| Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド 11gリリース1(11.1.1) B55911-02 |
|
 戻る |
 次へ |
| Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド 11gリリース1(11.1.1) B55911-02 |
|
戻る |
次へ |
Oracle HTTP Server 11g Webgate for Oracle Access Managerを使用する前に、次の手順を実行する必要があります。
Oracle Access Manager管理コンソールを使用して、新規WebgateエージェントをOracle Access Managerに登録できます。詳細は、Oracle Fusion Middleware Oracle Access Manager管理者ガイドのコンソールを使用したパートナ(エージェントおよびアプリケーション)の登録に関する項を参照してください。
もしくは、RREGコマンドライン・ツールを使用して、新規Webgateエージェントを登録できます。ツールは、インバンド・モードおよびアウトオブバンド・モードの2つのモードで実行できます。
RREGツールの設定
Oracle Access Managerをインストールおよび構成した後、次の場所に移動します。
UNIXオペレーティング・システム:
<IDM_Home>/oam/server/rreg/client
Windowsオペレーティング・システム:
<IDM_Home>\oam\server\rreg\client
コマンドラインで、gunzipを使用してRREG.tar.gzファイルを展開します。次の例を参照してください。
gunzip RREG.tar.gz
tar -xvf RREG.tar
エージェントの登録に使用するツールは次の場所にあります。
UNIXオペレーティング・システム:
<RREG_Home>/bin/oamreg.sh
Windowsオペレーティング・システム:
<RREG_Home>\bin\oamreg.bat
|
注意: <RREG_Home>は、RREG.tar.gz/rregの中身を展開したディレクトリです。 |
oamreg.shまたはoamreg.batスクリプトの次の環境変数を設定します。
OAM_REG_HOME - この変数を、RREG.tar/rregの中身を展開したディレクトリへの絶対パスに設定します。
JDK_HOME - この変数を、JavaまたはJDKがマシンにインストールされているディレクトリへの絶対パスに設定します。
OAM11gRequest.xmlファイルの更新
<RREG_Home>\inputディレクトリ内(Windowsオペレーティング・システムの場合)のOAM11GRequest.xmlファイルで、agentNameなどのエージェント・パラメータを更新する必要があります。UNIXオペレーティング・システムでは、ファイルは<RREG_Home>/inputディレクトリ内にあります。
|
注意: OAM11GRequest.xmlファイル、またはショート・バージョンOAM11GRequest_short.xmlは、テンプレートとして使用されます。このテンプレート・ファイルをコピーして使用できます。 |
インバンド・モード
OAM11GRequest.xmlファイルのWebgateパラメータを更新した後、RREGツールを一度実行すると、Webgateが必要とするファイルおよびアーティファクトは、次のディレクトリに生成されます。
UNIXオペレーティング・システム:
<RREG_Home>/output/<agent_name>
Windowsオペレーティング・システム:
<RREG_Home>\output\<agent_name>
|
注意: RREGは、クライアント・マシンまたはサーバー・マシンのいずれでも実行できます。サーバー・マシンで実行する場合、アーティファクトをクライアント・マシンに手動でコピーする必要があります。 |
次の手順を実行します。
OAM11GRequest.xmlファイルを開きます。このファイルはinputディレクトリ(UNIXでは<RREG_Home>/input/、Windowsでは<RREG_Home>\input)にあります。<RREG_Home>は、RREG.tar.gz/rregの中身を展開したディレクトリです。このXMLファイルを編集し、新規のOracle HTTP Server Webgate for Oracle Access Managerのパラメータを入力します。
次のコマンドをコマンドラインで実行します。
UNIXオペレーティング・システム:
./<RREG_Home>/bin/oamreg.sh inband input/OAM11GRequest.xml
Windowsオペレーティング・システム:
<RREG_Home>\bin\oamreg.bat inband input\OAM11GRequest.xml
アウトオブバンド・モード
サーバーにアクセスできないエンドユーザーの場合、更新したOAM11GRequest.xmlファイルをシステム管理者に電子メールで送信し、アウトオブバンド・モードでRREGを実行してもらうことが可能です。生成された<AgentID>_Response.xmlファイルをシステム管理者から受領し、このファイルのRREGを実行して、必要なWebgateファイルおよびアーティファクトを取得できます。
生成された<AgentID>_Response.xmlファイルを管理者から受領した後、このファイルを手動でマシン上のinputディレクトリにコピーする必要があります。
次の手順を実行します。
サーバーにアクセスできないエンドユーザーは、OAM11GRequest.xmlファイルを開きます。このファイルはinputディレクトリ(UNIXでは<RREG_Home/input/、Windowsでは<RREG_Home\input\)にあります。<RREG_Home>は、RREG.tar.gz/rregの中身を展開したディレクトリです。このXMLファイルを編集し、新規のOracle HTTP Server Webgate for Oracle Access Managerのパラメータを入力します。更新したファイルをシステム管理者に送信します。
管理者は、更新されたOAM11GRequest.xmlファイルをマシン上のinputディレクトリにコピーします(UNIXでは<RREG_Home>/input/、Windowsでは<RREG_Home>\input\)。これは、エンドユーザーから受信したファイルです。管理者のRREG_Homeディレクトリに移動し、コマンドラインで次のコマンドを実行します。
UNIXオペレーティング・システム:
./<RREG_Home>/bin/oamreg.sh outofband input/OAM11GRequest.xml
Windowsオペレーティング・システム:
<RREG_Home>\bin\oamreg.bat outofband input\OAM11GRequest.xml
<Agent_ID>_Response.xmlファイルが管理者のマシンのoutputディレクトリに生成されます(UNIXでは<RREG_Home>/output/、Windowsでは<RREG_Home>output\)。更新済のOAM11GRequest.xmlファイルを最初に管理者に送信したエンドユーザーに、このファイルを送信します。
エンドユーザーは、生成された<Agent_ID>_Response.xmlファイルをinputディレクトリにコピーします(UNIXでは<RREG_Home>/input/、Windowsでは<RREG_Home>input\)。これは、管理者から受信したファイルです。クライアントのRREGホーム・ディレクトリに移動し、コマンドラインで次のコマンドを実行します。
UNIXオペレーティング・システム:
./<RREG_Home>/bin/oamreg.sh outofband input/<Agent_ID>_Response.xml
Windowsオペレーティング・システム:
<RREG_Home>\bin\oamreg.bat outofband input\<Agent_ID>_Response.xml
|
注意: Oracle Fusion Middleware Oracle Access Manager管理者ガイドのコンソールを使用したパートナ(エージェントおよびアプリケーション)の登録に関する項で説明されているように、Oracle Access Manager管理コンソールを使用してWebgateエージェントを登録すると、登録後に生成されたファイルおよびアーティファクトを、サーバー・マシン(Oracle Access Manager管理コンソールが実行されているマシン)からクライアント・マシンに手動でコピーする必要があります。ファイルおよびアーティファクトは<Middleware_Home>/user_projects/domains/<name_of_the_WebLogic_domain_for_OAM>/output/<Agent_ID>ディレクトリに生成されます。 |
RREGによって生成されるファイルおよびアーティファクト
新規Webgateエージェントの登録に使用する方法またはモードに関係なく、次のファイルおよびアーティファクトが<RREG_Home>/output/<Agent ID>ディレクトリに生成されます。
cwallet.sso
ObAccessClient.xml
SIMPLEモードの場合、RREGによって次のものが生成されます。
password.xml。SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと同じものを使用できます。
aaa_key.pem
aaa_cert.pem
CERTモードの場合、RREGによって次のものが生成されます。
password.xml。SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
|
注意: RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。 |
RREGがこれらのファイルおよびアーティファクトを生成した後、手動でこれら(使用しているセキュリティ・モードにより、cwallet.sso、ObAccessClient.xml、password.xml、aaa_key.pem、aaa_cert.pemのいずれか)を<RREG_Home>/output/<Agent ID>ディレクトリから<Webgate_Instance_Home>ディレクトリにコピーする必要があります。
OPENモードの場合、次のファイルを<RREG_Home>/output/<Agent_ID>ディレクトリから<Webgate_Instance_Home>/webgate/configディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
SIMPLEモードの場合、次のファイルを<RREG_Home>/output/<Agent_ID>ディレクトリから<Webgate_Instance_Home>/webgate/configディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
password.xml
さらに、次のファイルを<RREG_Home>/output/<Agent_ID>ディレクトリから<Webgate_Instance_Home>/webgate/config/simpleディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
CERTモードの場合、次のファイルを<RREG_Home>/output/<Agent_ID>ディレクトリから<Webgate_Instance_Home>/webgate/configディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
password.xml
ファイルをコピーした後、新規証明書を生成するか、既存の証明書を移行する必要があります。
新規証明書の生成
次の手順で、新規証明書を生成します。
現在の作業ディレクトリから、<Webgate_Home>/webgate/ohs/tools/opensslディレクトリに移動します。
コマンドラインから、次のようにして証明書リクエストを作成します。
./openssl req -utf8 -new -nodes -config openssl_silent_ohs11g.cnf -keyout aaa_key.pem -out aaa_req.pem -rand <Webgate_Home>/webgate/ohs/config/random-seed
次のようにして、証明書を自己署名します。
./openssl ca -config openssl_silent_ohs11g.cnf -policy policy_anything -batch -out aaa_cert.pem -infiles aaa_req.pem
次の生成された証明書を<Webgate_Instance_Home>/webgate/configディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
simpleCAディレクトリ内のcacert.pem
|
注意: cacert.pemファイルをコピーした後、ファイルの名前をaaa_chain.pemに変更する必要があります。 |
既存の証明書の移行
既存の証明書(aaa_key.pem、aaa_cert.pemおよびaaa_chain.pem)を移行する場合、aaa_key.pemを暗号化する際に使用したパスフレーズを記録しておいてください。同じパスフレーズをRREG登録処理中に入力する必要があります。同じパスフレーズを使用しないと、RREGによって生成されたpassword.xmlファイルが、鍵の暗号化に使用されたパスフレーズと一致しません。
同じパスフレーズを入力したら、これらの証明書を次のようにコピーできます。
現在の作業ディレクトリから、<Webgate_Instance_Home>/webgate/configディレクトリに移動します。
次の証明書を<Webgate_Instance_Home>/webgate/configディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
aaa_chain.pem
OPMNコマンドライン・ツールを使用して、Oracle HTTP Serverインスタンスを起動または終了できます。インスタンスが実行中の場合、コマンドラインで次のコマンドを実行し、すべての実行中インスタンスを終了します。
<Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl stopall
Oracle HTTP Serverインスタンスを再起動するには、コマンドラインで次のコマンドを実行します。
<Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl start
<Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl startproc ias-component=<Oracle_HTTP_Server_Instance_Name>
