SSODiagを使用したKerberos環境のテスト

サブトピック

SSODiagは、Kerberos環境でWebLogic ServerがEPM Systemをサポートする準備が整っているかをテストする診断Webアプリケーションです。

SSODiagの配置

Foundation Servicesの配置時に指定したWebLogic Server管理者のログイン情報(デフォルトのユーザー名はepm_admin)を使用して、SSODiagを配置します。

  SSODiagを配置して構成するには:

  1. EPM Systemドメインに対するWebLogic Server管理コンソールにログオンします。

  2. チェンジ・センターで、「ロックして編集」をクリックします。

  3. 「ドメイン構造」の「EPMSystem」から、「デプロイメント」をクリックします。

  4. 「デプロイメント」の「サマリー」で、「インストール」をクリックします。

  5. 「パス」で、EPM_ORACLE_HOME/products/Foundation/AppServer/InstallableApps/common/SSODiag.warを選択します。

  6. 「次へ」をクリックします。

  7. 「ターゲット指定スタイルの選択」で、「このデプロイメントをアプリケーションとしてインストールする」が選択されていることを確認し、「次へ」をクリックします。

    SSODiagの配置: ターゲット・スタイルの選択

  8. 「デプロイ・ターゲットの選択」で、次を選択し、「次へ」をクリックします。

    • 「EPMServer」

    • 「クラスタのすべてのサーバー」

      SSODiagの配置: ターゲットの選択

  9. 「オプション設定」で、「カスタム・ロールおよびポリシー: 管理コンソール内に定義されたロールとポリシーのみを使用します。」をセキュリティ・モデルとして選択します。

    SSODiagの配置: セキュリティの選択

  10. 「次へ」をクリックします。

  11. 確認画面で、「いいえ、後で構成を確認します。」を選択します。

  12. 「終了」をクリックします。

  13. チェンジ・センターで、「変更のアクティブ化」を選択します。

SSODiag用のOracle HTTP Serverの構成

mod_wl_ohs.confを更新して、SSODiag URL要求をWebLogic Serverに転送するようOracle HTTP Serverを構成します。

  Oracle HTTP ServerでURL転送を構成するには:

  1. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/mod_wl_ohs.confを開きます。

  2. SSODiagのLocationMatch定義を追加します:

                <LocationMatch /SSODiag/>
    SetHandler weblogic-handler
    WeblogicCluster myServer:28080
</LocationMatch>

    前述の例で、myServerはFoundation Servicesホスト・マシンを表し、28080はShared Servicesが要求をリスニングするポートを表します。

  3. mod_wl_ohs.confを保存して閉じます。

  4. Oracle HTTP Serverを再起動します。

SSODiag用のポリシーの作成

WebLogic Server管理コンソールでポリシーを作成し、次のSSODiag URLを保護します。

      http://
      OHS_HOST_NAME
      :
      PORT
      /SSODiag/krbssodiag

この例では、OHS_HOST_NAMEはOracle HTTP Serverをホストするサーバーの名前を表し、PORTはOracle HTTP Serverが要求をリスニングするポートを表します。

  SSODiagを保護するポリシーを作成するには:

  1. WebLogic Server管理コンソールのチェンジ・センターで、EPM Systemに対して「ロックして編集」を選択します。

  2. 「デプロイメント」、「SSODiag」、「ロール」、「ポリシー」の順に選択します。

  3. 次のURLパターンを作成します:

    • /

    • /index.jsp

  4. 作成した各URLパターンを変更します:

    1. 「スタンドアロンWebアプリケーションのURLパターン」のURLパターンのリストから、作成したパターン(/)をクリックして開きます。

    2. 「条件の追加」を選択します。

    3. 「述部リスト」から「ユーザー」を選択します。

    4. 「次へ」を選択します。

    5. 「ユーザー引数名」で、アカウントがKerberos認証用に構成されているクライアント・デスクトップへのアクセスに使用されるActive Directoryユーザー(krbuser1など)を入力し、「追加」を選択します。

    6. 「終了」を選択します。

  5. 「保存」を選択します。

SSODiagを使用したKerberos認証用のWebLogic Server構成のテスト

Kerberos認証用のWebLogic Server構成が正しく機能する場合、Oracle Hyperion Kerberos SSO診断ユーティリティV 1.0に次のメッセージが表示されます:

      Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved... 
      SOME_USER_NAME

注意

SSODiagがKerberosプリンシパル名を取得できない場合、Kerberos認証用にEPM Systemコンポーネントを構成しないでください。

  Kerberos認証用のWebLogic Server構成をテストするには:

  1. Foundation ServicesとOracle HTTP Serverを起動します。

  2. WebLogic Server管理コンソールを使用して、すべての要求を処理するSSODiag Webアプリケーションを起動します。

  3. 有効なActive Directoryログイン情報を使用して、Kerberos認証用に構成されているクライアント・マシンにログオンします。

  4. ブラウザを使用して、次のSSODiag URLに接続します:

                http://
            OHS_HOST_NAME
            :
            PORT
            /SSODiag/krbssodiag

    この例では、OHS_HOST_NAMEはOracle HTTP Serverをホストするサーバーの名前を表し、PORTはOracle HTTP Serverが要求をリスニングするポートを表します。

    Kerberos認証が適切に機能する場合、SSODiagは次の情報を表示します:

                Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved... 
            SOME_USER_NAME

    Kerberos認証が適切に機能しない場合、SSODiagは次の情報を表示します:

                Retrieving Kerberos User principal name... failed.