| Oracle® Fusion Middleware Oracle Enterprise Content Management Suiteインストレーション・ガイド 11g リリース1 (11.1.1) B65039-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Enterprise Content Management Suiteインストレーション・ガイド 11g リリース1 (11.1.1) B65039-01 |
|
前 |
次 |
この章では、Oracle Enterprise Content Management Suiteアプリケーション用にOracle WebLogic Serverドメインを構成する方法について、次のトピックで説明します。
Oracle Fusion Middleware 11g Oracle Enterprise Content Management Suiteインストーラを正常に実行し、アプリケーション・スキーマを作成した後、次のOracle Enterprise Content Management Suite製品をアプリケーションとしてデプロイして構成できます。
Oracle Universal Content Management (Oracle UCM)
Oracle Inbound Refinery (Oracle IBR)
Oracle Imaging and Process Management(Oracle I/PM)
Oracle Information Rights Management (Oracle IRM)
Oracle Universal Records Management(Oracle URM)
これらのアプリケーションを構成するには、Oracle WebLogic Serverドメインを作成または拡張する必要があり、この作業には、デプロイするアプリケーションごとに1つの管理対象サーバーと1つの管理サーバーを準備することが含まれます。この各サーバーは、Oracle WebLogic Serverインスタンスです。
|
注意:
|
ドメインを作成して、これらのアプリケーションを1つ以上含めることができます(アプリケーションごとに管理対象サーバーが1つ必要です)。あるいは、ドメインを作成して少なくとも1つのアプリケーション用の管理対象サーバーを含め、その後管理対象サーバーに他のアプリケーションを1つ以上含めてドメインを拡張できます。
|
注意: Oracle Enterprise Content Management Suite 11gでは、Windowsオペレーティング・システムで、Oracle UCM、Oracle IBRまたはOracle URMをサービスとして実行することがサポートされていません。 |
Oracle I/PMで既存のドメイン内のビジネス・プロセス管理(BPM)およびOracle BPEL Process Managerを利用するには、Oracle BPM Suiteでドメインを拡張する必要があります。Oracle BPEL Process Managerを使用し、BPMを使用しない場合は、Oracle SOA Suiteでドメインを拡張できます。BPMまたはOracle BPEL Process Managerにワークフロー・サーバーとして接続する方法の詳細は、Oracle Fusion Middleware Oracle Imaging and Process Management管理者ガイドのワークフロー接続の確立に関する項を参照してください。
|
注意: Oracle I/PM製品をデプロイするときに、同時にユーザー・インタフェースを介してドキュメントをアップロードできますが、このとき使用できるディスク領域は最大で10GBです。このように上限が設けられているのは、悪意のあるサーバーからの攻撃を阻止するためです。 |
インストーラを正常に実行できなかった場合は、まず第3章「Oracle Enterprise Content Management Suiteのインストール」を参照してください。
1つ以上のOracle Enterprise Content Management Suiteアプリケーション用にドメインを作成するには、第4.2項「Oracle WebLogic Serverドメインの作成」の指示に従ってください。
1つ以上のOracle Enterprise Content Management Suiteアプリケーション用に既存のドメインを拡張するには、第4.3項「既存のドメインの拡張」の指示に従ってください。
|
注意: Oracle ECM 11.1.1.2.1または11.1.1.3.0アプリケーションがあるドメインを拡張して、Oracle ECM 11.1.1.4.0アプリケーションを含めることはできません。 |
構成作業中に、いずれかの構成画面について詳細情報を確認するには、指示に含まれるその画面の名前をクリックして付録B「Oracle Enterprise Content Management Suiteの構成画面」の該当する説明を参照するか、またはインストーラの画面の「ヘルプ」をクリックしてオンライン・ヘルプにアクセスしてください。
ドメインを作成または拡張した後、Oracle Enterprise Content Management Suiteアプリケーションを管理するようにOracle Enterprise Manager Fusion Middleware Controlを構成できます。Fusion Middleware Controlは、ドメインが作成されるときに管理サーバーにデプロイされます。Fusion Middleware Controlを使用すると、さらに多くの構成タスクを実行できます。
Oracle Fusion Middleware構成ウィザードを使用して、Oracle Enterprise Content Management Suite用にOracle WebLogic Serverドメインを作成できます。このスイート用にドメインを作成するときは、スイートのアプリケーションを1つ以上構成します。
構成ウィザードは、次のディレクトリにあります。ECM_ORACLE_HOMEは、ECM Oracleホーム・ディレクトリを表しており、ここにOracle Enterprise Content Management Suiteがインストールされます。
UNIXパス: ECM_ORACLE_HOME/common/bin
Windowsパス: ECM_ORACLE_HOME\common\bin
構成セッションのログ・ファイルを作成するには、-logオプションを指定してFusion Middleware構成ウィザードを起動します。
UNIXスクリプト: ECM_ORACLE_HOME/common/bin/config.sh -log=log_file_name
ログ・ファイルは、oraInventory_location/logs/installActions/logsディレクトリに作成されます。
Windowsスクリプト: ECM_ORACLE_HOME\common\bin\config.cmd -log=log_file_name
ログ・ファイルは、inventory_location\logs\installActions\logsディレクトリに作成されます。inventory_locationのデフォルト値は、次のとおりです。
%PROGRAMFILES%\Oracle\Inventory
表4-1に、ドメインを作成する手順の説明と、付録B「Oracle Enterprise Content Management Suiteの構成画面」の該当する画面説明へのリンクを示します。
| 手順 | 画面 | この画面が表示されるタイミング | 説明と必須作業 |
|---|---|---|---|
|
1 |
なし。 |
常時 |
Fusion Middleware構成ウィザードを起動します。
|
|
2 |
|
常時 |
「新しいWebLogicドメインの作成」を選択します。 「次へ」をクリックして続行します。 |
|
3 |
|
常時 |
「以下の製品をサポートするために、自動的に構成されたドメインを生成する」を選択し、これらの製品を1つ以上選択します。
Oracle Imaging and Process Managementを選択するときは、Oracle Universal Content Management - Content Serverも選択する必要があります。 「ドメイン・ソースの選択」画面でOracle ECMアプリケーションを選択すると、Oracle Enterprise ManagerおよびOracle JRFが自動的に選択されます。このように自動的に選択される項目の選択を解除すると、Oracle ECMアプリケーションの選択も解除されます。 Site Studio for External Applications Webサイトへのリモート・デプロイメントを実行する場合は、Oracle Universal Content Management - SSXA Serverを選択し、Webサイトの実行に必要なファイルを含む管理対象サーバーが備えられたOracle WebLogic Serverドメインを作成できます。 Oracle Web Services Manager (Oracle WSM)ポリシー・マネージャが含まれているドメインを作成するには、Oracle WSM ポリシー・マネージャを選択します。 「次へ」をクリックして続行します。 |
|
4 |
|
常時 |
作成するドメインの名前を「ドメイン名」フィールドに入力します。 ドメインのデフォルトの場所は次のとおりです(
異なる場所を「ドメインの場所」フィールドに指定することもできます。 注意: 後で管理サーバーを起動するときに必要となるため、この画面のドメイン名と場所を記録しておいてください。 Oracle Enterprise Content Management Suiteアプリケーションの場所を「アプリケーションの場所」フィールドに指定できます。デフォルトの場所は、 「次へ」をクリックして続行します。 |
|
5 |
|
常時 |
「ユーザー名」フィールドには、デフォルトの管理者ユーザー名 「ユーザー・パスワード」フィールドに、管理者ユーザーのパスワードを入力します。 注意: 後で、管理対象サーバーを起動し、Oracle WebLogic Server管理コンソールまたはFusion Middleware Controlを介してドメインにアクセスするときに必要になるため、この画面の管理者ユーザー名とパスワードを記録しておいてください。 「次へ」をクリックして続行します。 |
|
6 |
|
常時 |
「WebLogicドメインの起動モード」では、「開発モード」がデフォルト・モードです。本番システムでは、「本番モード」を選択してください。 「JDKの選択」では、「使用可能なJDK」およびデフォルトのJDKをそのまま使用することも、変更することもできます。開発モードのデフォルトJDKはSun SDK 1.6.0_21で、本番モードのデフォルトJDKはJRockit SDK 1.6.0_20です。ただし、64ビット・システムは例外で、デフォルトJDKは自分でインストールしたものとなります。異なるJDKを指定するには、「その他のJDK」を選択し、その場所を入力します。 「次へ」をクリックして続行します。 |
|
7 |
|
常時 |
スキーマのチェック・ボックスを選択し、次のフィールドを編集して、各コンポーネント・スキーマ(リポジトリ作成ユーティリティ(RCU)で作成された場合は、Oracle WSM MDSスキーマも含む)を構成します。
「次へ」をクリックして続行します。 |
|
8 |
|
常時 |
構成ウィザードは、JDBCコンポーネント・スキーマへの接続を自動的にテストします。 テストが失敗した場合は、「前へ」をクリックしてコンポーネント・スキーマ情報を修正してから、「次へ」をクリックして接続を再テストします。 テストが正常に完了した後、「次へ」をクリックして続行します。 |
|
9 |
|
常時 |
オプションで、管理サーバーおよび管理対象サーバーを構成するための次のオプションのいずれかまたはすべてを選択します。
デフォルト設定を変更する場合は、これらのオプションを1つ以上選択します。たとえば、管理サーバーにSSLを構成したり、管理サーバーのポート番号を変更するには、「管理サーバー」を選択し、管理対象サーバーの名前またはポートを変更したり、それをクラスタに追加し、管理対象サーバー用のマシンを構成するには、「管理対象サーバー、クラスタ、およびマシン」を選択します。 Oracle IRMの場合は、「管理サーバー」、「管理対象サーバー、クラスタ、およびマシン」、および「デプロイメントとサービス」を選択することをお薦めします。 注意: クラスタを使用するには、Oracle WebLogic Server Enterprise Editionのライセンスが必要です。 「次へ」をクリックして、選択したオプションに応じた構成画面に進みます。どのオプションも選択しなかった場合は、「構成のサマリー」設定画面に進みます。 |
|
10 |
|
「オプションの構成を選択」画面で「管理サーバー」を選択した場合 |
管理サーバーのデフォルトのリスニング・ポート番号は 管理サーバー用のSSLの構成を変更する場合は、「SSL有効」を選択します。「SSLリスニング・ポート」フィールドには、SSLポートがデフォルトで7002に設定されます。「SSL有効」を選択した場合は、SSLリスニング・ポート値を変更できます。 注意: SSLが有効になっている場合は、WLSTを使用して管理サーバーに接続する前に、次のパラメータを
-Dweblogic.security.SSL.ignoreHostnameVerification=true
-Dweblogic.security.TrustKeyStore=KeyStoreName
「次へ」をクリックして続行します。 |
|
11 |
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
各管理対象サーバーに対して、一意のリスニング・ポート番号が必要です。管理対象サーバーごとに、デフォルトのリスニング・ポート値を使用できます。セキュリティ強化のため、デフォルト以外のポート番号を指定することもできます。 表4-2に、Oracle Enterprise Content Management Suiteアプリケーションを実行する管理対象サーバーのデフォルトのポート値を示します。 管理対象サーバー用のSSL構成を変更する場合は、「SSL有効」を選択し、「SSLリスニング・ポート」の値を設定または変更します。 Oracle IRMの場合、SSLがデフォルトで有効になっており、ポート番号は 「次へ」をクリックして続行します。 |
|
12 |
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
オプションで、クラスタを1つ以上構成します。 注意:
「次へ」をクリックして続行します。 |
|
13 |
|
「クラスタの構成」画面でクラスタを構成した場合 |
各クラスタにドメイン内の管理対象サーバーを2つ以上割り当てます。 「次へ」をクリックして続行します。 |
|
14 |
|
「クラスタの構成」画面でクラスタを構成し、ドメイン内の管理対象サーバーの全部ではなく一部をクラスタに割り当てた場合 |
ドメイン内の管理対象サーバーのうち、クラスタに割り当てなかったサーバーごとにプロキシ・アプリケーションを作成します。 「次へ」をクリックして続行します。 |
|
15 |
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
オプションで、管理対象サーバーをホストするようにマシンを構成し、各マシンに管理対象サーバーを割り当てます。 「次へ」をクリックして続行します。 |
|
16 |
|
「マシンの構成」画面でマシンを追加した場合 |
各マシンに少なくとも1つのサーバーを割り当てます。 「次へ」をクリックして続行します。 |
|
17 |
|
「オプションの構成を選択」画面で「デプロイメントとサービス」を選択した場合 |
オプションで、各アプリケーションを管理サーバー、管理対象サーバー、または管理対象サーバーのクラスタに割り当てます。 Oracle IRMでは Oracle IRMをクラスタにデプロイする場合は、Oracle IRMアプリケーションをすべてのノードにデプロイしてください。 「次へ」をクリックして続行します。 |
|
18 |
|
「オプションの構成を選択」で「デプロイメントとサービス」を選択した場合 |
オプションで、サービスのターゲットをサーバーまたはクラスタに指定する方法を変更します。 「次へ」をクリックして続行します。 |
|
19 |
|
「オプションの構成を選択」画面で「RDBMSセキュリティ・ストア」を選択した場合 |
オプションで、RDBMSセキュリティ・ストアに変更を加えます。 「次へ」をクリックして続行します。 |
|
20 |
|
常時 |
構成を確認し、画面の指示に従って、修正または更新を実行します。 各画面で「前へ」をクリックして、構成を変更する画面に戻ることができます。 構成に問題がなければ、「作成」をクリックしてドメインを作成します。 |
|
21 |
|
常時 |
Windowsオペレーティング・システムでは、「管理サーバーの起動」を選択すると、構成が完了した直後に管理サーバーを起動できます。 ドメインが正常に作成されたら、「完了」をクリックします。 |
表4-2に、Oracle Enterprise Content Management Suiteアプリケーションを実行する管理対象サーバーのデフォルトのポート値を示します。
| 管理対象サーバー | デフォルトのリスニング・ポート | デフォルトのSSLポート | ポート範囲 |
|---|---|---|---|
|
Oracle I/PM |
|
|
|
|
Oracle IRM |
|
|
|
|
Oracle UCM |
|
|
|
|
Oracle IBR |
|
|
|
|
Oracle URM |
|
|
|
次の操作が正常に完了している必要があります。
管理サーバーでのOracle WebLogic Serverドメインの作成
「ドメイン・ソースの選択」画面で選択した各アプリケーション用の管理対象サーバーの作成
各アプリケーションのそれぞれの管理対象サーバーへのデプロイメント
アプリケーションは、管理対象サーバーが起動するまでアクティブになりません。管理対象サーバーを起動する前に、この章とアプリケーションの構成に関する章で、残りの構成情報を確認してください。詳細は、第10.2項「管理対象サーバーの起動」を参照してください。
1つ以上のOracle Enterprise Content Management Suiteアプリケーションを構成するように、既存のOracle WebLogic Serverドメインを拡張できます。次のディレクトリにFusion Middleware構成ウィザードがあります。
UNIXパス: ECM_ORACLE_HOME/common/bin
Windowsパス: ECM_ORACLE_HOME\common\bin
|
注意: Oracle ECM 11.1.1.2.1または11.1.1.3.0アプリケーションがあるドメインを拡張して、Oracle ECM 11.1.1.4.0アプリケーションを含めることはできません。 |
他のアプリケーションを同じドメインに含めるために、ドメインを拡張することもできます。たとえば、Oracle IRM管理対象サーバーを含めるために、Oracle WebCenterドメインを拡張できます。または、Oracle SOA Suiteを含めるために、Oracle I/PMドメインを拡張できます。
|
注意: AIXプラットフォームで、Oracle SOA Suiteを含めるためにドメインを拡張する場合は、事前にsoa-ibm-addon.jarファイルがSOA_ORACLE_HOME/soa/modulesディレクトリにあることを確認する必要があります。ファイルがその場所にあることを確認し、次のエントリをSOA_ORACLE_HOME/bin/ant-sca-compile.xmlファイルの65行目に追加します。
<include name="soa-ibm-addon.jar"/> |
表4-3に、ドメインを拡張する手順の説明と、付録B「Oracle Enterprise Content Management Suiteの構成画面」の該当する画面説明へのリンクを示します。
| 手順 | 画面 | この画面が表示されるタイミング | 説明と必須作業 |
|---|---|---|---|
|
1 |
なし。 |
常時 |
Fusion Middleware構成ウィザードを起動します。
|
|
2 |
|
常時 |
「既存のWebLogicドメインの拡張」を選択します。 「次へ」をクリックして続行します。 |
|
3 |
|
常時 |
アプリケーションまたはサービス、あるいはその両方を追加するためのディレクトリを選択します。 「次へ」をクリックして続行します。 |
|
4 |
|
常時 |
「以下の追加製品をサポートするために、自動的にドメインを拡張する:」を選択し、これらの製品を1つ以上選択します。
Oracle UCMがまだ構成されていない場合、Oracle Imaging and Process Managementを選択するときは、Oracle Universal Content Management - Content Serverも選択する必要があります。 「拡張ソースの選択」画面でOracle ECMアプリケーションを選択すると、Oracle Enterprise ManagerおよびOracle JRFが自動的に選択されます。このように自動的に選択される項目の選択を解除すると、Oracle ECMアプリケーションの選択も解除されます。 Site Studio for External Applications Webサイトへのリモート・デプロイメントの場合は、Oracle Universal Content Management - SSXA Serverを選択し、Webサイトの実行に必要なファイルを含む管理対象サーバーによってOracle WebLogic Serverドメインを拡張できます。 Oracle Web Services Manager (Oracle WSM)ポリシー・マネージャが含まれているドメインを拡張するには、Oracle WSMポリシー・マネージャを選択します。 「次へ」をクリックして続行します。 |
|
5 |
|
常時 |
次のフィールドを編集して、各コンポーネント・スキーマ(リポジトリ作成ユーティリティ(RCU)で作成された場合は、Oracle WSM MDSスキーマも含む)を構成します。
「次へ」をクリックして続行します。 |
|
6 |
|
常時 |
構成ウィザードは、JDBCコンポーネント・スキーマへの接続を自動的にテストします。 テストが失敗した場合は、「前へ」をクリックしてコンポーネント・スキーマ情報を修正してから、「次へ」をクリックして接続を再テストします。 テストが正常に完了した後、「次へ」をクリックして続行します。 |
|
7 |
|
常時 |
オプションで、管理対象サーバーを構成するための次のオプションのいずれかまたはすべてを選択します。
デフォルト設定を変更する場合は、これらのオプションを1つ以上選択します。たとえば、管理サーバーにSSLを構成したり、管理サーバーのポート番号を変更するには、「管理サーバー」を選択し、管理対象サーバーの名前またはポートを変更したり、それをクラスタに追加し、管理対象サーバー用のマシンを構成するには、「管理対象サーバー、クラスタ、およびマシン」を選択します。 注意: クラスタを使用するには、Oracle WebLogic Server Enterprise Editionのライセンスが必要です。 Oracle IRMの場合は、「管理サーバー」、「管理対象サーバー、クラスタ、およびマシン」、および「デプロイメントとサービス」を選択することをお薦めします。 Oracle I/PMとともにOracle UCMがすでに含まれているドメインを拡張し、Oracle UCM 11gをOracle I/PMリポジトリとして使用する場合は、「管理対象サーバー、クラスタ、およびマシン」を選択してください。これで、Oracle I/PM管理対象サーバーを実行するマシンを個別に構成できます。 「次へ」をクリックして、選択したオプションに応じた構成画面に進みます。どのオプションも選択しなかった場合は、「構成のサマリー」設定画面に進みます。 |
|
8 |
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
各管理対象サーバーに対して、一意のリスニング・ポート番号が必要です。管理対象サーバーごとに、デフォルトのリスニング・ポート値を使用することも、セキュリティ強化のためデフォルト以外のポート番号を指定することもできます。 表4-2に、Oracle Enterprise Content Management Suiteアプリケーションを実行する管理対象サーバーのデフォルトのポート値を示します。 管理対象サーバー用のSSL構成を変更するには、「SSL有効」を選択し、「SSLリスニング・ポート」の値を設定または変更します。 Oracle IRMの場合、SSLがデフォルトで有効になっており、ポート番号は 「次へ」をクリックして続行します。 |
|
9 |
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
オプションで、クラスタ構成を変更します。 注意:
「次へ」をクリックして続行します。 |
|
10 |
|
「クラスタの構成」画面でクラスタを構成した場合 |
各クラスタにドメイン内の管理対象サーバーを2つ以上割り当てます。 「次へ」をクリックして続行します。 |
|
11 |
|
「クラスタの構成」画面でクラスタを構成し、ドメイン内の管理対象サーバーの全部ではなく一部をクラスタに割り当てた場合 |
ドメイン内の管理対象サーバーのうち、クラスタに割り当てなかったサーバーごとにプロキシ・アプリケーションを作成します。 「次へ」をクリックして続行します。 |
|
12 |
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
オプションで、管理対象サーバーをホストするようにマシンを構成し、各マシンに管理対象サーバーを割り当てます。 Oracle I/PMとともにOracle UCMがすでに含まれているドメインを拡張し、Oracle UCM 11gをOracle I/PMリポジトリとして使用する場合は、個別にマシンを構成し、そのマシンにOracle I/PM管理対象サーバーを割り当てます。 「次へ」をクリックして続行します。 |
|
13 |
|
「マシンの構成」画面でマシンを追加した場合 |
各マシンに少なくとも1つのサーバーを割り当てます。 「次へ」をクリックして続行します。 |
|
14 |
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
オプションで、各アプリケーションを管理サーバー、管理対象サーバー、または管理対象サーバーのクラスタに割り当てます。 Oracle IRMでは Oracle IRMアプリケーションがクラスタ内のどのサーバーにもデプロイされていないことを確認します。 「次へ」をクリックして続行します。 |
|
15 |
|
「オプションの構成を選択」で「デプロイメントとサービス」を選択した場合 |
オプションで、サービスのターゲットをサーバーまたはクラスタに指定する方法を変更します。 「次へ」をクリックして続行します。 |
|
16 |
|
常時 |
構成に問題がなければ、「拡張」をクリックしてドメインを拡張します。 |
|
17 |
|
常時 |
Windowsオペレーティング・システムでは、「管理サーバーの起動」を選択すると、構成が完了した直後に管理サーバーを起動できます。 ドメインが正常に拡張されたら、「完了」をクリックします。 |
次の操作が正常に完了している必要があります。
ドメイン・ソースの拡張画面で選択したアプリケーションを1つ以上含めるための既存のOracle WebLogic Serverドメインの拡張
選択した各アプリケーション用の管理対象サーバーの作成
各アプリケーションのそれぞれの管理対象サーバーへのデプロイメント
アプリケーションは、管理対象サーバーが起動するまでアクティブになりません。管理対象サーバーを起動する前に、この章とアプリケーションの構成に関する章で、残りの構成情報を確認してください。詳細は、第10.2項「管理対象サーバーの起動」を参照してください。
Oracle WebLogic ServerドメインがSSLポート経由でデータベースに接続する場合は、Oracle Fusion Middleware構成ウィザードを実行してドメインを拡張する前に、データ・ソースおよびSSLパラメータをバックアップし、データ・ソースからSSL構成を削除する必要があります。ドメインを正常に拡張した後、SSL構成をデータ・ソースにリストアできます。
Fusion Middleware構成ウィザードを使用してSSL環境のドメインを拡張するには、次の手順を実行します。
Oracle WebLogic Server管理コンソールで、データ・ソースを選択し、すべてのSSLパラメータのバックアップを保存します。
URL、javax.net.ssl.trustStorePassword、javax.net.ssl.trustStore、javax.net.ssl.trustStoreType、およびデータ・ソース用に構成したそれ以外のSSLパラメータをバックアップします。
データ・ソースのSSL構成を一時的に非SSL構成に置き換えます。
非SSL URLを使用し、すべてのSSLプロパティを削除します。最終的な設定は次のようになります。
URL:
: jdbc:oracle:thin:@myhost.example.com:1521:db11107
プロパティ:
user=MAR20SSL_OCS
oracle.net.CONNECT_TIMEOUT=10000
sendStreamAsBlob=true
Fusion Middleware構成ウィザードを使用して、表4-3の説明に従ってドメインを拡張します。
ドメインを正常に拡張した後、SSL構成をデータ・ソースにリストアします。最終的な設定は次のようになります。
URL:
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=myhost.example.com)(PORT=2490)))(CONNECT_DATA=(SERVICE_NAME=db11107.example.com))(SECURITY=(SSL_SERVER_CERT_DN="CN=myhost.example.com,OU=QA,O=ECM,L=RedwoodShores,ST=California,C=US")))
プロパティ:
javax.net.ssl.trustStorePassword=DemoTrustKeyStorePassPhrase
user=MAR20SSL_OCS
javax.net.ssl.trustStore=/mw_home/wlserver_10.3/server/lib/DemoTrust.jks
oracle.net.CONNECT_TIMEOUT=10000
javax.net.ssl.trustStoreType=JKS
javax.net.ssl.trustStoreType=JKS
sendStreamAsBlob=true
手順3の実行中、独自のデータ・ソースを作成する新製品でドメインを更新した場合は、そのデータ・ソースにもSSL構成を追加することが必要になる場合があります。
各管理対象サーバーが動作するJava Virtual Machine (VM)用に割り当てられたヒープのサイズを増やし、JRockit JDKの場合は少なくとも1GB (1024 MB)、Sun JDKの場合は512MBにする必要があります。Java VMヒープ・サイズを増やさないと、実行時の問題、特に、メモリー不足の問題が深刻化しても、Oracleサポートおよび開発では対応できなくなります。
Sun JDKを使用する管理対象サーバーの場合、Java VM用に割り当てられたヒープのサイズを1GBではなく512MBに設定する必要があります。この値に設定すると、使用可能な領域をすべて使用するようにプログラムを構成しても、初期化時にプログラムが失敗しません。アドレス空間を永続的に生成するには、そのアドレス空間を予約する必要があります。また、各管理対象サーバーにMaxPermSizeを設定すると、ヒープの残りに確保される領域が少なくなります。
管理対象サーバーのランタイム・メモリー・パラメータを調整するために一般的に使用される方法が2つあります。
管理コンソールによる管理対象サーバーのサーバー起動パラメータの設定
この方法は、ノード・マネージャから管理対象サーバー・プロセスを実行する場合に必要です。ノード・マネージャから管理対象サーバーを実行する方法の詳細は、第10.4項「ノード・マネージャの起動」を参照してください。
この方法は、コマンド・ラインから直接管理対象サーバー・プロセスが実行される場合に必要です。コマンド・ラインから管理対象サーバーを実行する方法の詳細は、第10.2項「管理対象サーバーの起動」を参照してください。
Oracle WebLogic Server管理コンソールを使用して、サーバー起動パラメータを設定できます。起動パラメータを設定する場合は、このアプローチが適しています。これは、パラメータが各サーバーに正しくプッシュされ、サーバー起動スクリプトを手動で編集した場合に発生する可能性がある問題を回避できるためです。Java VMヒープ・サイズを増やすには、-Xmxパラメータの値を設定します。
管理コンソールを使用して管理対象サーバーのサーバー起動パラメータを設定するには、次の手順を実行します。
次のURLでOracle WebLogic Server管理コンソールにログインします。
http://adminServerHost:adminServerPort/console
adminServerHostに、ドメインの管理サーバーをホストするコンピュータの名前を指定します。adminServerPortに、管理サーバーをリスニングするポート番号を指定します。デフォルトのポート番号は7001です。次に例を示します。
http://myhost.example.com:7001/console
ログインするには、構成ウィザードの「管理者ユーザー名およびパスワードの構成」画面で指定したユーザー名とパスワードを指定します。
左側のドメイン構造で「環境」をクリックします。
環境のサマリー・ページで「サーバー」をクリックします。
各管理対象サーバーのメモリー・パラメータを設定します。
「サーバー」表で管理対象サーバーの名前をクリックします。
「構成」タブで、2行目に並ぶタブのうち「サーバーの起動」をクリックします。
「引数」ボックスに、メモリー・パラメータを指定する文字列を貼り付けます。
表4-4に、UNIXオペレーティング・システムおよびWindowsオペレーティング・システムでSunおよびJRockit Java VM用に指定するパラメータを示します。その他のJava VMでは、値が異なる場合があります。
構成の変更を保存します。
第10.3項「管理対象サーバーの再起動」の説明に従って、実行中の管理対象サーバーを再起動します。
管理対象サーバーのサーバー起動パラメータを設定するには、起動スクリプトまたはコマンド・ファイルにUSER_MEM_ARGS環境変数を設定します。Java VMヒープ・サイズを増やすには、-Xmxパラメータの値を設定します。
管理対象サーバーのUSER_MEM_ARGS環境変数を設定するには、次の手順を実行します。
UNIXシェル・スクリプト(.sh)エントリ
export USER_MEM_ARGS="-Xms256m -Xmx1024m -XX:CompileThreshold=8000 -XX:PermSize=128m -XX:MaxPermSize=512m"
UNIX Cシェル・スクリプト(.csh)エントリ
setenv USER_MEM_ARGS "-Xms256m -Xmx1024m -XX:CompileThreshold=8000 -XX:PermSize=128m -XX:MaxPermSize=512m"
Windowsコマンド・ファイル(.cmd)エントリ
set USER_MEM_ARGS="-Xms256m -Xmx1024m -XX:CompileThreshold=8000 -XX:PermSize=128m -XX:MaxPermSize=512m"
|
注意: 表4-4に、UNIXオペレーティング・システムおよびWindowsオペレーティング・システムでSunおよびJRockit Java VM用に指定するパラメータを示します。その他のJava VMでは、値が異なる場合があります。 |
UNIXオペレーティング・システムでは、Oracle I/PM、Oracle IBRおよびOracle UCM Dynamic Converter用にTrueTypeフォントが設定されていることを確認する必要があります。英語以外の言語を使用している場合は、各国語サポート用のフォントも設定する必要があります。
UNIXオペレーティング・システムで、Oracle I/PM、Oracle IBRおよびOracle UCM Dynamic Converterを正しく機能させるには、Oracle I/PM、Oracle IBRまたはDynamic Converterが実行されているマシンでTrueTypeフォントを設定する必要があります。それらのフォントがシステムにない場合は、インストールする必要があります。その後、次のようにフォント・ディレクトリへのパスでOracle IBRを構成できます。フォントのインストール後にOracle I/PMのフォント・ディレクトリへのパスを構成する方法の詳細は、第7.1.4項「UNIXシステム用のGDFontPath MBeanの構成」を参照してください。
各種UNIXプラットフォームの標準フォントの場所は、次のとおりです。
Solaris SPARC: /usr/openwin/lib/X11/fonts/TrueType
|
注意: Solaris SPARCプラットフォームでドキュメント変換を実施する場合、Oracle I/PMには/usr/local/packagesディレクトリにGNU Compiler Collection (GCC)パッケージ3.4.2以降が必要です。
Oracle I/PMを実行するSolarisオペレーティング・システムにこのパッケージをインストールします。Sunfreeware WebサイトからGCCをダウンロードできます。
Oracle I/PM管理対象サーバーを起動する前に、LD_LIBRARY_PATH環境変数を |
AIX: /usr/lpp/X11/lib/X11/fonts/TrueType
HP-UX Itanium: /usr/lib/X11/fonts/TrueType
Oracle IBRでフォント・ディレクトリへのパスを設定するには、次の手順を実行します。
Oracle IBRにログインします。
「変換設定」、「サードパーティ・アプリケーションの設定」、「標準のOutsideInフィルタ・オプション」の順に選択します。
「オプション」をクリックします。
フォントへのパス・フィールドにTrueTypeフォントへのパスを入力します。
次に例を示します。
/usr/share/x11/fonts/FTP
「更新」をクリックします。
英語以外の言語の場合、管理対象サーバーを起動する前に、UNIXオペレーティング・システムで次のインストール手順を実行する必要があります。
ミドルウェア・ホームのSun JDKインストール・ディレクトリでMW_HOME/oracle_common/jdk/jre/lib/fontsを/jre/lib/fontsディレクトリにコピーします。
ミドルウェア・ホームのOracle JRockit JDKディレクトリでMW_HOME/oracle_common/jdk/jre/lib/fontsを/jre/lib/fontsディレクトリにコピーします。
Oracle UCM、Oracle IBR、Oracle I/PMおよびクライアント用Oracle I/PM詳細ビューアでは、Outside In Technology (OIT)を使用するため、Oracle ECMに含まれていない特定のライブラリが必要になります。Oracle UCM、Oracle IBRまたはOracle I/PM管理対象サーバーを起動する前に、プラットフォームにそのライブラリをインストールする必要があります。UNIXプラットフォームの場合、管理対象サーバーを起動するユーザー用にライブラリ・パスでライブラリを参照する環境変数を設定する必要もあります。
Oracle UCM、Oracle IBRまたはOracle I/PM管理対象サーバーを起動する前に、プラットフォームに必要なライブラリをシステムで使用可能にする必要があります。
通常、C、math、X11、ダイナミック・ローダー、pthreadsなど必要なライブラリの多くは、同じマシンにインストールされます。libgcc_sライブラリとlibstdc++ライブラリは、GNU Compiler Collection (GCC)パッケージに含まれています。
OITには、指定したUNIXプラットフォームの次のライブラリが必要です。太字のライブラリは、GCCパッケージ3.4.2以降に含まれています。
Solaris Sparc 32ビットには、GCCパッケージ3.4.2以降が必要です。パッケージは、Sunfreeware Webサイトからダウンロードできます。
http://www.sunfreeware.com
HPUX Itaniumには、GCCパッケージ3.3.6が必要です。パッケージは、次のWebサイトからダウンロードできます。
http://hpacxx.external.hp.com/gcc
プラットフォームにlibgcc_sライブラリまたはlibstdc++ライブラリが必要である場合は、Oracle I/PMまたはOracle UCMが動作するマシンでSolaris Sparcシステムの/usr/local/packages/gcc-3.4.2/libディレクトリ、またはHPUX ia64システムの/usr/local/packages/gcc-3.3.6/libディレクトリにGCCパッケージをインストールします。使用しているGCCのバージョンが3.4.2や3.3.6ではなくそれよりも後のバージョンである場合は、3.4.2や3.3.6ではなく、そのバージョンを指定します。
OITには、指定したUNIXプラットフォームの次のライブラリが必要です。太字のライブラリは、GCCパッケージに含まれています。
Solaris Sparc 32ビット
/usr/platform/SUNW,Ultra-60/lib/libc_psr.so.1 libICE.so.6 libSM.so.6 libX11.so.4 libXext.so.0 libXm.so.4 libXt.so.4 libc.so.1 libdl.so.1 libgcc_s.so.1 libgen.so.1 libm.so.1 libmp.so.2 libnsl.so.1 libpthread.so.1 libsocket.so.1 libstdc++.so.6 libthread.so.1
HPUX ia64
libCsup.so.1 libICE.so.1 libSM.so.1 libX11.so.1 libXext.so.1 libXm.so.1 libXp.so.1 libXt.so.1 libc.so.1 libdl.so.1 libgcc_s_hpux64.so.0 libm.so.1 libpthread.so.1 libstd_v2.so.1 libstdc++.so.5 libuca.so.1 libunwind.so.1
AIX 32ビット
/usr/lib/libC.a(ansi_32.o) /usr/lib/libC.a(shr.o) /usr/lib/libC.a(shr2.o) /usr/lib/libC.a(shr3.o) /usr/lib/libICE.a(shr.o) /usr/lib/libIM.a(shr.o) /usr/lib/libSM.a(shr.o) /usr/lib/libX11.a(shr4.o) /usr/lib/libXext.a(shr.o) /usr/lib/libXi.a(shr.o) /usr/lib/libXm.a(shr_32.o) /usr/lib/libXt.a(shr4.o) /usr/lib/libc.a(shr.o) /usr/lib/libcrypt.a(shr.o) /usr/lib/libgaimisc.a(shr.o) /usr/lib/libgair4.a(shr.o) /usr/lib/libi18n.a(shr.o) /usr/lib/libiconv.a(shr4.o) /usr/lib/libodm.a(shr.o) /usr/lib/libpthreads.a(shr.o) /usr/lib/libpthreads.a(shr_comm.o) /usr/lib/libpthreads.a(shr_xpg5.o) /usr/lib/libpthreads_compat.a(shr.o)
HPUX PA/RISC 32ビット
/lib/libCsup.2 /lib/libCsup_v2.2 /lib/libX11.3 /lib/libXm.4 /lib/libXt.3 /lib/libc.2 /lib/libcl.2 /lib/libm.2 /lib/libstd.2 /lib/libstd_v2.2 /lib/libstream.2 /usr/lib/libCsup.2 /usr/lib/libCsup_v2.2 /usr/lib/libX11.3 /usr/lib/libXm.4 /usr/lib/libXt.3 /usr/lib/libc.2 /usr/lib/libcl.2 /usr/lib/libdld.2 /usr/lib/libisamstub.1 /usr/lib/libm.2 /usr/lib/libstd.2 /usr/lib/libstd_v2.2 /usr/lib/libstream.2 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libICE.2 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libSM.2 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libX11.3 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libXext.3 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libXp.2 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libXt.3
SUSE Linux
SUSE Linuxオペレーティング・システムの場合、/usr/lib/libstdc++.so.5ファイルが必要です。このファイルは、compat-libstdc++パッケージまたはlibstdc++33パッケージにあります。
Oracle Inbound RefineryまたはOracle UCM Dynamic ConverterでOutside In Technologyを使用してドキュメント変換およびイメージ変換を実施する場合は、指定したUNIXプラットフォームでOracle UCM管理対象サーバーに対して次の環境変数を設定しておく必要があります。
Oracle I/PMのライブラリ・パス用の環境変数
Solaris Sparc:
LD_LIBRARY_PATH=/usr/local/packages/gcc-3.4.2/lib
使用しているGCCのバージョンが3.4.2よりも後のバージョンである場合は、そのバージョンに設定します。
AIX:
LIBPATH=DomainHome/oracle/imaging/imaging-server
HP-UX Itanium:
LD_PRELOAD=/usr/lib/hpux64/libpthread.so.1
LD_LIBRARY_PATH=DomainHome/oracle/imaging/imaging-server
Dynamic ConverterおよびOracle IBRを搭載したOracle UCMのライブラリ・パス用の環境変数
Solaris Sparc:
LD_LIBRARY_PATH=/usr/local/packages/gcc-3.4.2/lib
使用しているGCCのバージョンが3.4.2よりも後のバージョンである場合は、そのバージョンに設定します。
DomainHome/ucm/ibr/binにあるOracle IBR intradoc.cfgファイルに次の行を追加します。
ContentAccessExtraLibDir=/usr/local/packages/gcc-3.4.2/lib
その後、第10.3項「管理対象サーバーの再起動」の説明に従って、Oracle IBRを再起動します。
HP-UX Itanium:
export LD_LIBRARY_PATH=/opt/hp-gcc/3.3.6/lib/:/opt/hp-gcc/3.3.6/lib/hpux64:$LD_LIBRARY_PATH
HP-UX ItaniumでDynamic Converterを使用するには、GCCライブラリの3.3.6バージョンをインストールしてから、Oracle UCMサーバーを起動する必要があります。
DISPLAY環境変数
XWindowsが実行されているUNIXオペレーティング・システムで、適切なグラフィック機能を備えたシステムに表示をリダイレクトするには、Oracle I/PM、Oracle IBR管理対象サーバーまたはOracle UCM Dynamic Converterを起動する前に、DISPLAYを有効なXサーバーにエクスポートする必要があります。
OutsideIn Technologyでは、Windowsオペレーティング・システム用Visual C++再配布可能パッケージに含まれているVisual C++ライブラリが必要です。このパッケージの3つのバージョン(x86、x64およびIA64)は、次のMicrosoftダウンロード・センターから入手できます。
http://www.microsoft.com/downloads
使用しているWindowsオペレーティング・システムのバージョンに対応するパッケージのバージョンを検索し、ダウンロードしてください。
vcredist_x86.exe
vcredist_x64.exe
vcredist_IA64.exe
この各ダウンロードで必要なバージョンは、Microsoft Visual C++ 2005 SP1再配布可能パッケージです。Outside Inが必要とする再配布可能モジュールは、msvcr80.dllです。
WinNativeConverterにはvb.Netコードが含まれているため、Microsoft .NET Framework 3.5 Service Pack 1も必要です。
本番環境または開発環境で動作するOracle ECMアプリケーション用にSSLを構成できます。
|
注意: SSLが有効になっている場合は、WLSTを使用して管理サーバーに接続する前に、次のパラメータをwlst.shファイルのJVM_ARGSセクションに付加するか、またはCONFIG_JVM_ARGS環境変数に設定する必要があります。
-Dweblogic.security.SSL.ignoreHostnameVerification=true
-Dweblogic.security.TrustKeyStore=KeyStoreName
|
Oracle IRMでは、フロントエンド・アプリケーションでSSLを有効にする必要があります。そのアプリケーションが、Oracle HTTP Server (OHS)であるか、Oracle WebLogic ServerにデプロイされたアプリケーションとしてOracle IRMを実行する管理対象サーバーであるかに関係なく必要です。Oracle IRM DesktopとOracle IRMサーバー・アプリケーション間の通信は、パスワードなど機密性が高い情報がやり取りされるため、SSL経由である必要があります。
これ以外の通信、たとえば、OHSと管理対象サーバー、管理サーバー、LDAP認証プロバイダとの間などにSSLを使用するかどうかはオプションです。
本番環境用にSSLを構成する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのSSLの構成に関する項を参照してください。
開発環境の場合、サーバー固有の証明書を使用して、一方向SSLを構成することもできます。一方向SSLとは、サーバー証明書がサーバーからクライアントに渡されるのみで、逆はないという意味です。サーバーで開発環境用に一方向SSLを構成した後、サーバー証明書を受け入れるように各クライアントを構成する必要があります。
開発環境でも、SSLを構成できますが、必須ではありません。SSLを構成しなくてもアプリケーションは正しく機能しますが、Basic認証またはフォームベース認証を使用した場合、資格証明が暗号化されずにクライアントからサーバーに転送されます。
サーバー証明書を使用して管理対象サーバー用に一方向SSLを構成し、クライアント・アプリケーションでその証明書を信頼するように構成できます。
次の手順においては、keystoreコマンドはSSLにのみ関連し、Oracle IRM暗号化鍵には関連しません。
開発環境用に一方向SSLを構成するには、次の手順を実行します。
setWLSEnvスクリプトを実行して、環境を設定します。
UNIXスクリプト: MW_HOME/wlserver_10.3/server/bin/setWLSEnv.sh
Windowsスクリプト: MW_HOME\wlserver_10.3\server\bin\setWLSEnv.cmd
JavaおよびOracle WebLogic Serverツールを機能させるには、MW_HOME/wlserver_10.3/server/libディレクトリまたはMW_HOME\wlserver_10.3\server\libディレクトリにweblogic.jarファイルが存在する必要があります。
CertGenユーティリティを使用して、サーバー固有の秘密鍵と証明書を作成します。次のように(単一のコマンド・ラインに)指定してください。
java utils.CertGen -selfsigned
-certfile MyOwnSelfCA.cer
-keyfile MyOwnSelfKey.key
-keyfilepass mykeypass
-cn "hostname"
-keyusagecritical false
-keyusage digitalSignature,keyEncipherment,keyCertSign
最後の2行は、純粋に証明書として使用するためには必要ありませんが、SSL経由でOracle Web Servicesを使用するJavaアプリケーションにも証明書を使用する場合には必要となります。
mykeypassには鍵のパスワードを代入し、hostnameにはOracle IRMがデプロイされているマシンの名前を代入します。Oracle Web Servicesにアクセスしている間は、同じマシン名を使用してください。たとえば、myhost.us.example.comという名前でマシンのサーバー証明書を生成するには、コマンドを次のように(単一のコマンド・ラインに)指定します。
java utils.CertGen -selfsigned
-certfile MyOwnSelfCA.cer
-keyfile MyOwnSelfKey.key
-keyfilepass mykeypass
-cn "myhost.us.example.com"
-keyusagecritical false
-keyusage digitalSignature,keyEncipherment,keyCertSign
このコマンドにより、マシンのサーバー証明書がmyhost.us.example.comという名前で生成されます。
パラメータ-cn "machine-name"をOracle IRMサーバーの完全修飾ドメイン名に設定する必要があります。Oracle IRMは、マシンに接続するときにこの名前を使用します。指定したマシン名に証明書が発行されたことを確認します。
CertGenは、Oracle IRMの一意の秘密鍵と自己署名付きのルート証明書を作成します。
ImportPrivateKeyユーティリティを実行して、秘密鍵および自己署名付きのルート証明書をキーストアにパッケージ化します。次のように(単一のコマンド・ラインに)指定してください。
java utils.ImportPrivateKey
-keystore MyOwnIdentityStore.jks
-storepass identitypass
-keypass keypassword
-alias trustself
-certfile MyOwnSelfCA.cer.pem
-keyfile MyOwnSelfKey.key.pem
-keyfilepass mykeypass
identitypassにアイデンティティ・ストアのパスワード、keypasswordに鍵のパスワード、mykeypassにキー・ファイルのパスワードをそれぞれ代入します。
keytoolユーティリティを実行して、鍵および証明書をTrust Keystoreという名前の別のキーストアにパッケージ化します。
次の各keytoolコマンド(それぞれ単一のコマンド・ライン)において、JAVA_HOMEはJDKの場所を表します。JAVA_HOME環境変数の詳細は、第3.1.2項「ミドルウェア・ホームへのOracle WebLogic Serverのインストール」を参照してください。
UNIXオペレーティング・システム
JAVA_HOME/bin/keytool -import -trustcacerts -alias trustself
-keystore TrustMyOwnSelf.jks
-file MyOwnSelfCA.cer.der -keyalg RSA
Windowsオペレーティング・システム
JAVA_HOME\bin\keytool -import -trustcacerts -alias trustself
-keystore TrustMyOwnSelf.jks
-file MyOwnSelfCA.cer.der -keyalg RSA
「次」をクリックします。
Windowsオペレーティング・システムで、ウィザード画面の指示に従います。
カスタム・アイデンティティ・キーストアおよび信頼ストアを設定します。
次のURLでOracle WebLogic Server管理コンソールにログインします。
http://adminServerHost:adminServerPort/console
adminServerHostに、ドメインの管理サーバーをホストするコンピュータの名前を指定します。adminServerPortに、管理サーバーをリスニングするポート番号を指定します。デフォルトのポート番号は7001です。次に例を示します。
http://myHost.example.com:7001/console
ログインするには、構成ウィザードの「管理者ユーザー名およびパスワードの構成」画面で指定したユーザー名とパスワードを指定します。
「ドメイン構造」からドメインの「環境」を選択します。
「環境」から「サーバー」を選択します。
「サーバーのサマリー」から、SSLを有効にするサーバーを選択します。
servernameの設定ページで「キーストア」タブをクリックします。
「キーストア」フィールドで、「カスタム・アイデンティティとカスタム信頼」を選択します。
サーバーが本番モードの場合、変更を加えるには、「ロックして編集」ボタンをクリックする必要があります。
「キーストア」タブの次のフィールドに値を入力します。
カスタム・アイデンティティ・キーストア
カスタムIDキーストアのタイプ
カスタムIDキーストアのパスフレーズ
カスタム・アイデンティティ・キーストアのパスフレーズを確認
カスタム信頼キーストア
カスタム信頼キーストアのタイプ
カスタム信頼キーストアのパスフレーズ
カスタム信頼キーストアのパスフレーズを確認
変更を保存します。
「SSL」タブをクリックします。
「アイデンティティと信頼の場所」フィールドで、「キーストア」を選択します。
「SSL」タブの他のフィールドに値を入力します。
秘密鍵の別名
秘密鍵のパスフレーズ
秘密鍵のパスフレーズを確認
変更を保存します。
サーバーが開発モードで動作している場合は、変更をアクティブ化する必要があります。
一方向SSLを構成するようにサーバー証明書を作成した後、クライアント・アプリケーションを実行している各マシンにその証明書をインストールする必要があります。証明書をクライアント・アプリケーションにインポートすると、クライアント・アプリケーションによって証明書が信頼されるようになり、管理対象サーバーに接続するときにプロンプトが表示されなくなります。
サーバー証明書を受け入れるようにクライアントを構成するには、次の手順を実行します。
クライアント・マシンで、証明書ファイルをダブルクリックして「証明書」ウィンドウを開きます。次に、「証明書のインストール」をクリックして、証明書インポート・ウィザードを起動します。
Windowsオペレーティング・システムの場合、ブラウザでこのサーバーにアクセスするクライアント・マシンに証明書ファイルをコピーする必要があります。
マシンでクライアント・アプリケーションを使用するのではなく、SSL経由でWebサイトにアクセスしているUNIXオペレーティング・システムの場合、実際に使用しているUNIXオペレーティング・システムで証明書が信頼されるために必要な手順に従ってください。
証明書インポート・ウィザードで、信頼できるルート認証局の証明書ストアを明示的に選択します。サーバーにアクセスするすべてのクライアント・コンピュータでルート証明書を信頼する必要があります。
Windowsオペレーティング・システムでは、Internet ExplorerのTrusted Root Certification Authoritiesに証明書をインストールします。
本番システムでは、Oracle Enterprise Content Management Suiteアプリケーションは、デフォルト構成の一部であるOracle WebLogic Server組込みのLDAPサーバーではなく、外部Lightweight Directory Application Protocol (LDAP)認証プロバイダを使用する必要があります。管理対象サーバーの構成を完了する場合、管理対象サーバーをリポジトリに接続する場合、および最初のユーザーがアプリケーションにログインする場合は、事前にアプリケーションのアイデンティティ・ストアを次の外部LDAP認証プロバイダのいずれかに再関連付けする必要があります。
Oracle I/PMアプリケーションの場合、Oracle I/PM管理対象サーバーに最初にログインしたユーザーがサーバー全体のセキュリティとともにプロビジョニングされます。最初にユーザーがログインする前にOracle I/PMのアイデンティティ・ストアを外部LDAP認証プロバイダと再関連付けし、Oracle I/PM管理対象サーバーの構成を完了して、それをOracle Universal Content Management (Oracle UCM)リポジトリに接続する方が簡単です。
Oracle IRMアプリケーションの場合、初めてユーザーがOracle IRM Managementコンソールにログインすると、Oracle WebLogic Serverドメインとは異なるOracle IRMドメインが作成されます。最初にコンソールにログインするユーザーが、Oracle IRMインスタンスのドメイン管理者になります。Oracle IRMのユーザー・データを移行する前に、ユーザーがターゲットのLDAPアイデンティティ・ストアに存在する必要があります。アイデンティティ・ストアを外部LDAP認証プロバイダに再関連付けしない場合は、最初にユーザーがOracle IRMコンソールにログインする前に、次のようにOracle IRMユーザーを再関連付けし、データを移行するための一般的なプロセスを実行します。
setIRMExportFolderスクリプトを使用して、既存のデータをバックアップします。
アイデンティティ・ストアを外部LDAPディレクトリに再関連付けします。
すべてのユーザーおよびグループがターゲットのLDAPアイデンティティ・ストアに存在することを確認します。
setIRMImportFolderスクリプトを使用して、データを移行します。
Oracle WebLogic Serverドメインのアイデンティティ・ストアをOracle Internet Directoryに再関連付けし、組込みのLDAPディレクトリからOracle Internet Directoryにユーザーを移行できます。次の手順では、アイデンティティ・ストアをOracle Internet Directoryに再関連付けする方法について説明します。
同じような手順を使用して、アイデンティティ・ストアを他のLDAP認証プロバイダに再関連付けすることもできます。各プロバイダには固有の認証タイプがあり、そのタイプのみを構成してください。表4-5に、使用可能な認証タイプを示します。
| LDAP認証プロバイダ | 認証タイプ |
|---|---|
|
Microsoft AD |
ActiveDirectoryAuthenticator |
|
SunOne LDAP |
IPlanetAuthenticator |
|
Directory Server Enterprise Edition (DSEE) |
IPlanetAuthenticator |
|
Oracle Internet Directory |
OracleInternetDirectoryAuthenticator |
|
Oracle Virtual Directory |
OracleVirtualDirectoryAuthenticator |
|
EDIRECTORY |
NovellAuthenticator |
|
OpenLDAP |
OpenLDAPAuthenticator |
|
EmbeddedLDAP |
DefaultAuthenticator |
アイデンティティ・ストアをOracle Internet Directoryに再関連付けするには、次の手順を実行します。
Oracle WebLogic Serverドメインの管理者と同じ名前のユーザーがOracle Internet Directoryに存在しないことを確認します。管理者の名前はデフォルトではweblogicです。
組込みLDAPプロバイダと外部LDAPプロバイダの両方をSUFFICIENTに設定します。
Oracle IRMの場合は、Oracle IRMドメイン管理者になるために、Oracle Internet Directoryからユーザーとして管理コンソールにログインします。
Oracle WebLogic Serverドメイン管理者のユーザー名では、管理コンソールにログインしないでください。weblogicユーザー・アカウントをOracle IRM管理ユーザー・アカウントとして使用しないことをお薦めします。Oracle IRMドメイン管理者に異なるアカウントを使用している場合は、Oracle WebLogic Serverドメイン管理者(デフォルトではweblogic)を使用して、Oracle WebLogic Serverを起動および停止したり、サーバー設定を変更できます。Oracle Internet Directoryで問題が発生した場合、その問題を修正しなくても、Oracle WebLogic Serverでメンテナンスを実行できます。
Oracle IRM管理対象サーバーの場合、ユーザーがすでにOracle IRM Managementコンソールにログインしているときは、アイデンティティ・ストアの再関連付けの前に、WebLogic Scripting Tool (WLST)コマンドsetIRMExportFolderを実行する必要があります。
このコマンドでエクスポート・フォルダを設定して、Oracle IRMが参照するユーザーおよびグループの詳細をエクスポートできるようにします。Oracle IRMでは、どこにユーザーおよびグループの詳細を書き込むかを判断するのにエクスポート・フォルダ・パスを使用するため、管理対象サーバーにはそのエクスポート・フォルダ・パスへの書込みアクセス権が必要となります。setIRMExportFolderコマンドを実行するには、エクスポート・フォルダが存在する必要があります。
次の例では、エクスポート・フォルダとして/scratch/irm-dataを設定します。
cd ECM_ORACLE_HOME/common/bin ./wlst.sh > connect('weblogic', 'password', 't3://adminServerHost:adminServerPort') > setIRMExportFolder('/scratch/irm-data')
例のadminServerHostはOracle WebLogic Serverドメインの管理サーバーのホスト名で、adminServerPortはポート番号です。
|
注意: SSLが有効になっている場合は、WLSTを使用して管理サーバーに接続する前に、次のパラメータをwlst.shファイルのJVM_ARGSセクションに付加するか、またはCONFIG_JVM_ARGS環境変数に設定する必要があります。
-Dweblogic.security.SSL.ignoreHostnameVerification=true
-Dweblogic.security.TrustKeyStore=KeyStoreName
|
Oracle IRM管理対象サーバーは、この構成変更を選択した後、通常はすぐに一連のXML文書をエクスポート・フォルダに書き出します。エクスポート・フォルダの下にaccountsというフォルダ名が表示されたら、このプロセスは完了です。accountsフォルダには、batchXXXという名前のフォルダが1つ以上含まれています。各batchフォルダには、ユーザーおよびグループの詳細が含まれたXML文書が格納されています。次に例を示します。
/scratch
/irm-data
/accounts
/batch1
user1.xml
user2.xml
group1.xml
batchフォルダを使用するのは、フォルダ内の最大ファイル数がオペレーティング・システムの制限値を超えないようにするためです。
このプロセスが完了した後、エクスポート・フォルダをリセットします。
setIRMExportFolder('')
このリセットにより、管理対象サーバーが再起動したときに、Oracle IRMはそれ以上データのエクスポートを実行しません。
Oracle Internet Directory認証プロバイダを構成します。
第10.1項「管理サーバーの起動」の説明に従って、Oracle WebLogic Serverドメインの管理サーバーを起動します。
次のURLでドメイン管理ユーザーとしてOracle WebLogic Server管理コンソールにログインします。
http://adminServerHost:adminServerPort/console
adminServerHostに、ドメインの管理サーバーをホストするコンピュータの名前を指定します。adminServerPortに、管理サーバーをリスニングするポート番号を指定します。デフォルトのポート番号は7001です。次に例を示します。
http://myHost.example.com:7001/console
ログインするには、構成ウィザードの「管理者ユーザー名およびパスワードの構成」画面で指定したユーザー名とパスワードを指定します。
左側の「ドメイン構造」で、「セキュリティ・レルム」を選択します。
セキュリティ・レルムのサマリー・ページの「レルム」表で、「名前」列のmyrealmをクリックして、myrealmの設定ページを開きます。
「プロバイダ」タブをクリックし、「認証」タブの「認証プロバイダ」表にある「新規」をクリックします。
「新しい認証プロバイダの作成」ダイアログ・ボックスで、「名前」フィールドにプロバイダ名を入力し、そのタイプをOracleInternetDirectoryAuthenticatorに変更し、「OK」をクリックします。
様々なLDAP認証プロバイダの認証タイプのリストは、表4-5を参照してください。
「認証プロバイダ」表で、「並替え」をクリックし、作成したばかりのプロバイダをリストの最上部に移動し、「OK」をクリックします。
DefaultAuthenticatorをクリックし、「制御フラグ」値をOPTIONALに変更し、「保存」をクリックします。
「プロバイダ」タブに戻ります。
作成したばかりの認証プロバイダの名前をクリックして、そのプロバイダの「構成」タブに移動します。
「構成」タブには、「共通」と「プロバイダ固有」の2つのタブがあります。「共通」タブでは、「制御フラグ」値をSUFFICIENTに変更し、「保存」をクリックします。
SUFFICIENTは、ユーザーがOracle Internet Directoryに対して認証された場合、その他の認証は処理されないことを意味します。
REQUIREDは、別のプロバイダによってユーザーがすでに認証されている場合でも、認証プロバイダによって正常に認証される必要があることを意味します。組込みのLDAPをOPTIONALに設定し、Oracle Internet DirectoryをREQUIREDに設定した場合は、組込みのLDAPユーザーが有効ではなくなります。
「プロバイダ固有」タブをクリックします。
次のフィールドにはプロバイダ固有の値を設定し、他のフィールドはデフォルト値のままにします。
ホスト: LDAPサーバーのホスト名またはIPアドレス。
ポート: Oracle Internet Directoryのポート。デフォルトは389。
プリンシパル: LDAPユーザーの識別名(DN)。Oracle WebLogic ServerがLDAPサーバーに接続する場合に使用する必要があります。次に例を示します。
cn=orcladmin
資格証明: LDAPサーバーに接続する場合に使用する資格証明(通常はパスワード)。
資格証明の確認: 「資格証明」フィールドと同じ値。
ユーザー・ベースDN: ユーザーが含まれているLDAPディレクトリのツリーの基本識別名(DN)。次に例を示します。
cn=users,dc=example,dc=com
Oracle Internet Directoryでは、これはユーザー検索ベース属性の値であり、OIDDAS管理ダイアログで調べることができます。
|
注意: 最上位DNではなく、完全DNを使用してください。最上位DNを使用すると、そのDNよりも下位にあるデフォルトのすべてのユーザーおよびグループがアクセスできるようになり、その結果、アプリケーションで必要とされるよりも多くのユーザーにアクセス権が付与されます。 |
取得したユーザー名をプリンシパルとして使用する: LDAPサーバーから取得したユーザー名をプリンシパル値として使用するかどうかを指定します。
Oracle IRMにはこの属性を選択します。
グループ・ベースDN: グループが含まれているLDAPディレクトリのツリーの基本識別名(DN)。次に例を示します。
cn=groups,dc=example,dc=com
Oracle Internet Directoryでは、これはグループ検索ベース属性の値であり、OIDDAS管理ダイアログで調べることができます。
|
注意: 最上位DNではなく、完全DNを使用してください。最上位DNを使用すると、そのDNよりも下位にあるデフォルトのすべてのユーザーおよびグループがアクセスできるようになり、その結果、アプリケーションで必要とされるよりも多くのユーザーにアクセス権が付与されます。 |
ログイン例外の原因を伝播: パスワード期限切れ例外などOracle Internet Directoryからスローされた例外をOracle WebLogic Serverに伝播して、その例外をコンソールに表示し、ログに記録します。
Oracle IRMの場合、タブの「全般」領域でこの属性を選択します。
「保存」をクリックします。
管理サーバーをいったん停止してから再起動して、変更をアクティブ化します。
|
注意: Oracle WebLogic Serverドメインの認証プロバイダは連鎖されます。つまり、どの認証プロバイダでもユーザー認証が正常に動作する必要があります。デフォルト・プロバイダの「制御フラグ」値をOPTIONALに設定すると、サーバーの起動やユーザーの認証の問題を発生させることなく、デフォルト・プロバイダを無効にできます。 |
サーバーの再稼働後、管理コンソールに再度ログインし、「ドメイン構造」の「セキュリティ・レルム」をクリックします。
セキュリティ・レルムのサマリー・ページの「レルム」表で、「名前」列のmyrealmをクリックしてmyrealmの設定ページを開きます。
「プロバイダ」タブをクリックし、「ユーザーとグループ」タブをクリックして「ユーザー」タブで構成された認証プロバイダに含まれるユーザーのリストを表示し、「グループ」タブをクリックしてグループのリストを表示します。
Oracle Internet Directory構成から取得したユーザー名が表示されます。これで、構成が機能していることがわかります。
これらの基本テストのいずれかまたは両方によって、セキュリティ・プロバイダが正常に切り替えられたことを確認します。
セキュリティ・プロバイダの新規作成後、そのセキュリティ・プロバイダのすべてのユーザーが、手順3のリストと同じユーザーとグループという形式でリストに掲載されていることを確認します。
管理対象サーバーURLにアクセスし、Oracle Internet Directoryユーザーのいずれかとしてログインします。
管理対象サーバーにアクセスする方法の詳細は、第10.2項「管理対象サーバーの起動」を参照してください。
Oracle Internet Directoryインスタンスが正常に構成されている場合は、「制御フラグ」値をSUFFICIENTに変更し、「保存」をクリックします。
SUFFICIENTは、ユーザーがOracle Internet Directoryに対して認証された場合、その他の認証は処理されないことを意味します。
REQUIREDは、別のプロバイダによってユーザーがすでに認証されている場合でも、認証プロバイダによって正常に認証される必要があることを意味します。組込みのLDAPをOPTIONALに設定し、Oracle Internet DirectoryをREQUIREDに設定した場合は、組込みのLDAPユーザーが有効ではなくなります。
第10.3項「管理対象サーバーの再起動」の説明に従って、管理サーバーおよび管理対象サーバーを再起動します。
Oracle IRM管理対象サーバーの場合、ユーザーがすでにOracle IRM Managementコンソールにログインしているときは、アイデンティティ・ストアの再関連付けの前に、WLSTコマンドsetIRMImportFolderを実行する必要があります。このコマンドを使用して、アイデンティティ・ストアの再関連付けの前に設定したエクスポート・フォルダを指すようにインポート・フォルダを設定します。
|
注意: インポート・プロセスを実行する前に、エクスポート・フォルダのバックアップを取ることをお薦めします。インポート・プロセスでは、ユーザーおよびグループの詳細の処理が正常に完了したときに、エクスポート・フォルダの内容が削除されるためです。 |
ユーザーとグループが1つの管理対象サーバーによってのみ処理されるように、この操作はデプロイ済Oracle IRMアプリケーションが実行されている1つの管理対象サーバーのみを使用して実行してください。インポート・プロセスが完了した後、Oracle IRMアプリケーションが動作しているすべての管理対象サーバーを起動できます。
次の例では、インポート・フォルダとして/scratch/irm-dataを設定します。
cd ECM_ORACLE_HOME/common/bin ./wlst.sh > connect('weblogic', 'password', 't3://adminServerHost:adminServerPort') > setIRMImportFolder('/scratch/irm-data')
Oracle IRM管理対象サーバーは、この構成変更を選択した後、フォルダの内容を読み込み、Oracle IRMシステムでグローバル・ユーザーID (GUID)値を更新して、新しいアイデンティティ・ストアの値を反映します。ユーザーまたはグループの処理が完了すると、インポート・プロセスは対応するXMLファイルを削除します。インポート・プロセスが完了すると、インポート・フォルダは空になります。
/scratch /irm-data
ユーザーまたはグループの処理中にエラーが発生した場合、インポート・プロセスはユーザー名またはグループ名に一致するファイルにそのエラーを書き込みます。たとえば、user1.xmlのユーザー詳細を処理中にエラーが発生した場合、インポート・プロセスはエラーの詳細をuser1.xml.failファイルに書き込みます。
/scratch
/irm-data
/accounts
/batch1
user1.xml
user1.xml.fail
エラーを修正できた場合は、もう一度WLSTコマンドsetIRMImportFolderを実行して、インポート・プロセスを再実行します。たとえば、ユーザーまたはグループが新しいアイデンティティ・ストアに存在しないことによってユーザーまたはグループの処理が失敗した場合は、ユーザーまたはグループをOracle Internet Directoryに追加すると、エラーが修正され、インポート・プロセスを再実行できます。
> connect('weblogic', 'password', 'adminServerHost:adminServerPort')
> setIRMImportFolder('/scratch/irm-data')
このプロセスが完了した後、インポート・フォルダをリセットします。
setIRMImportFolder('')
このリセットにより、管理対象サーバーが再起動したときに、Oracle IRMはそれ以上データのインポートを実行しません。
|
注意: LDAPアイデンティティ・ストアを再関連付けする際、ユーザーとグループの名前が同じ場合に、ユーザーおよびグループの情報をエクスポートするOracle IRMプロセスで問題が発生します。ユーザーとグループの名前が同じ場合、エクスポート・プロセスのエクスポート・ステップで、ユーザーかグループのどちらかの詳細が失われます。これは、ユーザーまたはグループの名前がファイル名として使用され、一方のファイルにより他方のファイルが上書きされるためです。再関連付け後の回避方法として、ユーザーおよびグループの権限の割当を確認し、欠落しているものを手動で再度割り当てます。 |
アイデンティティ・ストアの再関連付け後、Oracle Internet Directoryのユーザーは、ユーザー・データの移行前に同名のユーザーがOracle WebLogic Server組込みLDAPサーバーで保有していたのと同じ権限を保有します。たとえば、移行前に、ユーザー名がweblogic、Oracle IRMロールがドメイン管理者であるユーザーが組込みLDAPサーバーに存在した場合、移行後、ユーザー名がweblogicのOracle Internet DirectoryユーザーにはOracle IRMロールとしてドメイン管理者が付与されます。
LDAPプロバイダを変更した場合、Oracle I/PMセキュリティ表のグローバル・ユーザーID (GUID) が無効になります。Oracle I/PMは、外部LDAPプロバイダからGUIDをキャッシュしてローカルのセキュリティ表に格納し、そのIDを認証に使用します。WLSTコマンドまたはFusion Middleware Controlを使用して、Oracle I/PMセキュリティ表のGUID値をリフレッシュできます。
両方のLDAPプロバイダに存在するユーザーおよびグループに対してのみ、GUIDがリフレッシュされます。以前のLDAPからユーザーおよびグループに割り当てられたOracle I/PM権限は、新しいLDAPに一致するユーザーおよびグループにリフレッシュされます。ユーザーやグループが新しいLDAPプロバイダのユーザーやグループに一致しない場合、refreshIPMSecurityはそのユーザーやグループを無視します。
|
注意: リフレッシュ中、対応する識別情報が見つからないユーザーまたはグループは無視されます。セキュリティに変更を加えると、無効なユーザーまたはグループがOracle I/PMデータベースから削除されます。 |
コマンド・ラインからGUID値をリフレッシュする場合は、Oracle WebLogic Scripting Tool (WLST)を使用できます。
WLSTを使用してOracle I/PMセキュリティ表のGUID値をリフレッシュするには、次の手順を実行します。
Oracle WebLogic Server管理サーバーにログインします。
Oracle ECMホーム・ディレクトリMW_HOME/ECM_ORACLE_HOMEに移動します。
WLSTを呼び出します。
cd common/bin ./wlst.sh
WLSTコマンド・プロンプトで、次のコマンドを入力します。
wls:/offline> connect() Please enter your username :weblogic Please enter your password : XXXXXXXXXXXXX Please enter your server URL [t3://localhost:7001] :t3://host_name:16000 Connecting to t3://host_name:16000 with userid weblogic ... Successfully connected to Managed Server 'IPM_server1' that belongs to domain 'domainName'. Warning: An insecure protocol was used to connect to the server. To ensure on-the-wire security, the SSL port or Admin port should be used instead. wls:/domainName/serverConfig> listIPMConfig() <This is just to check that the connection is to the right IPM server> wls:/domainName/serverConfig> refreshIPMSecurity() <This is the command that will refresh the GUIDs in the Security tables.> wls:/domainName/serverConfig> exit()
Oracle I/PMにログインして、ユーザーおよびグループのセキュリティを確認します。
MBeanを介してGUID値をリフレッシュする場合は、Fusion Middleware ControlのシステムMBeanブラウザを使用できます。
Fusion Middleware Controlを使用してOracle I/PMセキュリティ表のGUID値をリフレッシュするには、次の手順を実行します。
Fusion Middleware Controlにログインします。
左側のナビゲーション・ツリーで、「WebLogicドメイン」、Oracle ECMドメイン・フォルダ、IPM_Cluster、Oracle I/PMサーバーの名前(IPM_server1など)の順に展開します。
右側で、「WebLogic Server」ドロップダウン・メニューをクリックし、「システムMBeanブラウザ」を選択します。
「システムMBeanブラウザ」ナビゲーション・ツリーで、「アプリケーション定義のMBean」、oracle.imaging、「サーバー: IPM_server1」、「cmd」の順に展開し、「cmd」をクリックします。
右側のrefreshIPMSecurityをクリックします。
「呼出し」ボタンを押します。
Oracle I/PMにログインして、ユーザーおよびグループのセキュリティを確認します。
Oracle Identity Managementに含まれるOracle Directory Services Managerを使用して、ユーザーをOracle Internet Directoryに追加できます。Oracle Directory Services Managerを使用してエントリをディレクトリに追加するには、親エントリへの書込みアクセス権を保有し、新しいエントリに使用する識別名(DN)がわかっている必要があります。
|
注意: エントリを追加または削除する場合、Oracleディレクトリ・サーバーではエントリ属性値の構文検証は行われません。 |
グループ・エントリを追加する方法の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の動的グループおよび静的グループの管理に関する項を参照してください。エントリの詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のディレクトリ・エントリの管理に関する項を参照してください。
ユーザーをOracle Internet Directoryに追加するには、次の手順を実行します。
Oracle Directory Services Managerを呼び出し、Oracle Internet Directoryサーバーに接続します。
タスク選択バーで、「データ・ブラウザ」を選択します。
ツールバーで、「エントリを新規作成します。」アイコンを選択します。あるいは、任意のエントリを右クリックし、「作成」を選択します。
新規エントリ作成ウィザードが起動します。
新規エントリのオブジェクト・クラスを指定します。
オブジェクト・クラス・エントリを選択するには、「追加」アイコンをクリックし、「オブジェクト・クラスの追加」ダイアログ・ボックスを使用します。必要に応じて、検索ボックスを使用してオブジェクト・クラスのリストをフィルタリングします。オブジェクト・クラスを追加するには、そのクラスを選択し、「OK」をクリックします。(このオブジェクト・クラスからtopまでのすべてのスーパークラスも追加されます。)
|
注意: ユーザー・エントリがOracle Delegated Administration ServicesのOracle Internet Directoryセルフ・サービス・コンソールに表示されるようにするには、そのエントリをinetOrgPersonオブジェクト・クラスに割り当てる必要があります。 |
「エントリの親」フィールドで、作成しているエントリの親エントリの完全DNを指定できます。
「参照」をクリックして、追加するエントリの親の識別名を特定し、選択することもできます。「エントリの親」フィールドを空白のままにすると、ルート・エントリの下にエントリが作成されます。
「次」をクリックします。
このエントリの相対識別名(RDN)値となる属性を選択し、その属性の値を入力します。
使用するオブジェクト・クラスの必須属性には、それらがRDN値でない場合でも値を入力する必要があります。たとえば、オブジェクト・クラスinetorgpersonの場合、属性 cn (共通名)も sn (姓)もRDN値ではありませんが、必須です。
「次」をクリックします。
ウィザードの次のページが表示されます。(あるいは、「戻る」をクリックして前のページに戻ります。)
「終了」をクリックします。
オプションの属性を管理するには、「データ・ツリー」に作成したばかりのエントリに移動します。
エントリが個人の場合、「個人」タブをクリックして基本ユーザー属性の管理に使用します。
「適用」をクリックして変更を保存するか、「元に戻す」をクリックして変更を破棄します。
エントリがグループである場合、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の動的グループおよび静的グループの管理に関する項の指示を参照してください。
これが個人のエントリの場合、写真をアップロードできます。
写真をアップロードするには、「参照」をクリックし、写真に移動し、「オープン」をクリックします。
写真を更新するには、「更新」をクリックして同じ手順に従います。
写真を削除するには、「削除」アイコンをクリックします。
「適用」をクリックして変更を保存するか、「元に戻す」をクリックして変更を破棄します。
英語以外の言語の場合、管理対象サーバーを起動する前に、UNIXオペレーティング・システムで次のインストール手順を実行する必要があります。
ミドルウェア・ホームのSun JDKインストール・ディレクトリでMW_HOME/oracle_common/jdk/jre/lib/fontsを/jre/lib/fontsディレクトリにコピーします。
ミドルウェア・ホームのOracle JRockit JDKディレクトリでMW_HOME/oracle_common/jdk/jre/lib/fontsを/jre/lib/fontsディレクトリにコピーします。
Oracle Enterprise Content Management Suite製品向けの次のシングル・サインオン(SSO)ソリューションのいずれかを構成できます。
Oracle Access Manager 11g SSO
Oracle Access Manager 10g SSO
Oracleシングル・サインオン(OSSO)
Windowsネイティブ認証(WNA)
表4-6に、どのOracle ECMアプリケーションでどのSSOソリューションを使用できるかを示します。以降の項では、これらのアプリケーションでSSOを使用する場合に参考となる情報を提供します。
表4-6 Oracle ECMアプリケーション向けシングル・サインオン・ソリューション
| アプリケーション | Oracle Access Manager 11g | Oracle Access Manager 10g | OSSO | WNA |
|---|---|---|---|---|
|
Oracle UCMコンテンツ・サーバー |
サポートされています |
サポートされています |
サポートされています |
サポートされています |
|
Oracle I/PM |
サポートされています |
サポートされています |
サポートされています |
サポートされています |
|
Oracle IRM Webインタフェース |
サポートされています |
サポートされていません |
サポートされています |
サポートされています |
|
Oracle IRM Desktop |
サポートされていません |
サポートされています(制限あり) |
サポートされていません |
サポートされています |
|
Oracle URM |
サポートされています |
サポートされています |
サポートされています |
サポートされています |
Oracle WebLogic Server認証プロバイダの概要は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の認証プロバイダの構成に関する項を参照してください。
Oracle Access Managerを使用すると、ユーザーは全社規模でWebアプリケーションおよびその他のITリソースにシームレスにアクセスできます。Oracle IRMは、Oracle Access ManagerでBasic認証をサポートします。Oracle Access Managerには認可エンジンが搭載されており、アクセスを要求するユーザーのプロパティと要求を行った環境に基づいて特定のリソースへのアクセスを付与または拒否できます。
Oracle IRM用にOracle Access Managerシングル・サインオン(SSO)を構成する方法の詳細は、第8.4項「Oracle IRMとOracle Access Manager 11gとの統合」を参照してください。それをOracle I/PM用に構成する方法の詳細は、Oracle Fusion Middleware Oracle Imaging and Process Management管理者ガイドを参照してください。それをOracle UCM、Oracle IBRまたはOracle URM用に構成する方法の詳細は、Oracle Fusion Middleware Content Serverシステム管理者ガイドのシングル・サインオンのためのOracle UCMの構成に関する項を参照してください。
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Managerソリューションのデプロイに関する項を参照してください。
表4-7に、Oracle ECMアプリケーションのためにOracle Access Manager 11gを構成する方法に関する詳細な情報の入手先を示します。
表4-7 Oracle ECMアプリケーションのためのOracle Access Manager 11g構成
| アプリケーション | 構成情報 |
|---|---|
|
Oracle UCMコンテンツ・サーバー |
Oracle Fusion Middleware Oracle Content Serverシステム管理者ガイドのOracle UCMによるOracle Access Manager 11gの構成に関する項 |
|
Oracle I/PM |
Oracle Fusion Middleware Oracle Imaging and Process Management管理者ガイドのOracle Access Manager 11gとOracle I/PMとの統合に関する項 |
|
Oracle IRM Webインタフェース |
第8.4項「Oracle IRMとOracle Access Manager 11gとの統合」 |
|
Oracle IRM Desktop |
サポートされていません |
|
Oracle URM |
Oracle Fusion Middleware Oracle Content Serverシステム管理者ガイドのOracle UCMによるOracle Access Manager 11gの構成に関する項 |
表4-8に、Oracle ECMアプリケーションのためにOracle Access Manager 10gを構成する方法に関する詳細な情報の入手先を示します。
表4-8 Oracle ECMアプリケーションのためのOracle Access Manager 10g構成
| アプリケーション | 構成情報 |
|---|---|
|
Oracle UCMコンテンツ・サーバー |
Oracle Fusion Middleware Oracle Content Serverシステム管理者ガイドのOracle UCMによるOracle Access Manager 10gの構成に関する項 |
|
Oracle I/PM |
Oracle Fusion Middleware Oracle Imaging and Process Management管理者ガイドのOracle Access Manager 10gとOracle I/PMとの統合に関する項 |
|
Oracle IRM Webインタフェース |
サポートされていません |
|
Oracle IRM Desktop |
第8.4項「Oracle IRMとOracle Access Manager 11gとの統合」 |
|
Oracle URM |
Oracle Fusion Middleware Oracle Content Serverシステム管理者ガイドのOracle UCMによるOracle Access Manager 11gの構成に関する項 |
Oracleシングル・サインオン(OSSO)の概要は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareのシングル・サインオンの概要に関する項を参照してください。
表4-9に、Oracle ECMアプリケーションのためにOSSOを構成する方法に関する詳細な情報の入手先を示します。
表4-9 Oracle ECMアプリケーションのためのOSSO構成
| アプリケーション | 構成情報 |
|---|---|
|
Oracle UCMコンテンツ・サーバー |
Oracle Fusion Middleware Oracle Content Serverシステム管理者ガイドのOracle UCMのためのOracleシングル・サインオンの構成に関する項 |
|
Oracle I/PM |
Oracle Fusion Middleware Oracle Imaging and Process Management管理者ガイドのOracle I/PMのためのOracleシングル・サインオンの構成に関する項 |
|
Oracle IRM Webインタフェース |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracleAS SSO 10gを使用したシングル・サインオンの構成に関する項 |
|
Oracle IRM Desktop |
サポートされていません |
|
Oracle URM |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracleAS SSO 10gを使用したシングル・サインオンの構成に関する項 |
Windowsネイティブ認証(WNA)を構成する方法の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のMicrosoftクライアントによるシングル・サインオンの構成に関する項を参照してください。
表4-10に、Oracle ECMアプリケーションのためにWNAを構成する方法に関する詳細な情報の入手先を示します。
表4-10 Oracle ECMアプリケーションのためのWNA構成
| アプリケーション | 構成情報 |
|---|---|
|
Oracle UCMコンテンツ・サーバー |
Oracle Fusion Middleware Oracle Content Serverシステム管理者ガイドのWindowsネイティブ認証のためのOracle UCMおよびシングル・サインオンの構成に関する項 |
|
Oracle I/PM |
Oracle Fusion Middleware Oracle Content Serverシステム管理者ガイドのWindowsネイティブ認証のためのOracle UCMおよびシングル・サインオンの構成に関する項 |
|
Oracle IRM Webインタフェース |
『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のMicrosoftクライアントによるシングル・サインオンの構成に関する項 |
|
Oracle IRM Desktop |
『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のMicrosoftクライアントによるシングル・サインオンの構成に関する項 |
|
Oracle URM |
『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のMicrosoftクライアントによるシングル・サインオンの構成に関する項 |
アプリケーションのパフォーマンス、スループットまたは高可用性の向上が求められる本番環境では、2つ以上の管理対象サーバーがクラスタとして機能するように構成できます。クラスタは、複数のOracle WebLogic Serverインスタンスの集合で、同時に稼働し連携して高いスケーラビリティおよび信頼性を実現します。クラスタでは、(単一の管理対象サーバーでなく)管理対象サーバーごとに、ほとんどのリソースおよびサービスがまったく同じようにデプロイされるため、フェイルオーバーとロード・バランシングが可能になります。
1つのドメインには、複数のOracle WebLogic Serverクラスタが存在していても、クラスタとして構成されていない複数の管理対象サーバーが存在していても構いません。管理対象サーバーのクラスタ化と非クラスタ化の重要な違いは、フェイルオーバーおよびロード・バランシングのサポートにあります。これらの機能は、管理対象サーバーがクラスタ化されている場合にのみ利用できます。
|
注意: クラスタを使用するには、Oracle WebLogic Server Enterprise Editionのライセンスが必要です。 |
クラスタの概要は、Oracle WebLogic Server用にクラスタを使用するOracle Fusion MiddlewareのWebLogic Serverクラスタリングの概要に関する項を参照してください。
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合は、表4-11で説明した画面が表示されます。
表4-11 「管理対象サーバー、クラスタ、およびマシン」の詳細設定画面
| いいえ。 | 画面 | 説明と必須作業 |
|---|---|---|
|
1 |
|
新しい管理対象サーバーを追加するか、または既存の管理対象サーバーを編集および削除します。 「次へ」をクリックして続行します。 |
|
2 |
|
高可用性環境にインストールする場合はクラスタを作成します。詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。 「次へ」をクリックして続行します。 |
|
3 |
|
「クラスタの構成」画面でクラスタを構成した場合 「次へ」をクリックして続行します。 |
|
4 |
|
「クラスタの構成」画面でクラスタを構成し、ドメイン内の管理対象サーバーの全部ではなく一部をクラスタに割り当てた場合 「次へ」をクリックして続行します。 |
|
5 |
|
クラスタに管理対象サーバーをホストするマシンを構成し、各管理対象サーバーをマシンに割り当てます。 「次へ」をクリックして続行します。 |
|
6 |
|
管理対象サーバーをドメイン内のクラスタまたはサーバーに割り当てます。 「次へ」をクリックして続行します。 |
|
7 |
|
この画面を使用して、サービス(JMSやJDBCなど)のターゲットとしてサーバーまたはクラスタを指定し、アプリケーションがそのサービスを使用できるようにします。 「次へ」をクリックして続行します。 |
Oracle WebLogic Server管理コンソールまたはFusion Middleware Controlを使用して、後で管理対象サーバーをクラスタに追加できます。詳細は、『Oracle Fusion Middleware管理者ガイド』の環境のスケールに関する項を参照してください。
Oracle Enterprise Content Management Suite用にOracle Web Services Manager (Oracle WSM)セキュリティ・ポリシーを設定するには、次のタスクを実行する必要があります。
Oracle WebLogic ServerおよびOracle Enterprise Content Management Suiteのインストール
Oracle WebLogic ServerドメインでのOracle ECMアプリケーションおよびOracle WSMポリシー・マネージャの構成
Oracle WSMの「サーバーのソケット・ポート」および「ソケット接続アドレス・セキュリティ・フィルタを着信中」の構成
「標準」オプションでOracle WebLogic Serverをインストールします。これにより、Oracle Coherence、Sun JDKおよびJRockit JDKもインストールされます。Oracle WebLogic Serverをインストールする方法の詳細は、第3.1.2項「ミドルウェア・ホームへのOracle WebLogic Serverのインストール」を参照してください。
Oracle WebLogic Serverをインストールすると、Oracle Fusion Middlewareホームが作成されます。ここにOracle Enterprise Content Management Suiteをインストールでき、インストールが完了するとECM Oracleホームが作成されます。Oracle WSMは、Oracle ECMスイートからインストールできます。ミドルウェア・ホームにはOracle共通ホームが含まれており、ここにOracle WSMファイルがインストールされます。Oracle Enterprise Content Management Suiteをインストールする方法の詳細は、第3.2項「Oracle Fusion MiddlewareでのOracle Enterprise Content Management Suiteのインストール」を参照してください。Oracle Enterprise Content Management Suiteをインストールすると、Oracle UCMをOracle WebLogic Serverにデプロイするために必要なファイルがインストールされます。
リポジトリ作成ユーティリティ(RCU)の「コンポーネントの選択」画面で次のように選択して、MDSスキーマを作成します。MDSスキーマはOracle WSMセキュリティを設定するために必要です。
「AS共通スキーマ」の下の「Metadata Services」
このように選択するのは、Oracle WSMポリシー・マネージャのスキーマを作成するためです。
このスキーマによって、Oracle UCMおよびOracle WSMポリシー・マネージャのバックエンド・リポジトリが用意されます。データベースにMDSスキーマがすでに存在する場合は、そのスキーマを再利用できます。
RCUでOracle WSM MDSスキーマを作成する方法の詳細は、第2.2項「Oracle Enterprise Content Management Suiteのスキーマの作成」を参照してください。
1つ以上のOracle ECMアプリケーションおよびOracle WSMポリシー・マネージャを構成するには、Oracle WebLogic Serverドメインを作成または拡張する必要があります。ドメインを作成してOracle WSMポリシー・マネージャを含める方法の詳細は、第4.2項「Oracle WebLogic Serverドメインの作成」を参照してください。Oracle WSMポリシー・マネージャでドメインを拡張する方法の詳細は、第4.3項「既存のドメインの拡張」を参照してください。
管理対象サーバーのインストール後の構成時に、Oracle WSM用に「サーバーのソケット・ポート」値および「ソケット接続アドレス・セキュリティ・フィルタを着信中」値を構成できます。
次の設定が他のデフォルト設定とともに存在することを確認します。
サーバーのソケット・ポート: 4444
この値は、管理対象サーバー用の構成ファイルにIntradocServerPort=4444として格納されます。
ソケット接続アドレス・セキュリティ・フィルタを着信中: *.*.*|0:0:0:0:0:0:0:1
この値は、管理対象サーバー用の構成ファイルにSocketHostAddressSecurityFilter=*.*.*.*|0:0:0:0:0:0:0:1として格納されます。
これらの設定に加えた変更を有効にするには、第10.3項「管理対象サーバーの再起動」の説明に従って、管理対象サーバーを再起動する必要があります。
管理対象サーバーのインストール後の設定の詳細は、次の項を参照してください。
Webサービスを保護するには、キーストアを設定し、Oracle WSMポリシーをWebサービスに適用します。
keytoolコマンドが、キーストアを生成します。キーストアを開くには、パスワードが必要です。キーはキーストア内に保存され、このキーにアクセスするには、追加のパスワードが必要です。
キーストア用に提示される場所は、ドメイン・ホーム下のディレクトリにあります。
UNIXパス: MW_HOME/user_projects/domains/DomainHome/config/fmwconfig
Windowsパス: MW_HOME\user_projects\domains\DomainHome\config\fmwconfig
この場所にキーストアを配置すると、ドメインおよび対応する資格証明ストア・ファイルがバックアップされるときに、キーストア・ファイルもバックアップされるようになります。
キーストアを設定するには、次の手順を実行します。
キーストアおよびキー別名orakeyの作成:
JAVA_HOME/bin/keytool -genkeypair -alias orakey -keypass welcome -keyalg RSA \
-dname "CN=orakey, O=oracle C=us" \
-keystore default-keystore.jks -storepass welcome
default-keystore.jksをドメインのfmwconfigディレクトリにコピーします。
cp default-keystore.jks DomainHome/config/fmwconfig
(WLSTコマンドを使用して)資格証明を資格証明ストアに保存します。
MW_HOME/ECM_ORACLE_HOME/common/bin/wlst.sh connect() createCred(map="oracle.wsm.security", key="keystore-csf-key", user="keystore", password="welcome1") createCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="welcome") createCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="welcome1")
この手順では、DomainHome/config/fmwconfigにcwallet.ssoファイルを作成します。
クライアントがサーバーにアクセスするためには、default-keystore.jksとcwallet.ssoのどちらも必要です。
キーストアを設定する方法の詳細は、第8.1.2項「Oracle IRM用のキーストアの構成」を参照してください。
次の手順では、ポリシーをOracle UCM WebサービスIdcWebLoginServiceおよびGenericSoapServiceに適用する方法を示します。適用するポリシーは、oracle/wss11_saml_token_with_message_protection_service_policyです。
Oracle WebLogic Server管理コンソールを使用して、Oracle WSMポリシーをWebサービスに適用できます。
Oracle WSMポリシーをWebサービスに適用するには、次の手順を実行します。
Oracle WebLogic Server管理コンソールにOracle WebLogic Server管理者としてログインします。
左側のナビゲーション・ツリーで、「デプロイメント」をクリックします。
「デプロイメント」表で、Oracle UCM Native Web Servicesページに移動して展開します。
IdcWebLoginServiceをクリックします。
IdcWebLoginServiceの設定ページで、「構成」をクリックします。
「WS-Policy」タブを選択します。
OWSMポリシーoracle/wss11_saml_token_with_message_protection_service_policyをIdcWebLoginPortに適用します。
