| Oracle® Fusion Middleware Oracle WebCenterエンタープライズ・デプロイメント・ガイド 11g リリース1(11.1.1) B55900-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenterエンタープライズ・デプロイメント・ガイド 11g リリース1(11.1.1) B55900-03 |
|
前 |
次 |
この章では、Oracle WebCenterをOracle Identity Managementと統合する方法について説明します。ここの項目は次のとおりです。
次の項目では、資格証明ストアとポリシー・ストアの構成について詳細に説明します。
Oracle Fusion Middlewareでは、WebLogicドメインで異なるタイプの資格証明ストアとポリシー・ストアを使用できます。ドメインでは、XMLファイルに基づくストアまたは異なるタイプのLDAPプロバイダに基づくストアを使用できます。ドメインでLDAPストアを使用する場合は、すべてのポリシーと資格証明データが、中央のストアで保持および管理されます。ただし、XMLポリシー・ストアを使用すると、管理対象サーバー上で行われる変更は、管理サーバーに伝播されません(両方のサーバーが同じドメイン・ホームを使用していない場合)。Oracle Fusion MiddlewareのWebCenter EDGトポロジは、管理サーバーと管理対象サーバーに異なるドメイン・ホームを使用します。したがって、整合性および一貫性を保持するため、LDAPストアをポリシー・ストアおよび資格証明ストアとして使用する必要があります。デフォルトでは、Oracle WebLogic Serverドメインは、ポリシー・ストアにXMLファイルを使用します。次の項では、デフォルト・ストアを資格証明またはポリシー用のOracle Internet Directory LDAPに変更するために必要な手順について説明します。
|
注意: ポリシー・ストアおよび資格証明ストアのバックエンド・リポジトリは、同じ種類のLDAPサーバーを使用する必要があります。こうした一貫性を保持するために、一方のストアを再関連付けすると、他方のストアも再関連付けされることに注意してください。すなわち、Enterprise ManagerまたはWLSTコマンドのreassociateSecurityStoreを使用して、資格証明ストアとポリシー・ストアの再関連付けが1つの単位として実行されます。詳細は、第10.1.4項「資格証明とポリシーの再関連付け」を参照してください。 |
資格証明ストアは、セキュリティ・データ(資格証明)のリポジトリです。資格証明には、ユーザー名とパスワードの組合せ、チケット、または公開鍵証明書が保持されます。資格証明は、認証中(プリンシパルがサブジェクトに移入されるとき)に使用され、さらに認可(サブジェクトが実行可能なアクションを決定するとき)にも使用されます。この項では、Oracle Internet Directory LDAPをOracle Fusion MiddlewareのWebCenter EDGトポロジの資格証明ストアとして構成する手順について説明します。資格証明ストアの構成の詳細は、Oracle Fusion Middlewareセキュリティ・ガイドの「資格証明ストアの構成」の章を参照してください。
次の項では、資格証明ストアの構成について説明します。
安全のため、LDAP認証プロバイダを作成する前に、関連構成ファイルをバックアップする必要があります。
ORACLE_BASE/admin/<domain_name>/aserver/<domain_name>/config/config.xml ORACLE_BASE/admin/<domain_name>/aserver/<domain_name>/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/<domain_name>/aserver/<domain_name>/config/fmwconfig/system-jazn-data.xml
また、管理サーバーのORACLE_BASE/admin/domain_name/aserver/domain_name/servers/AdminServer/securityディレクトリにあるboot.propertiesファイルもバックアップします。
WebLogic Serverコンソールを使用して、LDAPを使用する資格証明ストアを構成し、適切な認証プロバイダを設定するには:
WebLogic Serverコンソールにログインします。
左のナビゲーション・バーにある「セキュリティ・レルム」リンクをクリックします。
myrealmデフォルト・レルム・エントリをクリックして構成します。
このレルム内の「プロバイダ」タブを開きます。
このレルム用に構成したDefaultAuthenticatorプロバイダがあることを確認します。
「新規」ボタンをクリックし、新しいプロバイダを追加します。
プロバイダの名前を入力します。たとえば、OIDAuthenticator(Oracle Internet Directoryが使用される場合)、またはOVDAuthenticator(Oracle Virtual Directoryが使用される場合)のような名前にします。
認証プロバイダのリストから、OracleInternetDirectoryAuthenticator(Oracle Internet Directoryが使用される場合)、またはOracleVirtualDirectoryAuthenticator(Oracle Virtual Directoryが使用される場合)のいずれかのタイプを選択します。
「OK」をクリックします。
「プロバイダ」画面で、新しく作成した認証プロバイダをクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。このフラグは、この認証プロバイダによって正常に認証されたユーザーは、その認証を受け入れたうえで、他の認証プロバイダを呼び出さないようにすることを示しています。認証に失敗した場合、そのユーザーは、チェーンにある次の順番の認証プロバイダに引き継がれます。以降のすべての認証プロバイダの制御フラグも「SUFFICIENT」に設定されていることを確認してください。特に「DefaultAuthenticator」を確認し、その制御フラグを「SUFFICIENT」に設定します。
「保存」をクリックしてこの設定を保存します。
「プロバイダ固有」タブを開き、LDAPサーバーの詳細情報を入力します。
次の表に示されているように、使用しているLDAPサーバーに固有の詳細情報を入力します。
| パラメータ | 値 | 値の説明 |
|---|---|---|
| ホスト | 例: oid.mycompany.com |
LDAPサーバーのサーバーID。 |
| ポート | 例: 636 |
LDAPサーバーのポート番号。 |
| プリンシパル | 例: cn=orcladmin |
LDAPサーバーに接続するために使用されるLDAPユーザーDN。 |
| 資格証明 | なし | LDAPサーバーに接続するために使用されるパスワード。 |
| SSL有効 | チェック・ボックスを選択 | LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。 |
| ユーザー・ベースDN | 例: cn=users,dc=us,dc=mycompany,dc=com |
ユーザーが起動するDNを指定します。 |
| グループ・ベースDN | 例: cn=groups,dc=us,dc=mycompany,dc=com |
グループ・ノードを示すDNを指定します。 |
| 取得したユーザー名をプリンシパルとして使用する | チェック・ボックスを選択 | オンにする必要があります。 |
完了したら「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
OID認証プロバイダまたはOVD認証プロバイダ、およびデフォルト認証プロバイダを並べ替えて、各認証プロバイダの制御フラグが次のように設定されていることを確認します。
OID LDAP認証プロバイダ: SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
管理サーバーは、第4.7項「SOAHOST1での管理サーバーの起動」の手順で再起動します。
この項では、Oracle Fusion MiddlewareのWebCenter WebLogicドメインを管理するために、新しい管理者ユーザーおよびグループをプロビジョニングする方法の詳細について説明します。この項では、次の作業について説明します。
この項の概要で説明したように、複数のWebLogicドメインのユーザーおよびグループが中央のLDAPユーザー・ストアにプロビジョニングされる場合があります。そのような場合、1人のWebLogic管理ユーザーが企業内のすべてのドメインへのアクセス権を所有している可能性があります。これは望ましい状況ではありません。こうした状況を回避するため、プロビジョニングされるユーザーおよびグループは、ディレクトリ・ツリー内で一意の識別名を持つ必要があります。このガイドでは、WebCenter EDGのWebLogicドメインの管理ユーザーおよびグループを、次のDNを使用してプロビジョニングします。
管理ユーザーDN:
cn=weblogic_wc,cn=Users,dc=us,dc=mycompany,dc=com
管理グループDN:
cn=WC_Administrators,cn=Groups,dc=us,dc=mycompany,dc=com
次の手順に従って、管理ユーザーおよび管理グループをOracle Internet Directoryにプロビジョニングします。
次に示す内容のadmin_user.ldifという名前のldifファイルを作成して保存します。
dn: cn=weblogic_wc, cn=Users, dc=us, dc=mycompany, dc=com orclsamaccountname: weblogic_wc givenname: weblogic_wc sn: weblogic_wc userpassword: Welcome1 mail: weblogic_wc objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetorgperson objectclass: orcluser objectclass: orcluserV2 uid: weblogic_wc cn: weblogic_wc description: Admin User for the IDM Domain
ORACLE_HOME/binディレクトリにあるldapaddコマンドを実行し、ユーザーをOracle Internet Directoryにプロビジョニングします。
|
注意: ここで使用するORACLE_HOMEは、Oracle Internet DirectoryがあるIdentity ManagementインストールのORACLE_HOMEです。 |
次に例を示します(次の例では、読み易さを考慮してコマンドを2行に分けて示してありますが、実際には1行に入力する必要があります)。
OIDHOST1> ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D
cn="orcladmin" -w welcome1 -c -v -f admin_user.ldif
次に示す内容のadmin_group.ldif という名前のldifファイルを作成して保存します。
dn: cn=WC_Administrators, cn=Groups, dc=us, dc=mycompany, dc=com displayname: WC_Administrators objectclass: top objectclass: groupOfUniqueNames objectclass: orclGroup uniquemember: cn=weblogic_wc,cn=users,dc=us,dc=mycompany,dc=com cn: WC_Administrators description: Administrators Group for the SOA Domain
ORACLE_HOME/bin/ディレクトリにあるldapaddコマンドを実行し、グループをOracle Internet Directoryにプロビジョニングします(次の例では、読み易さを考慮してコマンドを2行に分けて示してありますが、実際には1行に入力する必要があります)。
OIDHOST1> ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D
cn="orcladmin" -w welcome1 -c -v -f admin_group.ldif
ユーザーおよびグループをOracle Internet Directoryに追加した後、グループをWebLogicドメインのセキュリティ・レルム内の管理ロールに割り当てる必要があります。それによって、グループに属すすべてのユーザーをこのドメインの管理者にできるようになります。次の手順に従って、管理ロールを管理グループに割り当てます。
WebLogic Server管理コンソールにログインします。
コンソールの左ペインで、「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページの表「レルム」で「myrealm」をクリックします。
「myrealm」の「設定」ページで、「ロールとポリシー」タブをクリックします。
「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。すると、「ロール」のエントリが表示されます。「ロール」リンクをクリックして、「グローバル・ロール」ページを表示します。
「グローバル・ロール」ページで、管理ロールをクリックして「グローバル・ロールの編集」ページを表示します。
「グローバル・ロールの編集」ページの表「ロール条件」の「条件の追加」ボタンをクリックします。
「述部の選択」ページで、条件のドロップダウン・リストから「グループ」を選択し、「次へ」をクリックします。
「引数の編集」ページのグループ引数フィールドで「WC_Administrators」を指定し、「追加」をクリックします。
「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
「ロール条件」表にWC_Administratorsグループがエントリとして表示されます。
「保存」をクリックして、WC_Administratorsグループへの管理ロールの追加を終了します。
Webブラウザを使用してWebLogic管理サーバー・コンソールを起動し、変更が正常に完了したことを検証します。weblogic_wcユーザーの資格証明を使用してログインします。
|
注意: それぞれのSOAアプリケーションには、管理および監視用に定義された、事前定義済の独自のロールとグループがあります。デフォルトでは、「管理者」グループでその作業を実行できます。ただし、「管理者」グループは広範になりすぎることもあります。たとえば、B2B管理者をSOAが稼働するWebLogic Serverドメインの管理者にしたくない場合があります。そのため、「SOA管理者」のような、より具体的なグループを作成することもできます。様々なアプリケーションで、SOA管理者グループによって様々なシステムを管理できるようにするには、必要なロールをSOA管理者グループに追加する必要があります。たとえば、B2Bの管理の場合はSOA管理者グループにB2BAdminロールを追加し、ワークリスト・アプリケーションの管理の場合はSOAAdminロールを追加します。それぞれのケースで必要なロールについては、各コンポーネントの固有のロールを参照してください。 |
管理サーバー用のboot.propertiesファイルは、Oracle Internet Directoryで作成されたWebLogic管理ユーザーを追加して更新する必要があります。次の手順に従って、boot.propertiesファイルを更新します。
SOAHOST1で、次のディレクトリに移動します。
SOAHOST1>cd ORACLE_BASE/admin/domainName/aserver/domainName/servers/ AdminServer/security
既存のboot.propertiesファイルの名前を変更します。
SOAHOST1> mv boot.properties boot.properties.backup
テキスト・エディタを使用して、セキュリティ・ディレクトリにboot.propertiesというファイルを作成します。次の行をこのファイルに入力します。
username=adminUser password=adminUserPassword
ファイルを保存します。
管理サーバーを停止します。
SOAHOST1> cd ORACLE_BASE/admin/domainName/aserver/domainName/bin SOAHOST1> ./stopWebLogic.sh
管理サーバーは、第4.7項「SOAHOST1での管理サーバーの起動」の手順で再起動します。
資格証明ストアとポリシー・ストアの再関連付けは、Enterprise ManagerまたはWLSTのコマンドreassociateSecurityStoreを使用し、1つの単位として実行されます。手順の詳細は、第10.1.4項「資格証明とポリシーの再関連付け」を参照してください。
ドメイン・ポリシー・ストアは、システム固有のポリシーおよびアプリケーション固有のポリシーのリポジトリです。特定のドメインには、そのドメインにデプロイされるすべてのアプリケーションが使用可能なすべてのポリシーを格納する1つのストアが存在します。この項では、Oracle Internet Directory LDAPをOracle Fusion MiddlewareのWebCenter EDGトポロジのポリシー・ストアとして構成する手順について説明します。ポリシー・ストアの構成の詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』の「OPSS認可およびポリシー・ストア」の章を参照してください。
ポリシー・ストアとして使用されるLDAPサーバー・ディレクトリ(Oracle Internet Directory)に正しくアクセスするためには、このサーバー・ディレクトリにノードを設定する必要があります。
Oracle Internet Directory管理者は、次の手順に従って、Oracle Internet Directory Serverに適切なノードを作成する必要があります。
LDIFファイル(この例ではjpstestnode.ldifを想定)を作成し、次のDNエントリおよびCNエントリを指定します。
dn: cn=jpsroot_wc cn: jpsroot_wc objectclass: top objectclass: OrclContainer
ルート・ノードの識別名(前述の文字列jpsroot_wc)は、他の識別名と異なっている必要があります。1つのルート・ノードを複数のWebLogicドメインが共有できます。サブツリーへの読取り権限および書込み権限がOracle Internet Directory管理者に付与されているかぎり、このノードを最上位レベルに作成する必要はありません。
次の例に示すように、ldapaddコマンドを使用して、このデータをOracle Internet Directoryサーバーにインポートします(次の例では、読み易さを考慮してコマンドを2行に分けて示してありますが、実際には1行に入力する必要があります)。
OIDHOST1> ORACLE_HOME/bin/ldapadd -h ldap_host -p ldap_port -D cn=orcladmin -w password -c -v -f jpstestnode.ldif
次の例に示すように、ldapsearchコマンドを使用して、ノードが正常に挿入されたことを確認します(次の例では、読み易さを考慮してコマンドを2行に分けて示してありますが、実際には1行に入力する必要があります)。
OIDHOST1> ORACLE_HOME/bin/ldapsearch -h ldap_host -p ldap_port -D cn=orcladmin -w password -b "cn=jpsroot_wc" objectclass="orclContainer"
Oracle Internet DirectoryをLDAPベースのポリシー・ストアとして使用する場合は、ユーティリティoidstats.sqlをINFRADBHOSTで実行し、最適なデータベース・パフォーマンスを実現するためのデータベース統計を生成します。
OIDHOSTn> ORACLE_HOME/ldap/admin/oidstats.sql
oidstats.sqlユーティリティは、初期プロビジョニング後に1回だけ実行する必要があります。このユーティリティの詳細は、Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンスを参照してください。
検索フィルタで使用されるOracle Internet Directory属性は、索引付けする必要があります。ldapmodifyコマンド(構文は下で説明)を使用して、LDIFファイルで指定される属性の索引付けをすることもできます(次の例では、読み易さを考慮してコマンドを2行に分けて示してありますが、実際には1行に入力する必要があります)。
OIDHOST1> ORACLE_HOME/bin/ldapmodify -h host -p port -D bindDN -w bindPassword -v -f catalogue-modify-ldif-filename
たとえば、前述のコマンドを次のLDIFファイルのサンプルで使用して、属性createtimestampおよびmodifytimestampをカタログ化できます。
dn: cn=catalogs changetype: modify add: orclindexedattribute orclindexedattribute: modifytimestamp orclindexedattribute: createtimestamp
次のOracle Internet Directory属性をそれぞれ索引付けする必要があります。
orclrolescope orclassignedroles orclApplicationCommonName orclAppFullName orclCSFAlias orclCSFKey orclCSFName orclCSFDBUrl orclCSFDBPort orclCSFCredentialType orclCSFExpiryTime modifytimestamp createtimestamp orcljpsassignee
ポリシー・ストアの再関連付けでは、ファイル・ベース・リポジトリまたはLDAPベース・リポジトリからLDAPベース・リポジトリにポリシー・データを移行します。すなわち、再関連付けにより、格納されるデータの整合性を保っているリポジトリが変更されます。再関連付けでは、ソース・ポリシー・ストア内の各ポリシーに対するターゲットLDAPディレクトリが検索され、ディレクトリが検出されると、対応するポリシーが適宜更新されます。ディレクトリが検出されない場合、ポリシーはそのまま移行されます。
ドメイン・ポリシー・ストアをインスタンス化した後はいつでも、ファイル・ベース・ポリシー・ストアまたはLDAPベース・ポリシー・ストアを、同じデータが格納されているLDAPベース・ポリシー・ストアに再関連付けできます。そのためには、LDAPポリシー・ストアを使用できるようにドメインが適切に構成されている必要があります。
資格証明ストアとポリシー・ストアの再関連付けは、Enterprise ManagerまたはWLSTのコマンドreassociateSecurityStoreを使用し、1つの単位として実行されます。手順の詳細は、第10.1.4項「資格証明とポリシーの再関連付け」を参照してください。
ポリシー・ストアと資格証明ストアをOracle Internet Directoryに再関連付けするには、WLSTのreassociateSecurityStoreコマンドを使用します。次の手順に従います。
SOAHOST1から、wlstシェルを起動します。
SOAHOST1>cd ORACLE_COMMONHOME/common/bin SOAHOST1>./wlst.sh
次に示すwlst connectコマンドを使用して、WebLogic管理サーバーに接続します。
構文:
connect('AdminUser',"AdminUserPassword",t3://hostname:port)
例:
connect("weblogic","welcome1","t3://ADMINVHN:7001")
次に示すように、reassociateSecurityStoreコマンドを実行します。
構文:
reassociateSecurityStore(domain="domainName",admin="cn=orcladmin", password="orclPassword",ldapurl="ldap://LDAPHOST:LDAPPORT",servertype="OID", jpsroot="cn=jpsroot_wc")
例:
wls:/WCEDGDomain/serverConfig>reassociateSecurityStore(domain="soaedg_domain", admin="cn=orcladmin",password="welcome1",ldapurl="ldap://oid.mycompany.com:389",servertype="OID",jpsroot="cn=jpsroot_wc")
このコマンドの出力を次に示します。
{servertype=OID,jpsroot=cn=jpsroot_wc_idm_idmhost1,admin=cn=orcladmin,
domain=IDMDomain,ldapurl=ldap://oid.mycompany.com:389,password=welcome1}
Location changed to domainRuntime tree. This is a read-only tree with
DomainMBean as the root.
For more help, use help(domainRuntime)
Starting Policy Store reassociation.
LDAP server and ServiceConfigurator setup done.
Schema is seeded into LDAP server
Data is migrated to LDAP server
Service in LDAP server after migration has been tested to be available
Update of jps configuration is done
Policy Store reassociation done.
Starting credential Store reassociation
LDAP server and ServiceConfigurator setup done.
Schema is seeded into LDAP server
Data is migrated to LDAP server
Service in LDAP server after migration has been tested to be available
Update of jps configuration is done
Credential Store reassociation done
Jps Configuration has been changed. Please restart the server.
コマンドが正常に完了した後に、管理サーバーを再起動します。
|
注意: 資格証明とポリシーの変更を有効にするには、ドメイン内のサーバーを再起動する必要があります。 |
この項では、Oracle Access Manager 10gをOracle WebCenter EDGテクノロジのシングル・サインオン・ソリューションとして設定する方法について説明します。Oracle Access Manager 11gと統合する場合は、この項はスキップして第10.3項「Oracle Access Manager 11gの統合」の手順に従い、その後第10.4項「WebCenterアプリケーションの構成」に進んでください。以降は、本章の残りの部分を続行します。
Oracle Access Manager(OAM)は、Oracle Fusion Middleware 11g リリース1において推奨されるシングル・サインオン・ソリューションです。OAMのインストールおよび構成の詳細は、Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイドを参照してください。この章では、WebCenterのインストールを構成して既存のOAMインストールおよび基礎となるディレクトリ・サービスと連携させる手順について説明します。これらのディレクトリ・サービスには、Oracle Internet Directory (OID)またはOracle Virtual Directory (OVD)、またはその両方を使用することをお薦めします。
|
注意: このマニュアルで説明するWebCenter EDGトポロジでは、WebCenterシステムとシングル・サインオン・システムの両方が同じネットワーク・ドメイン(mycompany.com)にある、シングル・サインオン構成を使用します。マルチ・ドメイン構成の場合は、『Oracle Access Managerアクセス管理ガイド』の第7章「シングル・サインオンの構成」で、必要な構成手順を参照してください。 |
Oracle Access Manager (OAM)の設定では、Access Managerおよびポリシー・マネージャを保護するポリシーを完備した、OAMインストールが存在することを前提としています。OAMのインストールおよび構成の詳細は、Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイドを参照してください。この設定には、スタンドアロンのOracle Virtual Directory (OVD)構成またはその一部としてのOracle Internet Directory(OID)などのディレクトリ・サービスがあります。この章では、WebCenterをインストールした環境をOIDまたはOVDを使用して構成する際に必要な手順を説明します。
さらに、OAMのインストール環境にはWebGateで構成した専用のWebサーバーが必要です。またこの項では、OAM Webサーバーを委任認証サーバーとして使用する手順についても説明します。
OAM構成ツール(oamcfg)は、一連のスクリプトを起動して必要なポリシーを設定します。そのためには、入力情報として様々なパラメータが必要となります。具体的には次の項目が作成されます。
OAMのフォーム認証スキーム
WebLogicサーバーでの認証を可能にするポリシー
Web層にあるOracle HTTP Server WebGateで構成済アプリケーションを保護できるようにOAMで指定するアクセス・ゲート・エントリ
選択したシナリオに応じたホスト識別子(指定しない場合はデフォルトのホスト識別子が使用されます)
アプリケーション固有のURLを保護するポリシーおよび保護対象としないポリシー
この項の項目は次のとおりです。
OAM構成ツールを実行するために収集または事前に準備する情報は次のとおりです。
パスワード: セキュアなパスワードを作成します。このパスワードは、この後に作成するWebGateインストールのパスワードとして使用します。
LDAPホスト: HA/EDGを構成する場合のディレクトリ・サーバーのホスト名またはロード・バランサ・アドレスを入力します。
LDAPポート: ディレクトリ・サーバーのポートを入力します。
LDAPユーザーのDN: LDAP管理ユーザーのDNを入力します。これは「cn=orcladmin」などの値です。
LDAPパスワード: LDAP管理ユーザーのパスワードを入力します。
oam_aa_host: アクセス・サーバー構成にあるOracle Access Managerのホスト名を入力します。
oam_aa_port: アクセス・サーバー構成にあるOracle Access Managerのポートを入力します。
OAM構成ツールは、ORACLE_HOME/modules/oracle.oamprovider_11.1.1/ディレクトリ(ORACLE_HOMEはOAM構成ツールを実行するマシンにより異なる)にあります。このツールは、必要なインストール・ファイルがあればすべてのマシンから実行できます。ここではSOAHOST1から実行します。
次のようにOAM構成ツールを実行します(すべて1行のコマンド・ラインに記述します)。
MW_HOME/jrockit_160_<version>/bin/java -jar oamcfgtool.jar mode=CREATE
app_domain="WebCenter_EDG"
protected_uris="$URI_LIST"
public_uris="$PUBLIC_URI_LIST"
app_agent_password=<Password_to_be_provisioned_for_App_Agent>
ldap_host=OID.MYCOMPANY.COM
ldap_port=389
ldap_userdn="cn=orcladmin"
ldap_userpassword=<Password_of_LDAP_Admin_User>
oam_aaa_host=OAMHOST1
oam_aaa_port=OAMPORT1
このコマンドの$URI_LIST変数と$PUBLIC_URI_LIST変数は、トポロジによって次のように異なります。
WebCenterのみを使用する場合:
$URI_LIST="/webcenter/adfAuthentication,/webcenter/content,/integration/worklistapp,/workflow/sdpmessagingsca-ui-worklist/faces/adf.task-flow,/workflow/WebCenterWorklistDetail/faces/adf.task-flow,/workflow/sdpmessagingsca-ui-worklist,/soa-infra,/rss/rssservlet,/owc_discussion/login!withRedirect.jspa,/owc_discussions/login!default.jspa,/owc_discussions/login.jspa,/owc_discussions/admin,/rest/api/resourceIndex,/rest/api/spaces,/rest/api/discussions,/rest/api/tags,/rest/api/taggeditems,/rest/api/activities,/rest/api/activitygraph,/rest/api/feedback,/rest/api/people,/rest/api/messageBoards,/rest/api/searchresults,/activitygraph-engines,/wcps/api,/pageletadmin,/authenticateWithApplicationServer,/em,/console,/adfAuthentication"
$PUBLIC_URI_LIST="/webcenter,/owc_discussions,/rss,/workflow,/rest/api/cmis,/cs,/"
WebCenterおよびSOAを使用する場合:
$URI_LIST="/webcenter/adfAuthentication,/webcenter/content,/integration/worklistapp,/workflow/sdpmessagingsca-ui-worklist/faces/adf.task-flow,/workflow/WebCenterWorklistDetail/faces/adf.task-flow,/workflow/sdpmessagingsca-ui-worklist,/soa-infra,/rss/rssservlet,/owc_discussions,/login!withRedirect.jspa,/owc_discussions/login!default.jspa,/owc_discussions/login.jspa,/owc_discussions,/admin,/rest/api/resourceIndex,/rest/api/spaces,/rest/api/discussions,/rest/api/tags,/rest/api/taggeditems,/rest/api/activities,/rest/api/activitygraph,/rest/api/feedback,/rest/api/people,/rest/api/messageBoards,/rest/api/searchresults,/activitygraph-engines,/wcps/api,/pageletadmin,/authenticateWithApplicationServer,/em,/console,/DefaultToDoTaskFlow,/b2b,/sdpmessaging/userprefs-ui,/adfAuthentication"
$PUBLIC_URI_LIST="/webcenter,/owc_discussions,/rss,/workflow,/rest/api/cmis,/cs,/"
|
注意: SOAを後でインストールする場合または別のURLの保護が必要になった場合は、同じapp_domainを使用し、新しいURLのみではなく、保護するURLをすべて指定して、再度OAM構成ツールを実行してください。 |
コマンドが正常に実行された場合、次のような出力が得られます。
Processed input parameters Initialized Global Configuration Successfully completed the Create operation Operation Summary: Policy Domain: WebCenter_EDG Host Identifier: WebCenter_EDG Access Gate ID: WebCenter_EDG_AG
RESTポリシーを更新するには:
前の手順で作成および検証したポリシー・ドメインを見つけ、「ポリシー」タブを開きます。
すでに作成されている2つのポリシー(Protected_JSessionId_Policyおよびデフォルト・パブリック・ポリシー)が表示されるはずです。
次の値を使用して、WebCenterRESTPolicyという名前の別のポリシーを作成します。
説明: このポリシーは、WebCenter OutlookプラグインまたはiPhoneとの統合で必要なBASIC認証スキームを使用する、REST保護対象のURIを保護します。
リソース・タイプ: http
リソース操作: GET,POST
リソース: /restで始まる、/rest/cmis/repository以外のすべてのリソースを選択します。
/rest/api/resourceIndex /rest/api/spaces /rest/api/discussions /rest/api/tags /rest/api/taggeditems /rest/api/activities /rest/api/activitygraph /rest/api/feedback /rest/api/people /rest/api/messageBoards /rest/api/searchresults
ホスト識別子: リソースで使用するものと同じです。
「保存」をクリックします。
新しく作成したポリシーの「認証ルール」に移動し、認証スキームOraDefaultBasicAuthNSchemeを使用して新しいルールを追加します。
「ポリシー」タブを開き、ポリシーが次の順序になっていることを確認します。
Protected_JSessionId_Policy
WebCenterRESTPolicy
デフォルトのパブリック・ポリシー
ポリシー・ドメインの確認
ポリシー・ドメインを確認するには、次の手順を実行します:
Oracle Access Managerにログオンします。
http://OAMADMINHOST:<port>/access/oblix/
「ポリシー・マネージャ」をクリックします。
左のパネルにある「ポリシー・ドメイン」リンクをクリックすると、すべてのポリシー・ドメインのリストが表示されます。このリストには作成直後のドメインも表示されます。この接尾辞は_PDなので、ドメイン名はWebCenter_EDG_PDのようになります(3番目の列「URL接頭辞」には、このドメインの作成時に指定したURIも表示されます)。
作成したポリシー・ドメインへのリンクをクリックすると、このドメインの「一般」領域が表示されます。
「リソース」タブをクリックすると、指定したURIが表示されます。他のタブをクリックし、他の設定を表示することもできます。
アクセス・ゲート構成を確認するには、次の手順を実行します:
右上にある「アクセス・システム・コンソール」リンクをクリックします(このリンクはトグル方式なので、クリックした後は「ポリシー・マネージャ」リンクになります)。
「アクセス・システム構成」タブをクリックします。
左のパネルにある「アクセス・ゲート構成」リンクをクリックします。
検索条件に「WebCenter_EDG」と入力し(または第10.2.3.2項「OAM構成ツールの実行」でapp_domain名として使用した他のサブストリングなどを入力)、「実行」をクリックします。
作成したドメインのアクセス・ゲートが表示されたら(アクセス・ゲートの接尾辞は_AGなので、その名前はWebCenter_EDG_AGのようになる)、それをクリックすると作成したばかりのアクセス・ゲートの詳細が表示されます。
OAM構成ツールは、app_domainパラメータの値を使用してポリシー・ドメインのホスト識別子を作成します。構成が正常に機能するためには、ホストに対するすべてのホスト名バリエーションを反映してホスト識別子を更新する必要があります。OAM構成ツールで作成したホスト識別子を更新する手順は次のとおりです。
Webブラウザで次のURLを指定し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているWebPassのホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力を求められたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックします。
「アクセス・システム構成」ページで、左下にある「ホスト識別子」をクリックします。
「すべてのホスト識別子をリスト」ページで、OAM構成ツールで作成したホスト識別子をクリックします。たとえば、「WebCenter_EDG」を選択します。
「ホスト識別子詳細」ページで「変更」をクリックします。
アクセス・システム構成で使用される「優先HTTPホスト」の値を追加します。次のリストは、SSO/WebGateを使用する可能性のあるすべてのホスト名のバリエーションを示しています。
webhost1.mydomain.com:7777
webhost2.mydomain.com:7777
wchost1:9000
wchost2:9000
wchost1:9001
wchost2:9001
wchost1:9002
wchost2:9002
wchost1:9003
wchost2:9003
admin.mycompany.com
adminvhn.mycompany.com:7001
soahost1vhn1:8001
soahost2vhn1:8001
soahost1vhn1:8010
soahost2vhn1:8010
adminvhn:7001
「キャッシュの更新」の横にあるチェック・ボックスを選択し、「保存」をクリックします。
「現時点でキャッシュを更新すると、システム内のすべてのキャッシュがフラッシュされます。よろしいですか。」という内容のメッセージ・ボックスが表示されます。
「OK」をクリックして、構成変更の保存を終了します。
「ホスト識別子詳細」ページで変更内容を確認します。
OAM構成ツールでは、app_domainパラメータの値で作成したWebGateプロファイルのPreferred_HTTP_Hostおよびホスト名属性に値が移入されます。正しく機能する構成とするには、この2つの属性の両方を適切な値で更新する必要があります。OAM CFGツールで作成したWebGateプロファイルを更新する手順は次のとおりです。
Webブラウザで次のURLを指定し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているWebPassのホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」リンクをクリックし、「アクセス・ゲート検索」ページを表示します。
適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。
OAM構成ツールで作成したアクセス・ゲートを選択します。たとえば、WebCenter_EDG_AGを選択します。
「アクセス・ゲート詳細」ページで、「変更」を選択し、「アクセス・ゲートの変更」ページを表示します。
「アクセス・ゲートの変更」ページで、次のように更新します。
ホスト名: WebGateを実行しているコンピュータの名前にホスト名を更新します(webhost1.mycompany.comなど)。
優先HTTPホスト: 前述の項で指定したホスト名バリエーションの1つにPreferred_HTTP_Hostを更新します(admin.mycompany.com:80など)。
プライマリHTTP Cookieドメイン: ドメインの接尾辞がホスト識別子(例: mycompany.com)であるプライマリHTTP Cookieドメインを更新します。
「保存」をクリックします。「これらの変更をコミットしますか。」という内容のメッセージ・ボックスが表示されます。
「OK」をクリックして、構成の更新を終了します。
「アクセス・ゲートの詳細」ページに表示される値を確認し、正常に更新されたことを確認します。
アクセス・サーバーをWebGateに割り当てるには:
管理者としてアクセス・システム・コンソールにログインします。
必要に応じて、「アクセス・ゲート」ページの「詳細」に移動します。「アクセス・システム・コンソール」から、「アクセス・システム構成」→「アクセス・ゲート構成」→WebGateへのリンク(WebCenter_EDG_AG)を選択します。
「アクセス・ゲート」ページの「詳細」で、「アクセス・サーバーをリスト」をクリックします。
このWebGateに現在構成されているプライマリ・アクセス・サーバーまたはセカンダリ・アクセス・サーバーを示すページが表示されます。
「追加」をクリックします。
「新規アクセス・サーバーの追加」ページで、「サーバーの選択」リストからアクセス・サーバーを選択し、「プライマリ・サーバー」を指定して、WebGateの2つの接続を定義します。
「追加」ボタンをクリックして関連付けを完了します。
アクセス・サーバーとWebGateの関連を示すページが表示されます。リンクをクリックしてサマリーを表示し、後で使用するためにこのページを印刷します。
ステップ3から6を繰り返し、別のアクセス・サーバーをWebGateに関連付けます。
OAMインストールとともにインストールしたWebGateにリダイレクトするようにフォーム認証を構成するには、次の手順を実行します:
「アクセス・システム・コンソール」を開きます。
「アクセス・システム構成」画面で、左側のバーから「認証管理」を選択します。
「OraDefaultFormAuthNScheme」を選択します。
「変更」をクリックします。
「チャレンジ・リダイレクト」フィールドで、IDMインストール用のOracle HTTP Serverのホストとポートを入力します(http://sso.mycompany.com:7777など)。
WebGateはIDMのインストール時にすでにインストールされているはずです。詳細は、Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイドのWebGateのインストールおよび構成に関する項を参照してください。
Web層を保護するために、次の手順を実行して各WEBHOSTnマシンにWebGateをインストールする必要があります。
次のコマンドを使用して、WebGateインストーラを起動します(インストーラの場所は、第1.5.5項「インストールするコンポーネント」を参照)。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_WebGate –gui
「ようこそ」画面が表示されます。「次へ」をクリックします。
「顧客情報」画面(図10-1)で、Webサーバーを実行しているユーザー名とユーザー・グループを入力します。「次へ」をクリックして続行します。
インストール先画面(図10-2)で、WebGateをインストールするディレクトリを指定します。「次へ」をクリックして続行します。
インストールの概要の画面で「次へ」をクリックします。
WebGate構成画面(図10-3)の説明に従って、WebGateに必要なGCCランタイム・ライブラリをダウンロードし、「参照」を使用して、このGCCランタイム・ライブラリのローカル・コンピュータ上の場所を指定します。「次へ」をクリックして続行します。
この段階で、インストーラにより必要なアーティファクトが作成されます。作成が完了したら、「次へ」をクリックして続行します。
「トランスポート・セキュリティ・モード」画面(図10-4)で、「オープン・モード: 暗号化なし」を選択し、「次へ」をクリックして続行します。
WebGate構成画面で、使用するアクセス・サーバーの詳細を入力します。入力する情報は次のとおりです。
WebGate ID: OAM構成ツールを実行したときの指定のID
WebGateのパスワード
アクセス・サーバーID: OAMアクセス・サーバー構成から報告されたID
アクセス・サーバーのホスト名: OAMアクセス・サーバー構成から報告された名前
アクセス・サーバーのポート番号: OAMアクセス・サーバー構成から報告された番号
|
注意: アクセス・サーバーのID、ホスト名およびポートは、すべて入力が必須の項目です。 |
これらの詳細は、Oracle Access Manager管理者から取得できます。「次へ」をクリックして続行します。
「Webサーバーの構成」画面で「はい」をクリックすると、自動的にWebサーバーが更新されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面で、httpd.confファイルが格納されているディレクトリのフルパスを指定します。このファイルは、次のディレクトリにあります。
ORACLE_BASE/admin/<OHS_Instance>/config/OHS/<OHS_ComponentName>
例:
/u01/app/oracle/admin/ohs_instance2/config/OHS/ohs2/httpd.conf
「次へ」をクリックして続行します。
表示された「Webサーバーの構成」ページに、Webサーバー構成がWebGate向けに変更されたことを示すメッセージが示されます。「はい」をクリックして確認します。
Webサーバーをいったん停止してから再起動し、構成の更新を有効にします。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、「WebサーバーをSSLモードで設定する場合、SSL関連パラメータを使用してhttpd.confファイルを構成する必要があります。SSL構成を手動で調整するには、表示される指示に従ってください。」というメッセージが示されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、製品設定とWebサーバーの構成の残りの部分に関する情報が記載されているドキュメントの場所を示すメッセージが表示されます。「いいえ」を選択し、「次へ」をクリックして続行します。
最後の「Webサーバーの構成」画面が表示されます。Webサーバーの構成に関する詳細情報を得るには、手動でブラウザを起動し、該当のHTMLドキュメントを開くように指示するメッセージが表示されます。「次へ」をクリックして続行します。
「Oracle COREid Readme」画面が表示されます。画面の情報を確認し、「次へ」をクリックして続行します。
正常にインストールが完了したことを示すメッセージが、インストールの詳細とともに表示されます。
IP検証により、クライアントのIPアドレスが、シングル・サインオン用に生成されてObSSOCookieに格納されたIPアドレスと同じかどうかが判定されます。IPターミネーションを実行するように構成されたロード・バランサ・デバイスを使用しているシステムにおいては、また認証するWebGateのフロントエンドのロード・バランサがエンタープライズ・デプロイメントのフロントエンドのロード・バランサと異なる場合は、IP検証で問題が発生することがあります。このような場合にIPが検証されないようにロード・バランサを構成する手順は次のとおりです。
次のURLを使用して、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」をクリックし、左ペインで「アクセス・ゲート構成」リンクをクリックし、アクセス・ゲート検索ページを表示します。
適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。
Oracle Access Manager構成ツールで作成したアクセス・ゲートを選択します。
ページの一番下にある「変更」をクリックします。
「IPValidationException」フィールドに、デプロイメントのフロントエンドに使用されるロード・バランサのアドレスを入力します。
ページの一番下にある「保存」をクリックします。
この項では、第10.1.2.1項「LDAP認証プロバイダの作成」の手順に従って、LDAP認証プロバイダを設定済であると想定します。LDAP認証プロバイダをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。
この項の項目は次のとおりです。
まず、次の関連する構成ファイルをバックアップします。
ORACLE_BASE/admin/<domain_name>/aserver/<domain_name>/config/config.xml ORACLE_BASE/admin/<domain_name>/aserver/<domain_name>/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/<domain_name>/aserver/<domain_name>/config/fwmconfig/system-jazn-data.xml
管理サーバーのboot.propertiesファイルもバックアップします。
OAM IDアサータを設定するには:
WebLogicコンソールにログインしていない場合は、ログインします。
SecurityRealms\<Default Realm Name>\Providersに移動します。
「新規」をクリックし、ドロップダウン・メニューから「OAM Identity Asserter」を選択します。
アサータの名前(OAM ID Asserterなど)を入力し、「保存」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
「制御フラグ」を「REQUIRED」に設定して、「保存」をクリックします。
「アクティブなタイプ」にOAM_REMOTE_USERおよびObSSOCookieが設定されていることを確認します。
設定を保存します。
WebCenter Suiteには、コンテキスト・ルートとして"/"を使用するアプリケーションが含まれています。仮想ホストを使用せずにOracle HTTP Serverを介してこれらのアプリケーションをルーティングするには、mod_wl_ohs.confファイルに次のエントリを追加します。
<Location />
SetHandler weblogic-handler
WebLogicHost webcenter.example.com
WebLogicPort 8889
</Location>
ただし、これは明示的に定義されていないすべてのコンテキスト・ルートに影響することがあります。
仮想ホストという用語は、1台のマシン上で複数のWebサイト(www.company1.comおよびwww.company2.comなど)を実行する手法を指します。仮想ホストには、IPベース(各Webサイトに異なるIPアドレスを割り当てる手法)と、名前ベース(各IPアドレスに複数の名前を割り当てる手法)があります。
仮想ホストの構成は、HTTPサーバーとロード・バランサの両方に対して行う必要があります。ロード・バランサでは、外部に公開されているURL (wcedg-pagelet.mycompany.comなど)を構成します。この構成によって、HTTPサーバー上に構成された仮想ホストへのルーティングが行われます。次にその例:
wcedg.mycompany.com -> webhostn:7777
wcedg-pagelet.mycompany.com -> webhostn-pagelet:7777
HTTPサーバー上で仮想ホストを構成する手順の概要は、第10.2.8項「OAM 10gでの仮想ホストの構成」に記載されています。
OAM 10gを仮想ホスト用に構成するには、RSSおよびSESクローラ用のシングル・サインオンおよび認証エンド・ポイントをバイパスします。これは、外部のRSSリーダーおよびSESではBASIC認証のみがサポートされるためです。また、これらの統合ではシングル・サインオンは必要ありません。詳細は、10gのOracle Access Managerアクセス管理ガイドの特定の仮想ホスト、ディレクトリ、またはファイルへのWebGateの関連付けに関する項を参照してください。
httpd.confファイルから次の場所を見つけ、コメント・アウトします。
#Comment out this and move to VirtualHost configuration #<LocationMatch "/*"> #AuthType Oblix #require valid-user #</LocationMatch>
このエントリによって、WebGateはすべての要求をインターセプトし、処理するようになります。次に示すように、このエントリをシングル・サインオンが必要な仮想ホストに移動します。
NameVirtualHost *:7777 <VirtualHost *:7777> ServerName webhost1.example.com <LocationMatch "/*"> AuthType Oblix require valid-user </LocationMatch> </VirtualHost> <VirtualHost *:7777> ServerName https://wc.mycompany.com:443 <LocationMatch "/*"> AuthType Oblix require valid-user </LocationMatch> </VirtualHost> <VirtualHost *:7777> ServerName admin.mycompany.com:80 <LocationMatch "/*"> AuthType Oblix require valid-user </LocationMatch> </VirtualHost> <VirtualHost *:7777> ServerName wcinternal.mycompany.com:80 <LocationMatch "/*"> AuthType Oblix require valid-user </LocationMatch> </VirtualHost> <VirtualHost *:7777> ServerName webhost1-pagelet.example.com <Location /> SetHandler weblogic-handler WLExcludePathOrMimeType /oamsso WebLogicCluster wchost1:9001,wchost2:9001 AuthType Oblix require valid-user </Location> </VirtualHost>
Oracle HTTP Serverを再起動します。
また、webhost1-pagelet.example.comのエントリに関するDNSの更新を必ず行います。
この項では、Oracle Access Manager 11gをOracle WebCenter EDGトポロジのシングル・サインオン・ソリューションとして設定する方法について説明します。
この章の項目は次のとおりです。
Oracle Access Manager (OAM)は、Oracle Fusion Middleware 11g リリース1において推奨されるシングル・サインオン・ソリューションです。OAMのインストールおよび構成の詳細は、Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイドを参照してください。この章では、WebCenterのインストールを構成して既存のOAMインストールおよび基礎となるディレクトリ・サービスと連携させる手順について説明します。これらのディレクトリ・サービスには、Oracle Internet Directory (OID)またはOracle Virtual Directory (OVD)、またはその両方を使用することをお薦めします。
|
注意: このガイドで説明するWebCenterトポロジでは、WebCenterシステムとシングル・サインオン・システムの両方が同じネットワーク・ドメイン(mycompany.com)にある、シングル・サインオン構成を使用します。マルチ・ドメイン構成の場合は、『Oracle Access Managerアクセス管理ガイド』の第7章「シングル・サインオンの構成」で、必要な構成手順を参照してください。 |
Oracle Access Manager (OAM)の設定では、Access Managerおよびポリシー・マネージャを保護するポリシーを完備した、OAMインストールが存在することを前提としています。OAMのインストールおよび構成の詳細は、Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイドを参照してください。この設定には、スタンドアロンのOracle Virtual Directory (OVD)構成またはその一部としてのOracle Internet Directory (OID)などのディレクトリ・サービスがあります。この章では、WebCenterをインストールした環境をOIDまたはOVDを使用して構成する際に必要な手順を説明します。
さらに、OAMのインストール環境にはWebGateで構成した専用のWebサーバーが必要です。またこの項では、OAM Webサーバーを委任認証サーバーとして使用する手順についても説明します。
HTTPサーバーがすでにインストールされている各WEBHOSTマシンにWebGateをインストールする必要があります。デプロイメント環境の各WEBHOSTに対して、第10.3.3項および第10.3.4項を繰り返す必要があります。
WebGateをインストールする前に、サードパーティのGCCライブラリをダウンロードし、お使いのマシンにインストールする必要があります。
次のサードパーティWebサイトから該当するGCCライブラリをダウンロードできます。
http://gcc.gnu.org/
32ビットのLinuxの場合、必要なライブラリはバージョン番号3.3.2のlibgcc_s.so.1およびlibstdc++.so.5です。
この項では、WebGateのインストール手順について説明します。
インストーラの起動
Oracle HTTP Server 11g Webgate for Oracle Access Managerのインストーラ・プログラムは、webgate.zipファイルに含まれています。
インストール・ウィザードを開始するには:
webgate.zipファイルのコンテンツを、ディレクトリに解凍します。デフォルトでは、このディレクトリはwebgateと名前が付けられています。
webgateフォルダの下のDisk1ディレクトリに移動します。
次のコマンドを使用してインストーラを起動します。
$ ./runInstaller -jreLoc <WebTier_Home>/jdk
|
注意: Oracle HTTP Serverをインストールするときに、WebTier_Homeディレクトリの下にjdkディレクトリが作成されます。インストーラを起動するときに、このJDKの中にあるJREフォルダの絶対パスを入力する必要があります。 |
インストーラが起動すると、「ようこそ」画面が表示されます。
インストールの流れと手順
インストール画面の詳細なヘルプが必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプにアクセスします。
Oracle HTTP Server 11g Webgate for Oracle Access Managerをインストールするには:
「ようこそ」画面で、「次へ」をクリックします。
「前提条件のチェック」画面で、「次へ」をクリックします。
「インストール場所の指定」画面で、ミドルウェア・ホームおよびOracleホームの場所を指定します。
|
注意: ミドルウェア・ホームには、Oracle Web層のOracleホームが含まれます。 |
「次へ」をクリックします。
GCCライブラリの指定画面で、GCCライブラリが含まれているディレクトリを指定し、「次へ」をクリックします。
「インストール・サマリー」画面で、画面に表示される情報を確認し、「インストール」をクリックしてインストールを開始します。
「インストールの進行状況」画面で、ファイルおよびディレクトリに適切な権限を設定するために、ORACLE_HOME/oracleRoot.shスクリプトを実行するように求められる場合があります。
「次へ」をクリックして続行します。
「インストール完了」画面で、「終了」をクリックし、インストーラを終了します。
Oracle HTTP Server 11g Webgate for Oracle Access Managerのインストール後に次の手順を実行します。
WebgateのOracleホームの下にある次のディレクトリに移動します。
$ cd Webgate_Home/webgate/ohs/tools/deployWebGate
コマンド・ラインで次のコマンドを実行し、Webgate_HomeディレクトリからWebgateインスタンスの場所に必要なものをコピーします。
$ ./deployWebgateInstance.sh -w Webgate_Instance_Directory -oh Webgate_Oracle_Home
ここでWebgate_Oracle_Homeは、Oracle HTTP Server Webgateをインストールし、WebgateのOracleホームを作成したディレクトリです。次に例を示します。
MW_HOME/Oracle_OAMWebGate1
Webgate_Instance_DirectoryはWebgateのインスタンス・ホームの場所です。これは、Oracle HTTP Serverのインスタンス・ホームと同じです。次に例を示します。
MW_HOME/Oracle_WT1/instances/instance1/config/OHS/ohs1
|
注意: Oracle HTTP Serverのインスタンス・ホームは、Oracle HTTP Serverを構成した後に作成されます。 |
次のコマンドを実行し、LD_LIBRARY_PATH変数にOracle_Home_for_Oracle_HTTP_Server/libが含まれるようにします。
$ export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:Oracle_Home_for_Oracle_HTTP_Server/lib
現在の作業ディレクトリから1つ上のディレクトリに移動します。
$ cd Webgate_Home/webgate/ohs/tools/setup/InstallTools
コマンド・ラインで次のコマンドを実行して、Webgate_HomeディレクトリからWebgateインスタンスの場所にapache_webgate.templateをコピーし(名前がwebgate.confに変更されます)、httpd.confファイルを更新してwebgate.confの名前が含まれる1つの行を追加します。
$ ./EditHttpConf -w Webgate_Instance_Directory [-oh Webgate_Oracle_Home] [-o output_file]
|
注意: -oh WebGate_Oracle_Homeおよび-o output_fileパラメータはオプションです。 |
ここでWebGate_Oracle_Homeは、Oracle HTTP Server Webgate for Oracle Access Managerをインストールし、WebgateのOracleホームを作成したディレクトリです。次に例を示します。
MW_HOME/Oracle_OAMWebGate1
Webgate_Instance_DirectoryはWebgateのインスタンス・ホームの場所です。これは、Oracle HTTP Serverのインスタンス・ホームと同じです。次に例を示します。
MW_HOME/Oracle_WT1/instances/instance1/config/OHS/ohs1
output_fileはツールによって使用される一時出力ファイルの名前です。次に例を示します。
Edithttpconf.log
この項では、WebGateエージェントの登録手順について説明します。
RREGツールはOAM 11gのインストールの一部です。見つからない場合は、次の手順を使用して抽出します。
Oracle Access Managerのインストールおよび構成が終わった後、次の場所に移動します。
IDM_Home/oam/server/rreg/client
次の例に示すように、コマンド・ラインでgunzipを使用してRREG.tar.gzファイルを展開します。
gunzip RREG.tar.gz tar -xvf RREG.tar
エージェントの登録で使用するツールは次の場所にあります。
RREG_Home/bin/oamreg.sh
RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。
RREG_Home/inputディレクトリの中に、OAM11gRequest.xmlという名前のテンプレート・ファイルがあります。WebCenterのインストールのためのポリシーを作成するには、このファイルをコピーして編集する必要があります。編集後のファイルは次のようになります。
|
注意: $$webtierhost$$および$$oamhost$$をインストールのホスト名に置換してください。 |
<?xml version="1.0" encoding="UTF-8"?>
<!-- Copyright (c) 2009, 2010, Oracle and/or its affiliates. All rights reserved.
NAME: OAM11GRequest_short.xml - Template for OAM 11G Agent Registration request file
(Shorter version - Only mandatory values - Default values will be used for all other fields)
DESCRIPTION: Modify with specific values and pass file as input to the tool.
-->
<OAM11GRegRequest>
<serverAddress>http://$$oamhost$$:$$oamadminserverport$$</serverAddress>
<hostIdentifier>$$webtierhost$$_webcenter</hostIdentifier>
<agentName>$$webtierhost$$_webcenter</agentName>
<applicationDomain>$$webtierhost$$_webcenter</applicationDomain>
<logOutUrls>
<url></url>
</logOutUrls>
<protectedResourcesList>
<resource>/em</resource>
<resource>/console</resource>
<resource>/webcenter/adfAuthentication</resource>
<resource>/webcenter/content</resource>
<resource>/webcenter/content/.../*</resource>
<resource>/integration/worklistapp</resource>
<resource>/integration/worklistapp/.../*</resource>
<resource>/workflow/sdpmessagingsca-ui-worklist/faces/adf.task-flow</resource>
<resource>/workflow/WebCenterWorklistDetail/faces/adf.task-flow</resource>
<resource>/workflow/sdpmessagingsca-ui-worklist</resource>
<resource>/workflow/sdpmessagingsca-ui-worklist/.../*</resource>
<resource>/sdpmessaging/userprefs-ui</resource>
<resource>/sdpmessaging/userprefs-ui/.../*</resource>
<resource>/rss/rssservlet</resource>
<resource>/owc_discussions/login!withRedirect.jspa</resource>
<resource>/owc_discussions/login!default.jspa</resource>
<resource>/owc_discussions/login.jspa</resource>
<resource>/owc_discussions/admin</resource>
<resource>/owc_discussions/admin/.../*</resource>
<resource>/rest/api/resourceIndex</resource>
<resource>/rest/api/spaces</resource>
<resource>/rest/api/spaces/.../*</resource>
<resource>/rest/api/discussions</resource>
<resource>/rest/api/discussions/.../*</resource>
<resource>/rest/api/tags</resource>
<resource>/rest/api/tags/.../*</resource>
<resource>/rest/api/taggeditems</resource>
<resource>/rest/api/taggeditems/.../*</resource>
<resource>/rest/api/activities</resource>
<resource>/rest/api/activities/.../*</resource>
<resource>/rest/api/activitygraph</resource>
<resource>/rest/api/activitygraph/.../*</resource>
<resource>/rest/api/feedback</resource>
<resource>/rest/api/feedback/.../*</resource>
<resource>/rest/api/people</resource>
<resource>/rest/api/people/.../*</resource>
<resource>/rest/api/messageBoards</resource>
<resource>/rest/api/messageBoards/.../*</resource>
<resource>/rest/api/searchresults</resource>
<resource>/rest/api/searchresults/.../*</resource>
<resource>/activitygraph-engines</resource>
<resource>/activitygraph-engines/.../*</resource>
<resource>/wcps/api</resource>
<resource>/wcps/api/.../*</resource>
<resource>/adfAuthentication</resource>
<resource>/pageletadmin</resource>
<resource>/pageletadmin/.../*</resource>
<resource>/authenticateWithApplicationServer</resource>
</protectedResourcesList>
<publicResourcesList>
<resource>/webcenter</resource>
<resource>/webcenter/.../*</resource>
<resource>/owc_discussions</resource>
<resource>/owc_discussions/.../*</resource>
<resource>/rss</resource>
<resource>/rss/.../*</resource>
<resource>/workflow</resource>
<resource>/workflow/.../*</resource>
<resource>/rest/api/cmis/.../*</resource>
<resource>/cs</resource>
<resource>/cs/.../*</resource>
</publicResourcesList>
<userDefinedParameters>
<userDefinedParam>
<name>ipValidationExceptions</name>
<value>10.1.1.1</value>
</userDefinedParam>
</userDefinedParameters>
</OAM11GRegRequest>
次のコマンドを使用してoamregツールを実行します。
$ ./RREG_Home/bin/oamreg.sh inband input/OAM11GRequest.xml
エージェントの資格証明が求められたら、自身のOAM管理者資格証明を入力します。
実行時の出力は次のようになります。
------------------------------------------------ Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /scratch/aime1/install/MW_HOME/Oracle_IDM1/oam/server/rreg/input/WebCenterOAM11gRequest.xml Enter your agent username:weblogic Username: weblogic Enter agent password: Do you want to enter a Webgate password?(y/n): y Enter webgate password: Enter webgate password again: Password accepted. Proceeding to register.. Aug 16, 2010 1:22:30 AM oracle.security.am.engines.rreg.client.handlers.request.OAM11GRequestHandler getWebgatePassword INFO: Passwords matched and accepted. Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WEBHOST1_webcenter URL String:WEBHOST1_webcenter Registering in Mode:inband Your registration request is being been sent to the Admin server at: http://oamserver.mycompany.com:7001 ---------------------------------------- Inband registration process completed successfully! Output artifacts are created in the output folder.
RREG_Home/output/$$webtierhost$$_webcenterの中に次の2つのファイルが生成されます。
ObAccessClient.xml
cwallet.sso
これらのファイルを、WEBHOSTマシンのwebgateインスタンスの場所(Webgate_Instance_Home/webgate/config)にコピーします。
OAM管理コンソールにログオンし、次の手順を実行します。
「アプリケーション・ドメイン」→「$$webtierhost$$_webcenter」→「認証ポリシー」を選択し、その下にWebCenter REST Auth Policyという名前の新しいポリシーを作成します。認証スキームは「BASICScheme」を選択します。
「アプリケーション・ドメイン」→「$$webtierhost$$_webcenter」→「認証ポリシー」→保護リソース・ポリシーを選択し、/restで始まるすべてのエントリを削除します。
ステップ1で作成したWebCenter REST Auth Policyに戻り、ステップ2で削除したすべてのエントリを追加します。下の記述を参照し、「適用」をクリックします。
RESTはBASIC認証スキームに従う必要があります。したがって、outlookプラグインやiphoneアプリケーションなどの外部クライアントは、SSOで保護されているWebCenter RESTに接続することができます。
この項では、第10.1.2.1項「LDAP認証プロバイダの作成」の手順に従って、LDAP認証プロバイダを設定済であると想定します。LDAP認証プロバイダをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。
この項の項目は次のとおりです。
まず、次の関連する構成ファイルをバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fwmconfig/system-jazn-data.xml
また、管理サーバーのboot.propertiesファイルもバックアップします。
OAM IDアサータを設定するには:
WebLogicコンソールにログインしていない場合は、ログインします。
SecurityRealms\<Default Realm Name>\Providersに移動します。
「新規」をクリックし、ドロップダウン・メニューからOAMアイデンティティ・アサータを選択します。
アサータの名前(OAM ID Asserterなど)を入力し、「保存」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
制御フラグを「必須」に設定します。
「アクティブなタイプ」の下で「ObSSOCookie」および「OAM_REMOTE_USER」の2つのオプションを選択します。
設定を保存します。
最後に、WLSTコンソールに管理者としてログインし、次のコマンドを実行します。
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html")
WebCenter Suiteには、コンテキスト・ルートとして"/"を使用するアプリケーションが含まれています。仮想ホストを使用せずにOracle HTTP Serverを介してこれらのアプリケーションをルーティングするには、mod_wl_ohs.confファイルに次のエントリを追加します。
<Location />
SetHandler weblogic-handler
WebLogicHost webcenter.example.com
WebLogicPort 8889
</Location>
ただし、これは明示的に定義されていないすべてのコンテキスト・ルートに影響することがあります。
仮想ホストという用語は、1台のマシン上で複数のWebサイト(www.company1.comおよびwww.company2.comなど)を実行する手法を指します。仮想ホストには、IPベース(各Webサイトに異なるIPアドレスを割り当てる手法)と、名前ベース(各IPアドレスに複数の名前を割り当てる手法)があります。
仮想ホストの構成は、HTTPサーバーとロード・バランサの両方に対して行う必要があります。ロード・バランサでは、外部に公開されているURL (wcedg-pagelet.mycompany.comなど)を構成します。この構成によって、HTTPサーバー上に構成された仮想ホストへのルーティングが行われます。次にその例:
wcedg.mycompany.com -> webhostn:7777
wcedg-pagelet.mycompany.com -> webhostn-pagelet:7777
HTTPサーバー上で仮想ホストを構成する手順の概要は、第10.3.7項「OAM11gでの仮想ホストの構成」に記載されています。
OAM 11gを仮想ホスト用に構成するには、RSSおよびSESクローラ用のシングル・サインオンおよび認証エンド・ポイントをバイパスします。これは、外部のRSSリーダーおよびSESではBASIC認証のみがサポートされるためです。また、これらの統合ではシングル・サインオンは必要ありません。
OAM 11gで仮想ホストを構成するには:
webgate.confから次の場所を見つけ、コメント・アウトします。
#Comment out this and move to VirtualHost configuration
#<LocationMatch "/*">
#AuthType Oblix
#require valid-user
#</LocationMatch>
このエントリによって、WebGateはすべての要求をインターセプトし、処理するようになります。
次の例に示すように、このエントリをシングル・サインオンが必要な仮想ホストに移動します。
NameVirtualHost *:7777
<VirtualHost *:7777>
ServerName webhost1.example.com
<LocationMatch "/*">
AuthType Oblix
require valid-user
</LocationMatch>
</VirtualHost>
<VirtualHost *:7777>
ServerName https://wc.mycompany.com:443
<LocationMatch "/*">
AuthType Oblix
require valid-user
</LocationMatch>
</VirtualHost>
<VirtualHost *:7777>
ServerName admin.mycompany.com:80
<LocationMatch "/*">
AuthType Oblix
require valid-user
</LocationMatch>
</VirtualHost>
<VirtualHost *:7777>
ServerName wcinternal.mycompany.com:80
<LocationMatch "/*">
AuthType Oblix
require valid-user
</LocationMatch>
</VirtualHost>
<VirtualHost *:7777>
ServerName webhost1-pagelet.example.com
<Location />
SetHandler weblogic-handler
WLExcludePathOrMimeType /oamsso
WebLogicCluster wchost1:9001,wchost2:9001
AuthType Oblix
require valid-user
</Location>
</VirtualHost>
Oracle HTTP Serverを再起動します。また、webhost1-pagelet.example.comのエントリに関するDNSの更新を必ず行います。
この項の項目は次のとおりです。
アプリケーションがSSOモードで構成されているために特殊な処理が必要であることをWebCenterとADFに通知するシステム・プロパティがあります。このモードでは、次のシステム・プロパティが必要です。
表10-1 システム・プロパティ
| プロパティ | 値 | コメント |
|---|---|---|
|
oracle.webcenter.spaces.osso |
true |
このフラグは、SSOが使用されているためにデフォルトのランディング・ページにログイン・フォームが表示されないことをWebCenterに通知します。かわりに、ユーザーがクリックするとSSO認証が起動するログイン・リンクが表示されます。 |
WCHOST1およびWCHOST2でこのプロパティを設定するには、<managedserver_domain_home>/binディレクトリにあるsetDomainEnv.shスクリプトを編集します。次のように、このプロパティをEXTRA_JAVA_PROPERTIES変数に追加します。
EXTRA_JAVA_PROPERTIES="-Dweblogic.security.SSL.ignoreHostnameVerification=true -Doracle.mds.bypassCustRestrict=true -Djps.update.subject.dynamic=true -Doracle.webcenter.spaces.osso=true -noverify ${EXTRA_JAVA_PROPERTIES}"
WebCenterのプライマリ認証プロバイダとしてOracle Internet DirectoryまたはOracle Virtual Directoryを構成した後は、weblogicユーザーをWebCenter管理者として使用しないでください。Oracle Internet Directoryにユーザーを作成し、WLSTまたはEnterprise Managerを使用して、そのユーザーをWebCenter管理者にします。
WLSTを使用してWebCenter管理者ロールを付与する手順は、次のとおりです。
WLSTを起動します。
次のコマンドを使用して、ターゲット・ドメインのWebCenter Spaces管理サーバーに接続します。
connect('<user_name>','<password>, '<host_id:port>')
説明:
<user_name>は、管理サーバーへのアクセスに使用するユーザー・アカウントの名前(weblogicなど)です。
<password>は、管理サーバーへのアクセスに使用するパスワードです。
<host_id>は、管理サーバーのホストIDです。
<port>は、管理サーバーのポート番号(7001など)です。
次のように、grantAppRoleコマンドを使用して、LDAPのユーザーにWebCenter Spaces管理者アプリケーション・ロールを付与します。
grantAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator",
principalClass="weblogic.security.principal.WLSUserImpl", principalName="<wc_admin>")
<wc_admin>は、作成する管理者アカウントの名前です。
新しいアカウントをテストするには、新しいアカウント名を使用してWebCenter Spacesにログインします。
「管理」リンクが表示され、すべての管理操作を実行できるようになります。
ここでは、デフォルトのweblogicアカウント以外のユーザー・アカウントにWebCenter Spaces管理者ロールを付与する方法を説明します。
Enterprise Managerを使用してWebCenter Spaces管理者ロールを付与するには:
Fusion Middleware Controlにログインし、WebCenter Spaces用のWebLogicドメインを選択します。
「WebLogicドメイン」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます。
WebCenter Spacesの「アプリケーション」名(WC_Spaces/webcenter)を選択し、WebCenter Spacesで「ロール名」として使用される次の内部識別子を指定して、管理アプリケーション・ロールを検索します。
s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
この検索では、s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administratorが返されます。これが管理者ロール識別子になります。
「ロール名」列で管理者ロール名(s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator)をクリックします。
「アプリケーション・ロールの編集」ページが表示されます。
「ユーザーの追加」をクリックします。
「ユーザーの追加」ポップアップが表示されます。
検索機能を使用して、管理者ロールを割り当てるユーザーを検索します。
矢印キーを使用して、「使用可能なユーザー」列から「選択したユーザー」列にユーザーを移動し、「OK」をクリックします。
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
WC_Spaces管理対象サーバーを再起動します。
WebCenter Spacesにログインすると、「管理」リンクが表示され、すべての管理操作を実行できます。
Oracle WebCenterディスカッション・サーバーをOAMシングル・サインオン用に構成するには:
次の場所でOracle WebCenterディスカッション・サーバーの管理コンソールにログインします。
http://host:port/owc_discussions/admin
hostおよびportは、WC_Collaboration管理対象サーバーのホストIDとポート番号です。
「システム・プロパティ」ページを開き、「owc_discussions.sso.mode」プロパティを編集(このプロパティがすでに存在する場合)または追加して、その値を「true」に設定します。
SSOサーバーのベースURLを示すように「jiveURL」プロパティを編集または追加します。例:
jiveURL = example.com:8890/owc_discussions
この項の項目は次のとおりです。
ユーザーweblogicを持たないアイデンティティ・ストアにドメインを関連付ける場合は、アプリケーション・ロールBPMWorkflowAdminに別の有効なユーザーを割り当てる必要があります。このロールを有効なユーザーに割り当てる手順は次のとおりです。
LDAPストアに、このロールを割り当てるユーザー(この場合の名前はWCAdmin)を作成します。
ロールを割り当てます。この作業は、SOAのOracleホームからWLSTを使用して実行できます。
例:
cd ORACLE_HOME/common/bin/
wlst.sh
connect('weblogic','weblogic', 'SOAADMINHOST:7001')
revokeAppRole(appStripe="soa-infra", appRoleName="BPMWorkflowAdmin", principalClass="oracle.security.jps.service.policystore.ApplicationRole", principalName="SOAAdmin")
grantAppRole(appStripe="soa-infra", appRoleName="BPMWorkflowAdmin", principalClass="weblogic.security.principal.WLSUserImpl", principalName="WCAdmin")
Oracle Access Managerが有効になっている場合にワークリストが適切に動作するには、SOAコールバックURLが正しく構成されていることが不可欠です。コールバックURLの詳細は、第5.17項「フロントエンドHTTPホストおよびポートの設定」を参照してください。
コールバック・サーバーURLおよびサーバーURLの両方について、コールバック・サーバーURLをhttp://wcinternal.mycompany.comに設定する必要があります。このURLを変更するには、Fusion Middleware Controlを使用して次の操作を行います。
「Farm_wcedg_domain」→「SOA」→「soa-infra (wls_soa1)」→「SOA」→「インフラストラクチャ」→「SOA管理」→「共通プロパティ」を選択します。
http://wcinternal.mycompany.comと入力します。
SOAサーバーを再起動します。
拡張したドメインが正常に動作していることを確認した後、そのインストール内容をバックアップします。これは、以降の手順で問題が発生した場合に短時間でリストアできることを考慮した迅速なバックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了すれば、このバックアップは破棄してかまいません。その時点では、デプロイメント固有の定期的なバックアップ手順とリカバリ手順を実行できるようになっています。詳細は、Oracle Fusion Middlewareの管理者ガイドを参照してください。バックアップおよびリストアを必要とするOracle HTTP Serverのデータの詳細は、このガイドでOracle HTTP Serverのバックアップとリカバリの推奨事項に関する項を参照してください。コンポーネントのリカバリ方法に関する詳細は、このガイドでコンポーネントのリカバリに関する項およびコンポーネントが失われた後のリカバリに関する項を参照してください。ホストが失われた場合のリカバリに固有の推奨事項は、このガイドで別のホストへのOracle HTTP Serverのリカバリに関する項を参照してください。データベースのバックアップに関する詳細は、Oracle Databaseバックアップおよびリカバリ・ユーザー・ガイドも参照してください。
この時点でインストールをバックアップするには、次の手順を実行します:
Web層をバックアップする手順は次のとおりです。
opmnctlを使用してインスタンスを停止します。
ORACLE_BASE/admin/instance_name/bin/opmnctl stopall
次のコマンドをroot権限で実行して、Web層のミドルウェア・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web.tar $MW_HOME
次のコマンドをroot権限で実行して、Web層のインスタンス・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web_instance.tar $ORACLE_INSTANCE
opmnctlを使用してインスタンスを起動します。
ORACLE_BASE/admin/instance_name/bin/opmnctl startall
管理サーバーのドメイン・ディレクトリをバックアップします。バックアップを実行してドメイン構成を保存します。構成ファイルは、すべてORACLE_BASE/admin/<domain_name>ディレクトリの下にあります。
SOAHOST1> tar -cvpf edgdomainback.tar ORACLE_BASE/admin/domain_name
