| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
前 |
次 |
この付録では、OAM 11gサーバーおよびクライアント(OAMエージェント)がアクセス・プロトコル・チャネルを介して安全に通信できるようにするために必要な情報と手順について説明します。この章の内容は次のとおりです。
OAMサーバーが実行中であることを確認してください。
OAMサーバーとクライアント(Webgate)間の通信を保護するということは、コンポーネント登録ページ内のNAP (OAPとも呼びます)チャネルに対してトランスポート・セキュリティ・モードを定義することを意味します。チャネルのセキュリティ・レベルは、次のいずれかに指定されます。
オープン: 暗号化されていない通信
オープン・モードでは、WebgateとOAMサーバー間で認証または暗号化は行われません。WebgateはOAMサーバーのアイデンティティの証明を要求せず、OAMサーバーはすべてのWebgateからの接続を受け入れます。オープン・モードは、通信のセキュリティがデプロイメントで問題にならない場合に使用します。
簡易: Oracleにより発行された公開鍵証明書を使用したSecure Sockets Layer(SSL)プロトコルによる暗号化された通信
簡易モードは、プレーン・テキストでパスワードを送信したくないといったセキュリティ上の懸念があるものの、独自の認証局(CA)を管理しない場合に使用します。この場合、OAM 11gサーバーおよびWebgateはOracle CAにより発行および署名された同じ証明書を使用します。詳細は、「簡易モード、暗号化および鍵について」を参照してください。
証明書: 信頼されているサード・パーティ認証局(CA)により発行された公開鍵を使用したSSLによる暗号化された通信。
証明書モードは、OAM 11gサーバーとWebgateで異なる証明書を使用し、信頼されているサード・パーティCAにアクセスできる場合に使用します。このモードでは、DESアルゴリズムを使用して秘密鍵を暗号化する必要があります。Oracle Access ManagerコンポーネントはPEM形式でのX.509デジタル証明書のみを使用します。PEMとはプライバシ強化メールのことであり、パスフレーズが必要です。PEM(プライバシ強化メール)形式は秘密鍵、デジタル証明書、および信頼されている認証局(CA)に適しています。望ましいキーストア形式はJKS(Java KeyStore)形式です。詳細は、「証明書モードの暗号化およびファイルについて」を参照してください。
図E-1に、ユーザー認証および認可中にOAMサーバーおよびWebgateにより使用される通信チャネルを示します。
プロセスの概要: 認証および認可
リクエストはWebgateにより捕捉されます。
認証(資格証明の集合)がHTTPチャネルを通じて発生します。
OAMエージェントのみ(mod_ossoでない)で認証がNAPチャネルを通じて発生します。
Secure Sockets Layer(SSL)プロトコルを使用することで、HTTP(HTTPS)チャネルを通じた傍受と介入者攻撃の成功を防ぐことができます。SSLプロトコルはほとんどのWebサーバー製品およびWebブラウザの一部として含まれます。SSLはデジタル証明書を含む、効果および秘密鍵暗号化システムを使用します。Webサーバーまたはディレクトリ・サーバーに対するSSL通信の有効化についての詳細は、ベンダーのドキュメントを参照してください。
PEM(プライバシ強化メール)形式(BASE64エンコードASCII)は秘密鍵、デジタル証明書、および信頼されている認証局(CA)に適しています。OAMサーバーにとっての望ましいキーストア形式はJCEKSで、OAMクライアントの場合はJKS (Java KeyStore)形式です。Oracle Access Managerコンポーネントは、DER (バイナリ形式の証明書)形式のみのX.509デジタル証明書を使用します。
詳細は、次を参照してください。
公開鍵インフラストラクチャにより、デジタル証明書は次のものに基づきWebベースのトランザクションの資格証明を確立します。
証明書の所有者の名前
証明書のシリアル番号
証明書の有効期限
証明書の所有者の公開鍵のコピー、これはメッセージおよびデジタル署名の暗号化に使用されます
証明書を発行する認証局のデジタル署名が提供されて、受信者はその証明書が本物であることを確認できます
デジタル証明書はレジストリに格納でき、そこから認証ユーザーが他のユーザーの公開鍵を検索できます。
暗号化では、公開鍵は暗号化キーとして使用される、指定した認証局により提供された値です。公開鍵を使用するためのシステムは公開鍵インフラストラクチャ(PKI)と呼ばれます。公開鍵インフラストラクチャの一部として、認証局は登録局(RA)に問い合せてデジタル証明書のリクエスタにより提供された情報を検証します。RAがリクエスタの情報を検証すると、CAは証明書を発行できます。
秘密鍵は公開鍵から導出できます。公開鍵および秘密鍵の組合せは非対称暗号と呼ばれ、メッセージおよびデジタル署名を効果的に暗号化するのに使用できます。
管理者はOAMサーバー構成で指定したトランスポート経由でのみOAMサーバーにアクセス可能にする必要があります。OAMサーバー構成は、サーバーのエンド・ポイントとロード・バランサまたは逆プロキシのアカウントを定義します。OAMサーバーにHTTPとHTTPSの両方でアクセス可能な場合、すべてのリクエスト(いずれのトランスポート経由でも)が受け入れられます。
ユーザーがX509以外の認証スキームによるSSLでOAMサーバーと接続(およびログアウト)できるようにするためには、指定したサーバー・ポートをCLIENT CERTSを必要とするように構成しないでください。
X509認証スキーム(X509Scheme)では、OAMサーバーSSLポートはサーバー・ポートと異なっていて、クライアント証明書を必要とするよう構成されている必要があります。X509Schemeを使用していると、X509モジュールは資格証明コレクションの後にコールされます。X509SchemeはX509チャレンジ・メソッドとX509認証モジュールを必要とします。資格証明コレクタへの完全修飾URLをX509Scheme内のチャレンジURLとして指定する必要があります。たとえば、https://<oam_server>:<ssl_port>/oam/CredCollectServlet/X509です。
|
注意: 相対的なチャレンジURLをX509Schemeで指定した場合、OAMサーバーは指定したサーバー・ポート/ホスト/ポートを使用してX509資格証明コレクタの完全修飾URLを構築します。ただし、この構成は動作しません。 |
管理者はOracleが提供するimportcertツールを、キーストア、キーおよび証明書に関連した様々な手順で使用します。表E-1は、importcertコマンドの構文を示しています。
表E-1 importcertコマンドの構文
| オプション | 説明 |
|---|---|
|
keystore |
このコマンドを、既存の(または新規)キーストアのパスで続けます。次に例を示します。 /scratch/.oamkeystore or /scratch/clientKey.jks |
|
privatekeyfile |
このオプションを、秘密鍵のパスで続けます。次に例を示します。 /scratch/aaa_key.der |
|
signedcertfile |
このオプションを、署名済証明書のパスで続けます。次に例を示します。 /scratch/aaa_cert.der |
|
alias |
このオプションを、キーストア・エントリ別名で続けます。genkeystoreで必要です。 alias |
|
storetype |
このオプションを、キーストア・タイプで続けます。デフォルトでは、ストア・タイプはJCEKS (OAMサーバー・キーストア)です。次に例を示します。 サーバー・キーストア.oamkeystoreのタイプは次のようになります。 JCEKS クライアント・キーストア/scratch/clientTrustStore.jksおよび/scratch/clientKey.jksを使用できます。どちらも、次のタイプになります。 JKS |
|
genkeystore |
このフラグは、OAMクライアント証明書を生成する場合に必要です。クライアントでは、別名および別名パスワードのパラメータが表示されません。しかし、importcertツールはキーストア・パスワードを別名パスワードとして設定します。 次の内容を指定します。 Yes or No Yesは、証明書を新しいキーストアにインポートします。 Noは、証明書を既存のキーストアにインポートします。 |
|
OAMサーバーの場合の例 |
- java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore <path to .oamkeystore> -privatekeyfile <path to aaa_key.der> -signedcertfile <path to aaa_cert.der> -alias oam.certmode -aliaspassword <password> -storetype <JCEKS> genkeystore <yes> キーストア・パスワードと別名パスワードを、求められたら入力します。 |
|
OAMクライアントの場合の例 |
- java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore <path to clientkey.JKS> -privatekeyfile <path to aaa_key.der> -signedcertfile <path to aaa_cert.der> -storetype <JKS> genkeystore <yes> キーストア・パスワードを、求められたら入力します。 |
この項は、証明書モードのOAMテスターで使用するJKSキーストアを生成する場合のみ必要になります。それ以外の場合は、次の項に進んでください。この項ではimportcertコマンドを使用して、インポートした信頼できる証明書チェーンを含むための、証明書モードのOAMテスター用のクライアント・キーストアを生成する方法を説明します。
証明書モードのOAMテスター用のクライアント・キーストアを生成する手順
ImportCertツールを使用して、JKSキーストア(-privatekeyfileおよび-signedcertfileにより指定されたファイル名)を作成します。次に例を示します。
- java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore <Keystore path> -privatekeyfile <Private key file> -signedcertfile <Signed certificate file> path -storetype <JKS> genkeystore <yes>
キーストア・パスワードを、求められたら入力します。
それぞれの環境に応じて次の手順を実行します。
キーストアの削除: 次のコマンドを使用して、JKSキーストアを削除します。次に例を示します。
keytool -delete -alias <alias> -keystore <path to clientkey.JKS> -storetype <JKS>
キーストア・パスワードを、求められたら入力します。
この項では、OAM 11gの証明書モード通信の構成方法について説明します。
次のタスクは証明書モードにのみ適用されます。簡易モードでは、バンドルされたOAM-CA署名付き証明書が使用されて、次のタスクのほとんどは必要ありません。
タスク概要: OAMサーバーの証明書の追加には次のものが含まれます。
次の内容の確認:
Webgateの証明書リクエストによって、リクエスト・ファイルaaa_req.pemが生成されます。これを、OAMサーバーにより信頼されているルートCAに送信する必要があります。ルートCAは証明書を戻し、その後、10g Webgateのインストール中または後のいずれかでインストールできます(11g Webgateの場合、Webgateのインストールおよび構成後にWebgateインスタンス領域に手動でコピーする必要があります)。
aaa_key.pem (Webgateキー・ファイルの予約名。変更できません)
aaa_cert.pem (Webgate証明書ファイルの予約名。変更できません)
aaa_chain.pem (Webgate側のCA証明書の予約名)
証明書モードでのコンポーネントのインストール中に、外部CAから取得した証明書が存在するかどうかを尋ねられます。証明書をまだ所有していない場合、リクエストできます。証明書を受領するまでは、Webgateを簡易モードで構成できます。ただし、証明書が発行されインストールされるまで、OAMデプロイメントは完了できません。
WebgateをOAMエージェントとして登録するときに証明書モードを選択すると、エージェント・キー・パスワードを入力するフィールドが表示されます。11g Webgateの登録を編集するときに、モードがオープンから証明書、あるいは簡易から証明書へ変更される場合にのみpassword.xmlが更新されます。証明書モードでは、一度生成されるとpassword.xmlは更新できません。エージェント・キー・パスワードを編集しても、新しいpassword.xmlは生成されません。
証明書リクエストを作成し、CAに送信する必要があります。証明書が戻されると、それをOAMサーバーにインポート(またはWebgateにコピー)する必要があります。
次の手順を使用して、秘密鍵、証明書およびOAMサーバーのCA証明書を取得します。
|
注意: 10gと11gの登録間の一貫性を保つための認証ツールはopenSSLです。証明書およびキーをPEM形式で生成するには、他のツールではなくopenSSLを使用することをお薦めします。 |
OAM 11gサーバーの秘密鍵および証明書を取得する手順
次のような証明書リクエスト(aaa_req.pem)および秘密鍵(aaa_key.pem)の両方を生成します。
–OpenSSL req –new –keyout aaa_key.pem –out aaa_req.pem –utf8 -nodes -config openssl_silent_ohs11g.cnf
証明書リクエスト(aaa_req.pem)と信頼されているCAに送信します。
base64でのCA証明書をaaa_chain.pemとしてダウンロードします。
base64およびDER形式の両方での証明書をaaa_cert.pemおよびaaa_cert.derとしてダウンロードします。
次のようにパスワードを使用して秘密鍵(aaa_key.pem)を暗号化します。
openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass: ******** -des
「OAMキーストア別名およびパスワードの取得」に進みます。
有効な管理者証明書を持つユーザーは、次のタスクを実行して、認証に使用される指定キーストア内の証明書の別名と、証明書のインポートに必要なパスワードを取得できます。
OAMキーストア・パスワードを取得する手順
Oracle Access Managerコンソールが実行中であることを確認してください。
Oracle Access Managerコンソールをホストしているコンピュータで、キーストア・パスワードの取得時に使用するOAMインストール・パスのWebLogic Scripting Toolを探します。次に例を示します。
$ORACLE_IDM/common/bin/
ここで、$ORACLE_IDMはOAM 11gのベース・インストール・ディレクトリで、/common/binはスクリプト・ツールが置かれているパスです。
WebLogic Scripting Toolを開始します。
·/ wlst.sh
WLSTシェルで、接続するコマンドを入力してからリクエスト情報を入力します。次に例を示します。
wls:/offline> connect() Please enter your username [weblogic] : Please enter your password [welcome1] : Please enter your server URL [t3://localhost:7001] : wls:/base_domain/serverConfig>
次のコマンドを入力して、場所を読取り専用のdomainRuntimeツリーに変更します(ヘルプを表示するにはhelp(domainRuntime)を使用します)。次に例を示します。
wls:/OAM_AC> domainRuntime()
次のコマンドを入力して、OAMキーストアの証明書をリストします。次に例を示します。
wls:/OAM_AC/domainruntime> listCred(map="OAM_STORE",key="jks")
ここで、OAM_STOREはOAMキーストアの名前を示します。
表示されるOAMキーストアのパスワードは、証明書のインポートに必要なため、最新の注意を払ってください。
Oracleが提供するimportcertツールは、既存の秘密鍵、署名済証明書(公開鍵)ファイルを指定のキーストア形式であるJKS (クライアント・キーストア形式)またはJCEKS (OAMサーバー・キーストア形式、たとえば .oamkeystore)へインポートするために使用します。
Oracle Access Manager 11gに関連付けられたキーストアはPKCS8 DER形式の証明書のみを受け入れます。
PEM形式の証明書が認証局(CA)によって署名されている場合、次の手順はOracle Access Manager 11gに付属しているimportcertを使用してこれらの証明書を変換した後にインポートする方法を説明します。
PEM形式の証明書がない場合は、証明書リクエストを作成してCAで署名を受けた後で、次の手順を開始してください。
次にJDKバージョン6のkeytoolを使用するための手順を示します。異なるバージョンのkeytoolの場合、そのJDKバージョンのドキュメントを参照してください。
|
注意: keytoolユーティリティを使用する場合、デフォルトの鍵ペア生成アルゴリズムはデジタル署名アルゴリズム(DSA)です。ただし、OAMおよびWebLogic ServerはDSAをサポートしないので、別の鍵ペア生成および署名アルゴリズムを指定する必要があります。 |
前提条件
信頼できる証明書チェーンをキーストアにインポートする手順
次のパスでOAM 11gのキーストアを探します。
$MW_HOME/jdk160_18/bin/keytool
importcert.zipを解凍して、次のパスでReadMeファイルを探します。
$ORACLE_IDM/oam/server/tools/importcert/README
aaa_chain.pem: テキスト・エディタを使用してaaa_chain.pemファイルを変更して、CERTIFICATEブロック内に含まれるデータを除くすべてのデータを削除してからそのファイルを保存します。
----BEGIN CERTIFICATE-----
...
CERTIFICATE
...
-----END CERTIFICATE-----
次のコマンドと環境に応じた詳細を使用して、信頼された証明書チェーンをインポートします。次に例を示します。
keytool -importcert -file aaa_chain.pem -trustcacerts -storepass <password> -keystore <$ORACLE_HOME>\user_projects\domains\$DOMAIN\config\fmwconfig\ .oamkeystore -storetype JCEKS
証明書を信頼するかどうか尋ねられたら、「yes」と入力します。
aaa_cert.pem:
TextPadを使用してaaa_certn.pemを編集し、CERTIFICATEブロック内に含まれるデータを除くすべてのデータを削除し、そのファイルを新しい場所に保管して元のファイルを保持します。次に例を示します。
----BEGIN CERTIFICATE-----
...
CERTIFICATE
...
-----END CERTIFICATE-----
次のコマンドを入力して署名された証明書(aaa_cert.pem)を、openSSLまたは他のツールを使用してDER形式に変換します。次に例を示します。
openssl x509 -in aaa_cert.pem -inform PEM -out aaa_cert.der -outform DER
aaa_key.pem:
aaa_key.pemを編集し、CERTIFICATEブロック内に含まれるデータを除くすべてのデータを削除し、そのファイルを新しい場所に保管して元のファイルを保持します。次に例を示します。
----BEGIN CERTIFICATE-----
...
CERTIFICATE
...
-----END CERTIFICATE-----
次のコマンドを入力して秘密鍵(aaa_key.pem)を、openSSLまたは他のツールを使用してDER形式に変換します。次に例を示します。
openssl pkcs8 -topk8 -nocrypt -in aaa_key.pem -inform PEM -out aaa_key.der -outform DER
キーストアに署名付きDER形式の証明書をインポートします。次に例を示します。
環境に応じた次のコマンドライン引数および詳細を使用してaaa_key.derをインポートします。次に例を示します。
c:\Middleware\idm_home\oam\server\tools\importcert
- java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore <> -privatekeyfile <path> -signedcertfile <path> -alias [ -storetype <> genkeystore <> -help]
|
注意: キーストア・パスワードと別名パスワードを、求められたら入力します。Windowsシステムでは、コロン(:)のかわりにセミコロン(;)をコマンドラインで使用してください。 |
証明書をキーストアにインポートした後で、先ほど指定した別名およびパスワードを、Oracle Access ManagerコンソールでAccess Manager設定構成に、ここでの説明に従って追加する必要があります。
|
注意: 簡易モードには明示的な構成は必要なく、OAM 11gでは即時可能な状態で提供されます。 |
前提条件
信頼できる、署名された証明書チェーンをキーストアへインポート
証明書詳細をAccess Manager設定に追加する手順
Oracle Access Managerコンソールで、「システム構成」タブをクリックします。
「システム構成」タブの「Access Managerの設定」セクションで、「Access Managerの設定」ページを開きます。
ページの「アクセス・プロトコル」セクションを、必要に応じて展開します。
前の手順で取得した別名および別名パスワード詳細を入力します。次に例を示します。
証明書モード構成
PEMキーストア別名: my_keystore_alias
PEMキーストア別名のパスワード: my_keystore_alias_pw
「適用」をクリックして構成を保存します。
ページを閉じます。
OAMサーバー登録ページを開き、「プロキシ」タブをクリックし、プロキシ・モードを「証明書」に変更して「適用」をクリックします。
OAMサーバーを再起動します。
次の手順を使用して、秘密鍵、証明書およびWebgateのCA証明書を取得します。
|
注意: 10gと11gの登録間の一貫性を保つための認証ツールはopenSSLです。証明書およびキーをPEM形式で生成するには、他のツールではなくopenSSLを使用することをお薦めします。 |
Webgateの秘密鍵および証明書を取得する手順
次のような証明書リクエスト(aaa_req.pem)および秘密鍵(aaa_key.pem)の両方を生成します。
openssl req -new -keyout aaa_key.pem -out aaa_req.pem -utf8 -nodes
証明書リクエスト(aaa_req.pem)を信頼されているCAに送信します。
base64でのCA証明書をaaa_chain.pemとしてダウンロードします。
base64形式での証明書をformat as aaa_cert.pemとしてダウンロードします。
次のようにパスワードを使用して秘密鍵(aaa_key.pem)を暗号化します。
openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass: ******** -des
「証明書を使用するようにWebgateを更新」に進みます。
すべての通信モード(オープン、簡易または証明書)で、エージェント登録はOracle Access Managerコンソールから更新する必要があります。
OAMエージェントの登録時に証明書モードを選択すると、エージェント・キー・パスワードを入力するフィールドが表示されます。11g Webgateの登録を編集するときに、モードがオープンから証明書、あるいは簡易から証明書へ変更される場合にのみpassword.xmlが更新されます。証明書モードでは、一度生成されるとpassword.xmlは更新できません。エージェント・キー・パスワードを編集しても、新しいpassword.xmlは生成されません。
前提条件
Webgateエージェント登録の通信モードを更新する手順
「システム構成」タブの「Access Managerの設定」セクションで、「SSOエージェント」ノードを展開して「OAMエージェント」を展開します。
「検索」ページで、検索基準を定義して目的のエージェント登録を開きます(「OAMエージェント登録の検索」を参照してください)。
エージェントの登録ページで「セキュリティ」オプションを探して「証明書」(または「簡易」)をクリックします。
証明書モード: 「Webgateの秘密鍵および証明書リクエストの生成」のステップ5の指定に従いエージェント・キー・パスワードを入力します。
「適用」をクリックして変更を送信します。
更新したWebgateファイルを、次のようにコピーします。
11g Webgate:
コピー元: $IDM_DOMAIN_HOME/output/AGENT_NAME
コピー先: $OHS_INSTANCE_HOME/config/OHS/ohs2/webgate/config
10g Webgate: ObAccessClient.xml
コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME
コピー先: $Webgate_install_dir/oblix/lib
10g Webgate: password.xml
コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME
コピー先: $Webgate_install_dir/oblix/config
「OAMサーバー用の証明書リクエストおよび秘密鍵の生成」時に作成された次のファイルをコピーします。
11g Webgate:
元:
コピー先: OHS_INSTANCE_HOME/config/OHS/ohs2/webgate/config
10g Webgate:
元:
コピー先: $Webgate_install_dir/oblix/config
OAMサーバーおよびOracle HTTP Serverインスタンスを再起動します。
トランスポート・セキュリティ通信モードはOAMのインストール中に選択されます。簡易モードのとき、インストーラは最初にランダムなグローバル・パスフレーズを生成しますが、これは後で必要に応じて編集できます。
OAMエージェントまたは新しいOAMサーバーを登録するときにモードを指定できます。しかし、グローバル・パスフレーズの変更には、簡易モードを使用するすべてのエージェントと新しいグローバル・パスフレーズの再構成が必要です。
エージェントの登録中に、少なくとも1つのOAMサーバー・インスタンスがエージェントと同じモードで実行していることが必要です。それ以外の場合、登録は失敗します。ただし、エージェントの登録後、OAMサーバーの通信モードを変更できます。
|
注意: エージェントとサーバー間の通信は、WebgateモードがOAMサーバー・モードと同じか、またはそれ以上であれば動作します。 |
エージェント・モードは高くても問題ありませんが、低くしないでください。最高レベルのセキュリティは「証明書」モードで、最も低いのは「オープン」モードです。
証明書」モード、「簡易」モード、「オープン」モード
この項では、簡易モード通信の構成に必要な情報を提供します。
タスク概要: OAM 11gの簡易モード通信の構成には次のことが含まれます
次の内容の確認:
簡易モード暗号化の場合、Oracle Access Managerには認証局がその固有の秘密鍵とともに含まれ、すべてのWebgateおよびOAMサーバーにインストールされます。インストール中に、OAMサーバーの秘密鍵-公開鍵のペアが生成され、保存されます。OAMエージェントのインストールでも同様にOracle認証局がインストールされます。
インストーラは最初にランダムなグローバル・パスフレーズを生成しますが、これは必要に応じて編集または表示できます。エージェントがSIMPLE(簡易)モードで登録されていると、次のクライアント証明書が生成され、クライアントにより使用されます。
aaa_key.pem: 秘密鍵が含まれています
aaa_cert.pem: 署名された証明書
password.xml: ランダムなグローバル・パスフレーズが不明瞭化された形式で含まれています
|
注意: グローバル・パスフレーズを変更すると、「簡易」モードですでに構成されているすべてのエージェントの再構成が必要になります。 |
Oracle Access Managerは「簡易」モード用のランダムなグローバル・パスフレーズを、インストール中に生成します。次の手順では、このパスワードを取得する方法を説明します。
「簡易」モード通信用のランダムなグローバル・パスフレーズを取得する手順
Oracle Access Managerコンソールが実行中であることを確認します。
Oracle Access Managerコンソールをホストしているコンピュータで、次のパスにあるWebLogic Scripting Toolを探します。次に例を示します。
$Oracle_IDM/common/bin
ここで、$Oracle_IDMはOracle Access Managerのベース・インストール・ディレクトリで、/common/binはスクリプト・ツールが置かれているパスです。
WebLogic Scripting Toolを起動します。次に、UNIXシステムの例を示します。
./ wlst.sh
WLSTシェルで、接続するコマンドを入力してからリクエスト情報を入力します。次に例を示します。
wls:/offline> connect() Please enter your username [weblogic] : Please enter your password [weblogic] : Please enter your server URL [t3://localhost:7001] : wls:/base_domain/serverConfig>
次のコマンドを入力して、場所を読取り専用のdomainRuntimeツリーに変更します(ヘルプを表示するにはhelp(domainRuntime)を使用します)。次に例を示します。
wls:/OAM_AC>domainRuntime()
次のコマンドを入力して、グローバル・パスフレーズを表示します。次に例を示します。
wls:/OAM_AC> displaySimpleModeGlobalPassphrase()
「簡易モード用Webgate登録の更新」に進みます。
簡易セキュリティ・モード用に生成されたアーティファクトはグローバル・パスフレーズを使用し、変更はWebgateに伝播される必要があります。Webgate登録を削除し、再登録する(簡易モードの指定およびポリシーの自動生成の無効化)か、またはここで説明されているとおり、Webgate登録を編集してからアーティファクトをコピーできます。
簡易モード用Webgate登録を更新する手順
「システム構成」タブの「Access Managerの設定」セクションで、「SSOエージェント」ノードを展開して「OAMエージェント」を展開します。
「検索」ページで、検索基準を定義して目的のエージェント登録を開きます(「OAMエージェント登録の検索」を参照してください)。
登録ページで「セキュリティ」オプションを探して「簡易」をクリックします。
「適用」をクリックして変更を送信します。
更新したWebgateファイルを、次のようにコピーします。
11g Webgate:
コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME (OAM AdminServerがインストールされているWebLogicドメイン・ホーム)
コピー先: $OHS_INSTANCE_HOME/config/OHS/ohs2/webgate/config
10g Webgate: ObAccessClient.xml
コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME
コピー先: $Webgate_install_dir/oblix/lib
10g Webgate: password.xml
コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME
コピー先: $Webgate_install_dir/oblix/config
次のファイルを、Webgateリリースでの指示に従ってコピーします。
11g Webgate:
コピー元: $IDM_DOMAIN_HOME/output/AGENT_NAME
コピー先: $OHS_INSTANCE_HOME/config/OHS/ohs2/webgate/webgate/config/simple
10g Webgate:
コピー元: $IDM_DOMAIN_HOME/output/AGENT_NAME
コピー先: $Webgate_install_dir/oblix/config/simple
OAMサーバーおよびOracle HTTP Serverインスタンスを再起動します。
簡易モードへの変更をインスタンス化するためにWebサーバーを再起動する必要があります。次にその結果を検証できます。
簡易モードの変更を検証する手順
コマンドライン・ウィンドウからWebサーバーを再起動します。次に例を示します。
d:\middleware\ohs_home\instances\ohs_webgate11g\bin opmnctl stopall opmnctl startall
ブラウザ・ウィンドウで、簡易モードを使用してWebgateにより保護されているリソースへのURLを入力します。
求められたら、ログイン資格証明を入力します。
リソースが実行中であることを確認してください。
