの最後にアイデンティティ・サーバーを起動するように求められます。「次へ」をクリックします。
「終了」をクリックし、インストールを完了させます。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP ServerをOAMADMINHOSTで再起動します。
アイデンティティ・サーバーとWebパスのWebサーバーが稼働していることを確認するには、次のURLをWebブラウザで指定して、アイデンティティ・システム・コンソールに移動します。
http://hostname:port/identity/oblix
ここで、hostnameはWebパスのOracle HTTP Serverインスタンスが実行されているホストを示し、portはOracle HTTP ServerインスタンスのHTTPポートを示します。
たとえば、次のURLをWebブラウザで入力します。
http://oamadminhost.mycompany.com:7777/identity/oblix
アイデンティティ・システムの初期ページが表示されます。
アイデンティティ・システムの初期ページにあるリンクは選択しないでください。システムは設定されていないからです。
この項では、Webパスを使用してアイデンティティ・サーバーをOAMHOST1とOAMHOST2に構成する方法について説明します。
アイデンティティ・サーバーとWebパス・インスタンスのインストールが完了したら、システムが機能するようにこれらの関連付けを指定する必要があります。次の手順に従って、最初のアイデンティティ・サーバーを構成します。
次のURLをWebブラウザで指定して、アイデンティティ・システム・コンソールに移動します。
http://hostname:port/identity/oblix
ここで、hostnameはWebパスのOracle HTTP Serverインスタンスが実行されているホストを示し、portはOracle HTTP ServerインスタンスのHTTPポートを示します。
たとえば、次のURLをWebブラウザで入力します。
http://oamadminhost.mycompany.com:7777/identity/oblix
「アイデンティティ・システム・コンソール」リンクをクリックします。
システム・コンソール・アプリケーションが設定されていないページで、「セットアップ」ボタンをクリックします。
「製品設定」ページで、ユーザー・データのディレクトリ・サーバー・タイプを指定します。ご使用の環境が構成されている方法に基づいて、「Oracle Virtual Directory」または「Oracle Internet Directory」選択します。
「次へ」をクリックします。
スキーマの変更ページで、「次へ」をクリックします。何も行う必要はありません。スキーマはアイデンティティ・サーバーのインストールにおいて更新されたからです。
ご使用のインストールに基づいて、ユーザー・データのディレクトリ詳細を指定します。
ホスト: ユーザー・データのディレクトリ・サーバーのDNSホスト名です。次を入力します。
oid.mycompany.com(ユーザー・ストアがOracle Internet Directoryに配置されている場合)
ovd.mycompany.com(ユーザー・ストアがOracle Virtual Directoryに配置されている場合)
ポート番号: ユーザー・データのディレクトリ・サーバーのポートです。たとえば、389です。
ルートDN: ユーザー・データのディレクトリ・サーバーのバインド識別名です。たとえば、cn=orcladminです。
ルート・パスワード: バインド識別名のパスワードです。
ディレクトリ・サーバー・セキュリティ・モード: ユーザー・データのディレクトリ・サーバーとアイデンティティ・サーバー間のオープンまたはSSL有効です。「オープン」を選択します。
構成データもこのディレクトリに保存されていますか。: Yes(デフォルト)
「次へ」をクリックします。
構成データとOracle Access Manager検索ベースの場所ページで、ユーザー・データの検索ベースと構成データのバインドDN(識別名)を指定します。構成DNは、Oracle Access Managerが構成データを保存する保存先ディレクトリ・ツリーです。検索ベースは、ユーザー・データが格納されるディレクトリ・ツリーのノードですが、一般的にすべてのユーザー検索において最も高いベースになります。
ユーザー・データと構成データが同じディレクトリにある場合、エントリは次のように指定できます。
構成DN: dc=mycompany,dc=com
検索ベース: dc=mycompany,dc=com
「次へ」をクリックします。
|
注意: Oracle Access Managerアイデンティティ・サーバーとOracle Access Managerアクセス・サーバーの構成DNは同じにする必要があります。また、構成データと検索データが別々のディレクトリにある場合、それらには一意のDNが付与されている必要があります。検索ベースは「o=Oblix, configurationDN」や「ou=Oblix, configurationDN」にできません。 |
「人オブジェクト・クラス」画面で、次に示すようにユーザー・マネージャのPersonオブジェクト・クラスを指定します。
人オブジェクト・クラス: inetorgPerson
「自動構成オブジェクト・クラス」テキスト・ボックスをクリックします。
「次へ」をクリックします。
|
注意: この設定中に指定したPersonオブジェクト・クラスは、ユーザー・マネージャのアプリケーションで使用するPersonオブジェクト・クラスです。 |
「グループ・オブジェクト・クラス」画面で、次に示すようにグループ・オブジェクト・クラスを指定します。たとえば、グループ・オブジェクト・クラスは、次のようなエントリになります。
グループ・オブジェクト・クラス: GroupofUniqueNames
「自動構成オブジェクト・クラス」テキスト・ボックスをクリックします。
「次へ」をクリックします。
|
注意: この設定中に指定したグループ・オブジェクト・クラスは、グループ・マネージャのアプリケーションで使用するグループ・オブジェクト・クラスのみです。 |
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、HTTPサーバーを停止することで、WebパスのWebサーバー・インスタンスをOAMADMINHOSTで停止します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、OAMHOST1とOAMHOST2でアイデンティティ・サーバーを停止してから再起動します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、HTTPサーバーを起動することで、WebパスのWebサーバー・インスタンスをOAMADMINHOSTで起動します。
Oracle Access Manager製品設定に戻るウィンドウで、「次へ」をクリックします。
自動的に実行されたPersonオブジェクト・クラス変更に関する要約画面が表示され、画面に「次の構成はオブジェクトクラス'inetorgperson'に対して正しいですか。」の質問が表示されます。
Personオブジェクト・クラスの属性を確認して、「はい」をクリックします。
自動的に実行されたグループ・オブジェクト・クラス変更に関する要約画面が表示され、画面に「次の構成はオブジェクトクラス'groupOfUniqueNames'に対して正しいですか。」の質問が表示されます。
グループ・オブジェクト・クラスの属性を確認して、「はい」をクリックします。
「管理者の構成」ページでは、orcladminユーザーがマスター管理者としてデフォルトで構成されます。別の管理者ユーザーを追加しない場合、「次へ」をクリックします。
別のユーザーを管理者として追加するには、「ユーザーの選択」ボタンをクリックして、「セレクタ」ページを開きます。
「セレクタ」ページで、管理者として選択するユーザーの検索基準をフィールドに入力して、「実行」をクリックします。検索結果が返されるようにするには、3文字以上の文字列を入力する必要があります。
指定した基準に一致する検索結果が表示されます。
管理者として選択するユーザーの隣にある「追加」をクリックします。
右側の「選択」列にそのユーザーの名前が表示されます。
必要に応じて他の名前を追加します。
「完了」をクリックします。
「管理者の構成」ページで、管理者としてリストされた選択ユーザーを表示します。
「次へ」をクリックします。
データ・ディレクトリの保護ページで、「完了」をクリックして、アイデンティティのセットアップを完了させます。
Oracle Access Managerシステム・コンソールに次のURLでアクセスします。
http://OAMADMINHOST:port/identity/oblix
前述のURLで、portはOracle HTTP Serverのポートを示します。
たとえば、次のURLをWebブラウザで入力します。
http://oamadminhost.mycompany.com:7777/identity/oblix
「ユーザー・マネージャ」、「グループ・マネージャ」または「組織マネージャ」をクリックし、新しく作成した管理者ユーザーの資格証明を使用してログインします。
次の手順に従って、2つ目のアイデンティティ・サーバーを構成します。
次のURLをWebブラウザで指定して、アイデンティティ・システム・コンソールに移動します。
http://hostname:port/identity/oblix
前述のURLで、hostnameはWebパスのWebサーバーをホストするコンピュータを示し、portはWebパスのWebサーバー・インスタンスのHTTPポート番号を示します。
たとえば、次のURLをWebブラウザで入力します。
http://oamadminhost.mycompany.com:7777/identity/oblix
「アイデンティティ・システム・コンソール」リンクをクリックします。
ログイン・ダイアログ・ボックスが表示されます。
管理者ユーザーの名前とパスワードを指定します。
「ログイン」をクリックします。
「システム構成」画面で、「アイデンティティ・システム・コンソール」をクリックしてから、「システム構成」→「アイデンティティ・サーバー」を選択します。
「追加」をクリックして、次に示す値を「新規アイデンティティ・サーバーの追加」画面で指定します。
名前: idserver_oamhost2
ホスト名: oamhost2.mycompany.com
ポート: 6022
デバッグ: オフ
デバッグ・ファイル名: /oblix/logs/debugfile.lst
トランスポート・セキュリティ: オープン
ご使用の環境で必要な場合を除いて、残りのパラメータはデフォルト値のままにします。
最大セッション時間(時間): 24(デフォルト)
スレッド数: 20(デフォルト)
データベースの監査フラグ(監査オン/オフ): オフ(デフォルト)
ファイルの監査フラグ(監査オン/オフ): オフ(デフォルト)
監査ファイル名: 空欄にします(デフォルト)
監査ファイル最大サイズ(バイト): 100000(デフォルト)
監査ファイル・ローテーション間隔(秒): 7200(デフォルト)
監査バッファ最大サイズ(バイト): 25000(デフォルト)
監査バッファ・フラッシュ間隔(秒): 7200(デフォルト)
スコープ・ファイル名: /oblix/logs/scopefile.lst(デフォルト)
SNMP状態: 「オフ」(デフォルト)
SNMPエージェント登録ポート: 80(デフォルト)
「保存」をクリックします。
「アイデンティティ・システム・コンソール」をクリックしてから、「システム構成」→「Webパス」を選択します。
OAMWebPass_OAMADMINHOSTインスタンスがリストに表示されます。
OAMADMINHOSTのWebパス・インスタンスをクリックします。
「Webパスの詳細」画面で、「COREidサーバーのリスト」をクリックします。
そのWebパスに関連付けられたアイデンティティ・サーバーが表示されます。
「追加」をクリックします。
「Webパスへ新規アイデンティティ・サーバーを追加」画面で、次を実行します。
OAMHOST2にインストールされたアイデンティティ・サーバーを選択します。
「プライマリ・サーバー」を選択して、接続を2つ指定します。
「追加」をクリックします。
「COREidサーバーのリスト」画面で、OAMHOST1にインストールされたアイデンティティ・サーバーを選択し、接続数を2に更新します。
これで、アイデンティティ・システムの構成が完了しました。
アクセス・システムのインストールを開始できます。アクセス・システムには、ポリシー・マネージャ、アクセス・サーバーおよびWebゲートのコンポーネントが含まれます。
この項では、アクセス・システムのインストールと構成に関する詳細について説明します。アクセス・システムのコンポーネントには、ポリシー・マネージャ、アクセス・サーバーおよびWebゲートのコンポーネントが含まれます。
この項の内容は次のとおりです。
アクセス・システムのインストールにおける最初の手順では、ポリシー・マネージャのインストールと構成を行います。
Oracle Access Managerのポリシー・マネージャは直接、インストールできます。
ポリシー・マネージャは、OAMADMINHOST上のWebパスと同じベース・ディレクトリにインストールする必要があります。
ポリシー・マネージャをインストールする手順は次のとおりです。
システムやパッチなどの要件が満たされていることを確認します。これらはOracle Access Managerのインストレーション・ガイドの「ポリシー・マネージャのインストール」に記載されています。
Oracle Access Managerのポリシー・マネージャを共有記憶域にプロビジョニングする場合、第2.4項「共有ストレージと推奨ディレクトリ構造」の説明に従って、適切な共有記憶域ボリュームがOAMADMINHOST1にマウントされていることを確認します。
ポリシー・マネージャのインストーラをOracle Access Managerソフトウェアのディスクで探し、次に示すようにインストーラを起動します。「-gui」オプションを渡してGUIコンソールを起動します。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_PolicyManager -gui
Oracle Access Managerポリシー・マネージャのInstallShieldウィザードへようこそ画面で、「次へ」をクリックします。
顧客情報画面で、アイデンティティ・サーバーで使用するユーザー名とグループを入力します。ユーザー名とグループのデフォルト値はnobodyです。たとえば、「oracle/oinstall」と入力します。
「次へ」をクリックします。
インストール・ディレクトリを指定するように求められます。
Webパスがインストールされたディレクトリを指定します。次に例を示します。
/u01/app/oracle/product/fmw/oam/webcomponent
「次へ」をクリックします。
|
注意: Oracle Access ManagerのWebパスとポリシー・マネージャのインストールにおいてベースとなる場所は/u01/app/oracle/product/fmw/oam/webcomponentです。インストーラによってこの場所の下に自動的に作成されたサブディレクトリに、Webパスとポリシー・マネージャのコンポーネントがインストールされます。
インストーラによってベースとなる場所の下に作成された Oracle Access Managerのポリシー・マネージャのインストールに使用する
|
Oracle Access Managerのポリシー・マネージャが次のディレクトリにインストールされます。
/u01/app/oracle/product/fmw/oam/webcomponents/access
GCCランタイム・ライブラリの場所を指定します。たとえば、「/home/oracle/oam_lib」と指定します。
「次へ」をクリックします。
進捗メッセージが表示されてから、「ポリシー・データのディレクトリ・サーバーの構成」画面に「ディレクトリ・サーバー・タイプ」ドロップダウン・リストが表示されます。
「Oracle Internet Directory」を選択します。
Oracle構成データやユーザー・データが格納されるディレクトリではないディレクトリ・サーバーにポリシー・データを格納するかどうかを指定するように求められます。格納する場合、ポリシー・データが格納されるディレクトリ・サーバーをインストーラで自動的に構成するかどうかも指定するように求められます。
「いいえ」を選択します。
「次へ」をクリックします。
ディレクトリ・サーバーでSSLモードを使用するためのAccess Managerの構成画面で、Oracle Internet Directoryの通信方式を指定するように求められます。
次の3つのオプションが表示されます。
ユーザー・データをホストするディレクトリ・サーバーはSSLで動作します
Oracleデータをホストするディレクトリ・サーバーはSSLで動作します
ポリシー・データをホストするディレクトリ・サーバーはSSLで動作します
これらのオプションは選択しないでください。「次へ」をクリックします。
ポリシー・マネージャの構成画面で、将来インストールする予定のあるアクセス・サーバーとこのAccess Manager間のトランスポート・セキュリティ・モードを指定するよう求められます。
オープン・モードを選択します。
「次へ」をクリックします。
「Webサーバーの構成」画面で、「httpd.confの自動更新を続行しますか。」オプションに対して「はい」を選択します。
「次へ」をクリックします。
httpd.confファイルが格納されているディレクトリのフルパスを指定します。パスのデフォルトは、OAMADMINHOSTにインストールされたOracle HTTP Serverにおけるhttpd.confファイルの場所になります。
「次へ」をクリックします。
Webサーバー構成がポリシー・マネージャ用に更新されたことを示すメッセージが表示されます。
WebサーバーがSSLモードで設定されている場合にhttpd.confファイルをSSLパラメータで構成する必要があることが画面に表示されます。
手動でSSL構成を調整するには、画面の指示に従います。
「次へ」をクリックします。
残りの製品設定とWebサーバー構成に関する情報がドキュメント(documentLocation)に記載されていることが画面に表示されます。インストーラからブラウザを起動してドキュメントを表示するかどうかが画面で尋ねられます。
「いいえ」を選択して、「次へ」をクリックします。
画面には、ブラウザを起動してdocumentLocationドキュメントを開き、Webサーバーの構成方法を確認するように表示されます。
「次へ」をクリックします。
Coreid 10.1.4.3.0 ReadMe画面で、「次へ」をクリックします。
インストールが正常に実行されたことを示すメッセージが表示されます。
「終了」をクリックします。
次に示すopmnctlコマンドを使用して、OAMADMINHOSTにインストールされたOracle HTTP Serverの停止と起動を行います。
ORACLE_INSTANCE/bin/ opmnctl stopproc ias-component=ohs1 ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ohs1
次のコマンドを使用して、OAMHOST1とOAMHOST2にインストールされたアイデンティティ・サーバーの停止と起動を行います。
ORACLE_HOME/identity/oblix/apps/common/bin/stop_ois_server ORACLE_HOME/identity/oblix/apps/common/bin/start_ois_server
前述のコマンドでORACLE_HOMEは、アイデンティティ・サーバーがインストールされたディレクトリを示します。
|
注意: NPTLスレッド・モデルを使用する場合は、かわりにstart_ois_server_nptlスクリプトを実行します。 |
Webブラウザを起動しポリシー・マネージャのホーム・ページを表示することで、ポリシー・マネージャが正常にインストールされたことを確認します。
http://oamadminhost.mycompany.com:7777/access/oblix
ポリシー・マネージャは、Oracle Internet Directoryと通信するように構成する必要があります。次の手順に従って、通信を構成します。
Webサーバーが実行されていることを確認します。
次のURLをWebブラウザで指定して、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
ここで、hostnameはポリシー・マネージャのOracle HTTP Serverインスタンスが実行されているホストを示し、portはOracle HTTP ServerインスタンスのHTTPポートを示します。
たとえば、次のURLをWebブラウザで入力します。
http://oamadminhost.mycompany.com:7777/access/oblix
|
注意: Webパスとポリシー・マネージャのコンポーネントは、OAMADMINHOSTの同じOracle HTTP Serverインスタンスを共有します。 |
「アクセス・システム・コンソール」リンクをクリックします。
管理コンソールのアプリケーションが設定されていないことを通知するメッセージが表示されます。
「セットアップ」ボタンをクリックします。
ユーザー・ディレクトリ・サーバーのタイプを指定するように求められます。
Oracle Virtual Directoryを使用する場合、「Data Anywhere」を選択します。Oracle Internet Directoryを使用する場合、「Oracle Internet Directory」を選択します。
ユーザー・データ用ディレクトリ・サーバーの場所画面で、次のサーバー詳細情報を指定します。
マシン: ユーザー・データのディレクトリ・サーバーのDNSホスト名を指定します。次を入力します。
oid.mycompany.com(ユーザー・ストアがOracle Internet Directoryに配置されている場合)
ovd.mycompany.com(ユーザー・ストアがOracle Virtual Directoryに配置されている場合)
ポート番号: ユーザー・データのディレクトリ・サーバーのポートを指定します。ディレクトリ・サーバーの非SSLポートを入力します。たとえば、389です。
ルートDN: ユーザー・データのディレクトリ・サーバーのバインドDN(識別名)を指定します。たとえば、cn=orcladminです。
ルート・パスワード: バインド識別名のパスワードを指定します。
ディレクトリ・サーバー・セキュリティ・モード: オープン
次のスクリーン・キャプチャは、ユーザー・ストアがOracle Internet Directoryに配置される場合のユーザー・データ用ディレクトリ・サーバーの場所画面の値を示しています。
次のスクリーン・キャプチャは、ユーザー・ストアがOracle Virtual Directoryに配置される場合のユーザー・データ用ディレクトリ・サーバーの場所画面の値を示しています。
「次へ」をクリックします。
構成データを含むディレクトリ・サーバーのタイプ画面で、「Oracle Internet Directory」を選択します。
「次へ」をクリックします。
ユーザー・データを含むディレクトリ・サーバーと、構成データを含むディレクトリ・サーバー画面で、ユーザー・データと構成データを保存するディレクトリは同じであっても異なっていてもかまわないことを通知するメッセージが表示されます。
「ユーザー・ディレクトリ・サーバーに構成データを格納」を選択します。
「次へ」をクリックします。
ユーザー・データを含むディレクトリ・サーバーと、ポリシー・データを含むディレクトリ・サーバー画面で、ユーザー・データとポリシー・データを保存するディレクトリは同じであっても異なっていてもかまわないことを通知するメッセージが表示されます。
「ユーザー・ディレクトリ・サーバーにポリシー・データを格納」を選択します。
Oracle Access Managerの構成データ、検索ベースおよびポリシー・ベースの場所画面で、インストールにおいて適切な情報を指定します。次に例を示します。
検索ベース: dc=mycompany,dc=com(アイデンティティ・サーバーの構成時に指定したものと同じ検索ベースにする必要があります)
構成DN: dc=mycompany,dc=com(アイデンティティ・サーバーの構成時に指定したものと同じ構成DNにする必要があります)
ポリシー・ベース: dc=mycompany,dc=com
「次へ」をクリックします。
「人オブジェクト・クラス」画面で、アイデンティティ・サーバー・システムの構成で指定したPersonオブジェクト・クラスを指定します。
人オブジェクト・クラス: inetorgperson
「次へ」をクリックします。
Webサーバーを再起動するように求められます。アイデンティティ・サーバーをWebサーバー・インスタンスとともに再起動する必要があります。次の一連の手順を実行します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP ServerをOAMADMINHOSTで停止します。
アイデンティティ・サーバーをOAMHOST1とOAMHOST2で再起動します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP ServerをOAMADMINHOSTで起動します。
「次へ」をクリックします。
ポリシー・ドメインのルート・ディレクトリ画面で、ポリシー・ドメインのルート・ディレクトリを指定します。
ポリシー・ドメインのルート・ディレクトリはデフォルトのままにします。次に例を示します。
ポリシー・ドメイン・ルート: /
「次へ」をクリックします。
「認証スキームの構成」画面で「はい」を選択し、自動的に認証スキームを構成します。
「次へ」をクリックします。
次の画面で、「Basic Over LDAP」とクライアント証明書認証スキームの両方を選択します。
「次へ」をクリックします。
「新規認証スキームの定義」画面で、Basic over LDAPのパラメータを指定します。画面の値は事前に入力されています。パラメータを確認します。ご使用の環境に応じてパラメータの値を変更します。
名前: Basic Over LDAP
説明: This scheme is Basic over LDAP, using the built-in browser login mechanism
レベル: 1
チャレンジ・メソッド: Basic
チャレンジ・パラメータ: realm: LDAPユーザー名/パスワード
プラグイン:
プラグイン名: credential_mapping
プラグイン・パラメータ:
obMappingBase="dc=mycompany,dc=com", obMappingFilter="(&(objectclass=inetorgperson) (uid=%userid%))"
プラグイン名: validate_password
プラグイン・パラメータ: obCredentialPassword="password"
「次へ」をクリックします。
「新規認証スキームの定義」画面で、クライアント証明書のパラメータを指定します。画面の値は事前に入力されています。パラメータを確認します。ご使用の環境に応じてパラメータの値を変更します。
名前: Client Certificate
説明: This scheme uses SSL and X.509 client certificates
レベル: 2
チャレンジ・メソッド: クライアント証明書
チャレンジ・パラメータ: realm: LDAPユーザー名/パスワード
プラグイン:
プラグイン名: cert_decode
プラグイン・パラメータ:
プラグイン名: credential_mapping
プラグイン・パラメータ:
obMappingBase="dc=mycompany,dc=com", obMappingFilter="(&(objectclass=inetorgperson) (mail=%certSubject.E%))"
「次へ」をクリックします。
図screenshot56.gifの説明
NetPointアイデンティティ・システムおよびAccess Managerを保護するためのポリシーの構成画面で「はい」を選択し、ポリシーを構成しアクセス・システム関連URLを保護します。
「次へ」をクリックします。
次のページで、データ・ディレクトリを保護してアイデンティティとアクセスのポリシー・ドメインを構成する指示が表示されます。指示の内容を確認してから作業を実行し、次の手順に従ってアイデンティティ・サーバーとWebサーバーのインスタンスを再起動します。
Webパスおよびポリシー・マネージャのWebサーバー・インスタンスをOAMADMINHOSTで停止します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、アイデンティティ・サーバーをOAMHOST1とOAMHOST2で停止してから起動します。
Webパスおよびポリシー・マネージャのWebサーバー・インスタンスをOAMADMINHOSTで起動します。
すべてのプロセスが再びバックアップされていることを確認してから、「完了」をクリックします。
ポリシー・マネージャのホーム・ページが表示されます。
次の手順に従って、ポリシー・マネージャが正常にインストールされていることを確認します。
Webブラウザでアクセス・システム・コンソールに移動します。次に例を示します。
http://hostname:port/access/oblix
ここで、hostnameはWebパスのOracle HTTP Serverインスタンスが実行されているホストを示し、portはOracle HTTP ServerインスタンスのHTTPポートを示します。
たとえば、次のURLをWebブラウザで入力します。
http://oamadminhost.mycompany.com:7777/access/oblix
「アクセス・システム・コンソール」リンクを選択します。
管理者としてログインします。
「アクセス・システム構成」タブを選択してから、「認証管理」が左の列に表示されたらクリックします。
構成されている認証スキーマのリストが表示されます。
アクセス・システムのインストールにおける2番目の手順では、アクセス・サーバーをインストールします。
アクセス・サーバーのインストールを開始する前に、インスタンスをアクセス・システム・コンソール内で作成する必要があります。
次の手順に従って、アクセス・サーバーのインスタンスを作成します。
次のURLをWebブラウザで指定して、アクセス・システム・コンソールにログインします。
http://hostname:port/access/oblix
ここで、hostnameはWebパスのOracle HTTP Serverインスタンスが実行されているホストを示し、portはOracle HTTP ServerインスタンスのHTTPポートを示します。
たとえば、次のURLをWebブラウザで入力します。
http://oamadminhost.mycompany.com:7777/access/oblix
アクセス・システムのメイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム構成」タブをクリックし、サイド・ナビゲーション・バーが表示されたら「アクセス・サーバー構成」をクリックします。
「追加」をクリックすると、「アクセス・サーバーの追加」ページに詳細が表示されます。
インストールするアクセス・サーバーに対して次に示すパラメータを指定します。
名前: アクセス・サーバーの名前です。この名前は、このディレクトリ・サーバーで使用されている名前と異なる名前にします。たとえば、AccessServer_OAMHOST1です。
ホスト名: アイデンティティ・サーバーのインストール先となるコンピュータの名前です。アクセス・システムではWebサーバー・インスタンスは不要です。たとえば、oamhost1.mycompany.comと指定します。
ポート: アクセス・サーバーがリスニングするポートです。たとえば、6023です。
トランスポート・セキュリティ: すべてのアクセス・サーバーと関連Webゲート間のトランスポート・セキュリティは一致する必要があります。「オープン」を指定します。
アクセス管理サービス: Webゲートでポリシー・マネージャのAPIが使用されている場合にのみ、これを有効にする必要があります。この場合は、「オン」を選択します。Webゲートでポリシー・マネージャのAPIを使用するからです。
残りの値がデフォルトとして事前に入力されているので確認します。ご使用の環境に応じて値を変更します。
「保存」をクリックします。
「アクセス・サーバー構成: すべてのアクセス・サーバーをリスト」ページに、このインスタンスへのリンクが表示されます。作成したアクセス・サーバーのリンクをクリックして、アクセス・サーバーが適切な値で作成されたことを確認します。
インストールする追加アクセス・サーバーごとに手順3〜6を繰り返します。値は適宜置き換えてください。たとえば、アクセス・サーバーの2つ目のインスタンスを作成する際、次の値を指定します。
名前: AccessServer_OAMHOST2
ホスト名: oamhost2.mycompany.com
「ログアウト」をクリックして、ブラウザ・ウィンドウを閉じます。
次の手順に従って、アクセス・サーバーのインストールをOAMHOST1とOAMHOST2で起動します。
アクセス・サーバーのインストーラをOracle Access Managerソフトウェアのディスクで探し、次に示すようにインストーラを起動します。「-gui」オプションを渡してGUIコンソールを起動します。管理者権限を持つユーザーとしてログインします。
./Oracle_Access_Manager10_1_4_3_0_linux_Access_Server -gui
Oracle Access Managerアクセス・サーバーのInstallShieldウィザードへようこそ画面で、「次へ」をクリックします。
顧客情報画面で、アイデンティティ・サーバーで使用するユーザー名とグループを入力します。ユーザー名とグループのデフォルト値はnobodyです。たとえば、「oracle/oinstall」と入力します。
「次へ」をクリックします。
Oracle Access Managerアクセス・サーバーのインストール・ディレクトリを指定します。たとえば、次のように入力します。
/u01/app/oracle/product/fmw/oam
|
注意: Oracle Access Managerアクセス・サーバーのインストールにおいてベースとなる場所は/u01/app/oracle/product/fmw/oamです。Oracle Access Managerコンポーネントは、インストーラによってこの場所の下に自動的に作成されたサブディレクトリにインストールされます。
インストーラによってベースとなる場所の下に作成された Oracle Access Managerアクセス・サーバーのインストールに使用するORACLE_HOMEの場所: /u01/app/oracle/product/fmw/oam/access |
「次へ」をクリックします。
Oracle Access Managerアクセス・サーバーが次の場所(accessディレクトリはインストーラによって自動的に作成されます)にインストールされます。
/u01/app/oracle/product/fmw/oam/access
「次へ」をクリックします。
GCCランタイム・ライブラリの場所を指定します。たとえば、/home/oracle/oam_libです。
「次へ」をクリックします。
「インストールの進行状況」画面が表示されます。インストールのプロセスが完了すると、「アクセス・サーバー構成」画面が表示されます。
「アクセス・サーバー構成」画面で、トランスポート・セキュリティ・モードを指定するように求められます。
トランスポート・セキュリティ・モードを指定します。すべてのアクセス・システム・コンポーネント(ポリシー・マネージャ、アクセス・サーバーおよび関連Webゲート)間でトランスポート・セキュリティは一致する必要があります。オープン・モード、簡易モードまたは証明書モードを選択します。
オープン・モードを選択します。
「次へ」をクリックします。
次の「アクセス・サーバー構成」画面で、Oracle構成データを格納するディレクトリ・サーバーの実行モードを指定するように求められます。
「オープン」を選択します。これがデフォルトの選択です。
同じ画面で、次のディレクトリ・サーバー詳細を指定します。
ホスト: Oracle構成データのディレクトリ・サーバーのDNSホスト名を指定します。たとえば、oid.mycompany.comです。
ポート番号: Oracle構成データのディレクトリ・サーバーのポートを指定します。たとえば、389(OIDの非SSLポート)です。
ルートDN: Oracle構成データのディレクトリ・サーバーのバインド識別名を指定します。たとえば、cn=orcladminです。
「ルート・パスワード」: バインド識別名のパスワードを指定します。
Oracle構成データを含むディレクトリ・サーバーのタイプ: 「Oracle Internet Directory」を選択します。
「次へ」をクリックします。
次の「アクセス・サーバー構成」画面で、Oracle Access Managerのポリシー・マネージャが格納されている場所を指定します。「Oracleディレクトリ」を選択し、「次へ」をクリックします。
第10.4.2.1項「アクセス・サーバーのインスタンスの作成」でアクセス・サーバーのインスタンスを作成する際に指定したアクセス・サーバーID、構成DNおよびポリシー・ベースを次の「アクセス・サーバー構成」画面で指定します。
リクエストされた詳細を入力します。次に例を示します。
アクセス・サーバーID: AccessServer_OAMHOST1
構成DN: dc=mycompany,dc=com
ポリシー・ベース: dc=mycompany,dc=com
Oracle COREId 10.1.4.3 ReadMe画面の情報を確認します。
「次へ」をクリックします。
インストールが正常に実行されたことを示すメッセージが表示されます。
「終了」をクリックします。
アクセス・サーバーを起動します。これによって、アクセス・サーバーが正常にインストールされて動作することを確認できます。
アクセス・サーバーを起動する手順は次のとおりです。
次のディレクトリに移動します。
ORACLE_HOME/access/oblix/apps/common/bin
ORACLE_HOMEは、Oracle Access Managerアクセス・サーバーがインストールされている場所を示します。
次のスクリプトを実行します。
start_access_server
NPTLスレッド・モデルを使用する場合、次のスクリプトをかわりに実行します。
start_access_server_nptl
ここまでの手順をOAMHOST2でも繰り返します。ホスト名は適宜置き換えてください。
アクセス・システムのインストールにおける3番目の手順では、Webゲートをインストールします。
この項の内容は次のとおりです。
Oracle Access Manager構成ツール(OAM構成ツール)は、シングル・サインオンをOracle Access Managerで自動的に有効にするために用意されているコマンドライン・ユーティリティです。OAM構成ツールでは一連のスクリプトを実行して、必須ポリシーを設定します。パラメータのセットが入力として必要です。特に、ツールでは次を作成します。
Oracle Access Managerのフォーム認証スキーム
Oracle WebLogic Serverにおいて認証を可能にするポリシー
オプションで、Oracle Access ManagerのWebゲート用プロファイルにより、Oracle HTTP ServerのWebゲートを(Web層から)有効にして、構成されているアプリケーションを保護します。このオプションが選択されていると、ツールを使用して構成したアプリケーションごとにWebゲート用プロファイルが作成されます。
ホスト識別子: 選択するシナリオによって異なります。ホスト識別子を使用して、リクエストをアプリケーションに送信するWebゲート・ホストを構成します。ホスト識別子が指定されていないと、デフォルトのホスト識別子が「app_domain」の名前で作成されます。
アプリケーション特有のURLを保護するポリシーと保護しないポリシー:これらのポリシーは、前の手順で作成されたり指定されたホスト識別子に対して構成されます。
|
注意: 既存のWebゲートを使用する予定がある場合、OAM構成ツールを実行する際、このWebゲートのホスト識別子値をweb_domainパラメータで使用する必要があります。 |
OAM構成ツールを実行する前に、次の情報を収集します。
LDAPホスト名: ディレクトリ・サーバーのホスト名またはロード・バランサのアドレスです(高可用性やエンタープライズ・デプロイメントの構成の場合)。
LDAPポート: ディレクトリ・サーバーのポートです。
LDAPユーザーDN: LDAP管理者ユーザーのDNです。これは、cn=orcladminなどの値になります。
LDAPパスワード: LDAP管理者ユーザーのパスワードです。
oam_aaa_host: Oracle Access Managerのホスト名です。
oam_aaa_port: Oracle Access Managerのポートです。
|
注意: 現時点で、ホスト識別子のない環境でOAM構成ツールを実行すると、実行は失敗します。一時的な回避策として、次の手順を実行します。
OAM構成ツールを実行します。 |
OAM構成ツールを実行する前に、第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、次のサーバーを再起動します。
OAMADMINHOST上のOracle HTTP Server
OAMHOST1およびOAMHOST2上のアクセス・サーバー
OAMHOST1およびOAMHOST2上のアイデンティティ・サーバー
OAM構成ツールは、次に示すディレクトリにあります。Oracle Fusion Middleware 11gリリース1がインストールされているホストならどのホストからでもこのツールを実行できます。
MW_HOME/oracle_common/modules/oracle.oamprovider_11.1.1/
ツールを実行する前に、次に示すようにJAVA_HOME値を設定します。
export JAVA_HOME=$MW_HOME/jrockit_160_14_R27.6.4-18
OAM構成ツールを使用するための構文を次に示します。
$JAVA_HOME/bin/java -jar oamcfgtool.jar mode=CREATE [param=value]...
表10-1は、OAM構成ツールの基本パラメータとそれらの値を示しています。
表10-1 OAM構成ツールの基本パラメータ
| パラメータ | 値 |
|---|---|
|
app_domain |
Oracle Access Managerポリシー・ドメイン名です。 |
|
web_domain |
Webドメイン名です。値が渡されないとOAMCFGTOOLで自動的に作成されます。 |
|
protected_uris |
"uri1,uri2,uri3" |
|
app_agent_password |
App Agentのために指定したパスワードです。 |
|
ldap_host |
LDAPサーバーのホスト名です。 |
|
ldap_port |
LDAPサーバーのポートです。 |
|
ldap_userdn |
LDAP管理者ユーザーのDNです。 |
|
ldap_userpassword |
LDAP管理者ユーザーのパスワードです。 |
|
oam_aaa_host |
Oracle Access Managerのホスト名です。 |
|
oam_aaa_port |
Oracle Access Managerのポートです。 |
OAM構成ツールには、CREATEモードで使用できるオプション・パラメータがあります。表10-2は、それらのパラメータを示しています。
表10-2 OAM構成ツールのCREATEモード用オプション・パラメータ
| パラメータ | 値 |
|---|---|
|
cookie_domain |
シングル・サインオンCookieで使用するドメイン名です。 |
|
public_uris |
"uri1,uri2,uri3" |
|
ldap_base |
すべてのLDAP検索を実行する際に元となるベースDNです。 |
|
oam_aaa_mode |
OPEN、SIMPLE、CERTのいずれかです。デフォルトはOPENです。 |
|
oam_aaa_passphrase |
SIMPLEモードで必要なパスフレーズです。 |
|
log_file |
ログ・ファイル名です。デフォルトはコンソール出力です。 |
|
log_level |
ALL、SEVERE、WARNING、INFO、CONFIG、FINE、FINER、FINEST、OFFのいずれかです。デフォルトはOFFです。 |
|
output_ldif_file |
変更内容が格納されるLDIFファイルの名前です。指定されていると、後でロードされるLDIFが生成されます。 |
これは、OAM構成ツールでWebゲートのプロファイルを作成する場合にツールを実行するコマンドの例です。
$JAVA_HOME/bin/java -jar oamcfgtool.jar mode=CREATE app_domain="IDMEDG"
cookie_domain="mycompany.com"
protected_uris="/em,/console" app_agent_password="welcome1"
ldap_host=oid.us.oracle.com ldap_port=389 ldap_userdn="cn=orcladmin"
ldap_userpassword=password oam_aaa_host=oamhost1.mycompany.com
oam_aaa_port=6023
|
注意:
|
コマンドが正常に完了すると、次の出力が表示されます。
Processed input parameters
Initialized Global Configuration
Successfully completed the Create operation.
Operation Summary:
Policy Domain : IDMEDG
Host Identifier: IDMEDG
Access Gate ID : IDMEDG_AG
これは、既存のWebゲートを使用する予定がある場合にOAM構成ツールを実行するコマンドの例です。
$JAVA_HOME/bin/java -jar oamcfgtool.jar mode=CREATE app_domain="IDMEDG"
web_domain="idmEDG_WD" cookie_domain="mycompany.com"
protected_uris="/em,/console" app_agent_password="welcome1"
ldap_host=oid.us.oracle.com ldap_port=389 ldap_userdn="cn=orcladmin"
ldap_userpassword=<password> oam_aaa_host=oamhost1.mycompany.com
oam_aaa_port=6023
コマンドが正常に完了すると、次の出力が表示されます。
Processed input parameters
Initialized Global Configuration
Successfully completed the Create operation.
Operation Summary:
Policy Domain : IDMEDG
Host Identifier: idmedg_wd
Access Gate ID : idmedg_wd_AG
ツールでポリシーが正常に作成されたことを確認するには、ツールをVALIDATEモードで実行します。
java -jar oamcfgtool.jar mode=VALIDATE app_domain="IDMEDG" ldap_host=oid.mycompany.com ldap_port=389 ldap_userdn="cn=orcladmin" ldap_userpassword=welcome1 oam_aaa_host=oamhost1.mycompany.com oam_aaa_port=6023 test_username=orcladmin test_userpassword=welcome1
VALIDATEコマンドの出力は次のようになります。
Processed input parameters Initialized Global Configuration Validating app_domain: IDMEDG : OK. Validating web_domain: IDMEDG : OK. Validating access_gate: IDMEDG_AG : OK. Found url:http://IDMEDG/public Found url:http://IDMEDG/em Found url:http://IDMEDG/console Successfully completed the Validate operation
|
注意: ご使用の環境にあるOracle Internet Directoryにおいて複数のOracle Access Manager構成ストアがある場合、ldap_baseパラメータをOAM構成ツールで指定して、OAM構成の作成先となるコンテナを指す必要があります。ツールでOAM特有のポリシーがこのコンテナの下に作成されます。一般的に、ldap_baseパラメータはOIDでは不要です。
|
OAM構成ツールでapp_domainパラメータの値を使用して、ポリシー・ドメイン用のホスト識別子を作成します。このホスト識別子は、ホストに対応したホスト名バリエーションのすべてで更新する必要があります。これによって、構成が適切に機能します。次の手順に従って、OAM構成ツールで作成されたホスト識別子を更新します。
次のURLをWebブラウザで指定して、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
ここで、hostnameはWebパスのOracle HTTP Serverインスタンスが実行されているホストを示し、portはOracle HTTP ServerインスタンスのHTTPポートを示します。
たとえば、次のURLをWebブラウザで入力します。
http://oamadminhost.mycompany.com:7777/access/oblix
ユーザー名とパスワードを設定するように求められたら、管理者としてログインします。「OK」をクリックします。
アクセス・システムのメイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックします。
「アクセス・システム構成」ページで、左下にある「ホスト識別子」をクリックします。
「すべてのホスト識別子をリスト」ページで、OAM構成ツールで作成されたホスト識別子をクリックします。たとえば、「IDMEDG」を選択します。
「ホスト識別子詳細」ページで、「変更」をクリックします。
「ホスト識別子の変更」ページで、ホストに対して可能なホスト名バリエーションをすべて追加します。必要に応じて「+」や「-」の記号をクリックすると、フィールドの追加や削除が行われます。「アクセス・システム構成」で使用される「優先HTTPホスト」値は、ホスト名バリエーションの1つとして追加する必要があります。たとえば、「idmedg_wd, webhost1.mycompany.com:7777, webhost2.mycompany.com:7777, admin.mycompany.com:80」です。
「キャッシュの更新」の隣にあるチェック・ボックスを選択し、「保存」をクリックします。
「現時点でキャッシュを更新すると、システム内のすべてのキャッシュがフラッシュされます。よろしいですか。」の警告メッセージがメッセージ・ボックスに表示されます。
「OK」をクリックして、構成変更の保存を終了します。
「ホスト識別子詳細」ページで、変更内容を確認します。
OAM構成ツールでは、Preferred_HTTP_Hostとhostnameの属性が移入されます。これらの属性は、app_domainパラメータの値で作成されたWebゲート用プロファイルのためのものです。構成が適切に機能するには、これらの属性の両方は適切な値で更新する必要があります。次の手順に従って、OAM CFGツールで作成されたWebゲート用プロファイルを更新します。
次のURLをWebブラウザで指定して、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
ここで、hostnameはWebパスのOracle HTTP Serverインスタンスが実行されているホストを示し、portはOracle HTTP ServerインスタンスのHTTPポートを示します。
たとえば、次のURLをWebブラウザで入力します。
http://oamadminhost.mycompany.com:7777/access/oblix
アクセス・システムのメイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
On the Access System Console main page, click the Access System Configuration link to display the AccessGates Search page.
適切な検索基準を入力して「実行」をクリックし、アクセス・ゲートのリストを表示します。
OAM構成ツールで作成されたアクセス・ゲートを選択します。たとえば、IDMEDG_AGです。
アクセス・ゲートの詳細ページで、「変更」をクリックし、「アクセス・ゲートの変更」ページを表示します。
「アクセス・ゲートの変更」ページで、次を更新します。
ホスト名: Webゲートが実行されているコンピュータの名前でホスト名を更新します。たとえば、webhost1.mycompany.comです。
ポート: 7777
優先HTTPホスト: 前の項で指定したホスト名バリエーションの1つでPreferred_HTTP_Hostを更新します。たとえば、admin.mycompany.comです。
プライマリHTTP Cookieドメイン: ホスト識別子のドメイン接尾辞でプライマリHTTP Cookieドメインを更新します。たとえば、mycompany.comです。
最大接続数: 4に設定します。
「保存」をクリックします。「これらの変更をコミットしますか。」のメッセージがメッセージ・ボックスに表示されます。
「OK」をクリックして、構成の更新を終了します。
「アクセス・ゲートの詳細」ページに表示されている値を見て、更新が正常に行われたことを確認します。
次の手順に従って、アクセス・サーバーをWebゲートに割り当てます。
管理者としてログインします。
必要に応じて、「アクセス・ゲートの詳細」ページに移動します(アクセス・システム・コンソールから、「アクセス・システム構成」→「アクセス・ゲート構成」を選択し、Webゲートのリンクを選択します)。
「アクセス・ゲートの詳細」ページで、「アクセス・サーバーをリスト」をクリックします。
そのアクセス・ゲートに関連付けられたアクセス・サーバーが表示されます。
「追加」をクリックします。
「アクセス・ゲートへの新規アクセス・サーバーの追加」画面で、次を選択します。
OAMHOST2にインストールされたアクセス・サーバーを選択します。
「プライマリ・サーバー」を選択して、接続を2つ指定します。
「追加」ボタンをクリックし、割当てを完了させます。
「アクセス・サーバーをリスト」画面で、OAMHOST1にインストールされたアクセス・サーバーを選択し、接続数を2に更新します。
手順3〜6を繰り返して、別のアクセス・サーバーをWebゲートに割り当てます。
次の手順に従って、OAMADMINHOST、WEBHOST1およびWEBHOST2にWebゲートをインストールします。
Webゲートを共有記憶域にプロビジョニングする場合、第2.4項「共有ストレージと推奨ディレクトリ構造」の説明に従って、適切な共有記憶域ボリュームが、OAMADMINHOST、WEBHOST1およびWEBHOST2にマウントされていることを確認します。
WebゲートのインストーラをOracle Access Managerソフトウェアのディスクで探し、次に示すようにインストーラを起動します。「-gui」オプションを渡してGUIコンソールを起動します。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_WebGate -gui
Oracle Access Manager WebゲートのInstallShieldウィザードへようこそ画面で、「次へ」をクリックします。
顧客情報画面で、アイデンティティ・サーバーで使用するユーザー名とグループを入力します。ユーザー名とグループのデフォルト値はnobodyです。たとえば、「oracle/oinstall」と入力します。
「次へ」をクリックします。
Oracle Access Managerアクセス・サーバーのインストール・ディレクトリを指定します。たとえば、次のように入力します。
/u01/app/oracle/product/fmw/oam/webgate
「次へ」をクリックします。
|
注意: Oracle Access Manager Webゲートのインストールにおいてベースとなる場所は/u01/app/oracle/product/fmw/oam/webgateです。インストーラによってこの場所の下に自動的に作成されたサブディレクトリに、Webゲートのコンポーネントがインストールされます。
インストーラによってベースとなる場所の下に作成された Oracle Access Manager Webゲートのインストールに使用するORACLE_HOMEの場所: /u01/app/oracle/product/fmw/oam/webgate/access |
Oracle Access Manager Webゲートが次の場所(accessディレクトリはインストーラによって自動的に作成されます)にインストールされます。
/u01/app/oracle/product/fmw/oam/webgate/access
GCCランタイム・ライブラリの場所(たとえば、/home/oracle/oam_lib)を指定します。
「次へ」をクリックします。
「インストールの進行状況」画面が表示されます。インストールのプロセスが完了すると、「Webゲート構成。」画面が表示されます。
「Webゲート構成。」画面で、トランスポート・セキュリティ・モードを指定するように求められます。
トランスポート・セキュリティ・モードを指定します。すべてのアクセス・システムのコンポーネント(ポリシー・マネージャ、アクセス・サーバーおよび関連Webゲート)間でトランスポート・セキュリティは一致する必要があります。オープン・モード、簡易モードまたは証明書モードを選択します。
オープン・モードを選択します。
「次へ」をクリックします。
次の「Webゲート構成。」画面で、次のWebゲート詳細を指定します。
WebゲートID: アクセス・システム・コンソールでWebゲート用プロファイルを識別する一意のIDを指定します。第10.4.3.3項「OAM構成ツールの実行」においてOAM構成ツールで作成されたアクセス・ゲートIDを指定します。
Webゲートのパスワード: アクセス・システム・コンソールで定義したパスワードを指定します。パスワードが指定されていない場合、この値は空白のままにします。
アクセス・サーバーID: Webゲートに関連付けられたアクセス・サーバーを指定します。たとえば、AccessServer_OAMHOST1です。
DNSホスト名: このWebゲートに関連付けられたアクセス・サーバーがインストールされているホストのDNSホスト名を指定します。たとえば、oamhost1.mycompany.comと指定します。
ポート番号: アクセス・サーバーのリスニング・ポートを指定します。たとえば、6023です。
「次へ」をクリックします。
「Webサーバーの構成」画面で、「はい」をクリックすると、Webサーバーが自動的に更新されます。その後、「次へ」をクリックします。
次の「Webサーバーの構成」画面で、httpd.confファイルが格納されているディレクトリのフルパスを指定します。httpd.confファイルは、次のディレクトリにあります。
/u01/app/oracle/admin/ohsInstance/config/OHS/ohsComponentName
次に例を示します。
/u01/app/oracle/admin/ohs_instance2/config/OHS/ohs2/httpd.conf
「次へ」をクリックします。
次の「Webサーバーの構成」画面で、Webサーバー構成がWebゲート用に変更されたことを示すメッセージが表示されます。
「次へ」をクリックします。
次の「Webサーバーの構成」画面で、「WebサーバーをSSLモードで設定する場合、SSL関連パラメータを使用してhttpd.confファイルを構成する必要があります。SSL構成を手動で調整するには、表示される指示に従ってください。」のメッセージが表示されます。
「次へ」をクリックします。
次の「Webサーバーの構成」画面で、残りの製品設定とWebサーバー構成に関する情報のドキュメントがある場所を示すメッセージが表示されます。
「いいえ」を選択して、「次へ」をクリックします。
最後の「Webサーバーの構成」画面で、手動でブラウザを起動してhtmlドキュメントを開きWebサーバーの構成方法を確認することを求めるメッセージが表示されます。
「次へ」をクリックします。
Oracle COREid Readme画面が表示されます。画面上の情報を確認してから、「次へ」をクリックします。
インストールが正常に実行されたことを示すメッセージがインストールの詳細とともに表示されます。
「終了」をクリックします。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Webサーバーを再起動します。
アイデンティティ・サーバー、WebパスのWebサーバー、ポリシー・マネージャとWebサーバー、アクセス・サーバー、およびWebゲートのWebサーバーが稼働していることを確認します。
Webゲートを診断するために次のURLを指定します。
http://hostname:port/access/oblix/apps/webgate/bin/webgate.cgi?progid=1
ここで、hostnameはWebゲートのインスタンスが実行されているホストを示し、portはWebゲートのインスタンスに関連付けられたOracle HTTP ServerインスタンスのHTTPポートを示します。
たとえば、次の各ホストのWebゲートに対してこれらのURLを使用します。
OAMADMINHOST: http://oamadminhost.mycompany.com:7777/access/oblix/apps/webgate/bin/webgate.cgi?progid=1 WEBHOST1: http://webhost1.mycompany.com:7777/access/oblix/apps/webgate/bin/webgate.cgi?progid=1 WEBHOST2: http://webhost2.mycompany.com:7777/access/oblix/apps/webgate/bin/webgate.cgi?progid=1
Webゲート診断ページが表示されます。Webゲート診断ページが表示されると、Webゲートは正常に機能しており、このページを閉じることができます。
シングル・サインオン用に生成したObSSOCookieに格納されているIPアドレスとクライアントのIPアドレスが同じかどうかを、IP検証により判定します。IP終了処理を実行するように構成されたロード・バランサ・デバイスを使用するシステムでIP検証により問題が発生する場合があります。また、エンタープライズ・デプロイメントをフロントエンドするロード・バランサとは別のロード・バランサで認証Webゲートがフロントエンドされる問題も発生する場合があります。これらの場合において検証されないようにロード・バランサを構成する手順は次のとおりです。
次のURLを使用してアクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
ここで、hostnameはWebパスのOracle HTTP Serverインスタンスが実行されているホストを示し、portはOracle HTTP ServerインスタンスのHTTPポートを示します。
アクセス・システムのメイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」をクリックしてから「アクセス・ゲート構成」リンクを左ペインでクリックし、アクセス・ゲートの検索ページを表示します。
適切な検索基準を入力して「実行」をクリックし、アクセス・ゲートのリストを表示します。
Oracle Access Manager構成ツールで作成されたアクセス・ゲートを選択します。
「変更」をページの下部でクリックします。
デプロイメントをフロントエンドするために使用されるロード・バランサのアドレスを「IPValidationException」フィールドで入力します。
「保存」をページの下部でクリックします。
ベスト・プラクティスとして、インストールと各層の構成が正常に完了した後や別の論理ポイントでバックアップ・ファイルを作成することをお薦めします。ここまでのインストールが正常に行われたことを確認したら、インストールのバックアップを作成します。後の手順で問題が発生した場合に即座にリストアするために、これが迅速なバックアップになります。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了したら、このバックアップは破棄してもかまいません。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。詳細は、『Oracle Fusion Middleware管理者ガイド』に記載されています。
データベース・バックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・アドバンスト・ユーザーズ・ガイド』を参照してください。
インストールをこのポイントでバックアップする手順は次のとおりです。
Oracle Access Managerアイデンティティ・サーバーをバックアップします。
Identity_Server_ORACLE_HOME/oblix/apps/common/binディレクトリの下にあるstop_ois_serverスクリプトを使用することでアイデンティティ・サーバーを停止します。
rootユーザーとしてIdentity_Server_ORACLE_HOMEディレクトリのバックアップを作成します。
tar -cvpfBACKUP_LOCATION/IdentityServer.tarIdentity_Server_ORACLE_HOME
Identity_Server_ORACLE_HOME/oblix/apps/common/binディレクトリの下にあるstart_ois_serverスクリプトを使用することでアイデンティティ・サーバーを起動します。
Oracle Access Managerアクセス・サーバーをバックアップします。
Access_Server_ORACLE_HOME/oblix/apps/common/binディレクトリの下にあるstop_access_serverスクリプトを使用することでアクセス・サーバーを停止します。
rootユーザーとしてAccess_Server_ORACLE_HOMEディレクトリのバックアップを作成します。
tar -cvpfBACKUP_LOCATION/accessServer.tarAccess_Server_ORACLE_HOME
Access_Server_ORACLE_HOME/oblix/apps/common/binディレクトリの下にあるstart_access_serverスクリプトを使用することでアクセス・サーバーを起動します。
Oracle Access Manager Webパス、ポリシー・マネージャ、Oracle HTTP ServerおよびWebゲートをバックアップします。
Oracle Access Manager Webパス、ポリシー・マネージャ、WebゲートおよびOracle HTTP Serverインスタンスを停止します。opmnctlを使用することでOracle HTTP Serverインスタンスを停止して、4つのコンポーネントをすべて停止します。次に例を示します。
ORACLE_INSTANCE/bin/opmnctlstopall
rootユーザーとしてWeb層にあるOracle HTTP Server Middlewareホームのバックアップを作成します。
tar -cvpfBACKUP_LOCATION/webtier.tarMW_HOME
rootユーザーとしてWeb層にあるINSTANCE_HOMEのバックアップを作成します。
tar -cvpfBACKUP_LOCATION/instance_backup.tarORACLE_INSTANCE
rootユーザーとしてWebパスとポリシー・マネージャのORACLE_HOMEのバックアップを作成します。
tar -cvpfBACKUP_LOCATION/webPass.tarWEBPASS_ORACLE_HOMEtar -cvpfBACKUP_LOCATION/policyMgr.tarPOLICY_MGR_ORACLE_HOME
rootユーザーとしてWebゲートのORACLE_HOMEのバックアップを作成します。
tar -cvpfBACKUP_LOCATION/webGate.tarWEBGATE_ORACLE_HOME
ORACLE_INSTANCE/binディレクトリにあるopmnctlを使用してインスタンスを起動します。
ORACLE_INSTANCE/bin/opmnctl startall
ディレクトリ層をバックアップします。
ORACLE_INSTANCE/binディレクトリにあるopmnctlを使用してインスタンスを停止します。
ORACLE_INSTANCE/bin/opmnctlstopall
rootユーザーとしてディレクトリ層にあるMiddlewareホームのバックアップを作成します。
tar -cvpfBACKUP_LOCATION/directorytier.tarMW_HOME
rootユーザーとしてディレクトリ層にあるINSTANCE_HOMEのバックアップを作成します。
tar -cvpfBACKUP_LOCATION/instance_backup.tarORACLE_INSTANCE
ORACLE_INSTANCE/binディレクトリにあるopmnctlを使用してインスタンスを起動します。
ORACLE_INSTANCE/bin/opmnctl startall
|
注意: 前述に記載された手順に従って、ディレクトリ層にあるすべてのマシンでバックアップを作成します。 |
全データベースのバックアップ(ホット・バックアップまたはコールド・バックアップ)を実行します。Oracle Recovery Managerの使用をお薦めします。コールド・バックアップでは、tarなどのオペレーティング・システムのツールを使用できます。
管理サーバー・ドメイン・ディレクトリをバックアップします。これによってドメイン構成が保存されます。すべての構成ファイルは、ORACLE_BASE/admin/domainName/aserverディレクトリの下にあります。
IDMHOST1> tar cvf edgdomainback.tar ORACLE_BASE/admin/domainName/aserver
Oracle Access Managerの構成をバックアップする方法の詳細は、第19.4項「バックアップとリカバリの実行」を参照してください。
