| Oracle® Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド 11gリリース2 (11.1.2.1.0) B72797-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド 11gリリース2 (11.1.2.1.0) B72797-01 |
|
前 |
次 |
『Oracle Fusion Middleware Administrator's Guide for Oracle Privileged Account Manager』に含まれる概念および手順の説明のほとんどは、WebLogicとWebSphereの両方の環境にも当てはまります。
この章では、IBM WebSphereでOracle Privileged Account Managerを使用する場合にのみ関係する情報を提供します。
内容は次のとおりです。
Oracle Privileged Account ManagerのOracle Fusion Middlewareへのデプロイ方法の相違
IBM WebSphereでのOracle Privileged Account Managerサーバーの追加と管理の相違
IBM WebSphereでのOracle Privileged Account Managerの拡張構成タスクの実行の相違
Oracle Privileged Account Managerコマンドライン・ツールおよびIBM WebSphereのRESTインタフェースの使用時の違い
IBM WebSphereでOracle Privileged Account Managerを使用する際の制限事項と既知の問題
ここでは、Oracle Privileged Account ManagerがOracle Fusion Middleware内でIBM WebSphere上にデプロイされる方法の相違について説明します。
図11-1にWebSphereのセル構成を示します。
この図からわかるように、セル構成には2つのプロファイルが含まれています。
デプロイメント・マネージャ・プロファイル: このプロファイルには、デプロイメント・マネージャ・サーバーが実行されているAdmin Nodeが含まれています。
AppServerプロファイル: このプロファイルには、次のサーバーが実行されているAppServer Nodeが含まれています。
OracleAdminServer: Oracle Privileged Account ManagerコンソールをホストするOracle Identity Navigatorアプリケーションは、このサーバーにデプロイされます。選択される認可モードは、必要に応じてformまたはclient-certのどちらかです。
IBM WebSphereには組込みLDAPサーバーがないため、外部LDAPサーバーを構成して、ユーザーやグループのアイデンティティ・ストアとして機能させる必要があります。
Oracle Privileged Account Managerの管理対象サーバー: このサーバーには2つのOracle Privileged Account Managerアプリケーションがデプロイされます。ひとつは、基本認証モードを使用するアプリケーションで、Oracle Privileged Account Managerコマンドライン・ツールに必要となります。もうひとつは、client-cert認証モードを使用するアプリケーションで、Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーと通信する際に使用します。
このサーバーは、データ・ソースがOracle Privileged Account Managerデータベース・ストア用にターゲット設定され、ICFコネクタが構成されているWebLogic Managed Serverとよく似ています。
ここでは、IBM WebSphere環境でのOracle Privileged Account Managerの管理の準備について説明します。
内容は次のとおりです。
11g リリース2をIBM WebSphereにインストールしたら、このリリースのOracle Privileged Account Managerに対応している次のデフォルト・ポートを確認しておくことをお薦めします。
表11-1 デフォルト・ポート
| ポート・タイプ | デフォルト・ポート | 説明 |
|---|---|---|
|
Oracle Privileged Account Manager |
18102 |
Oracle Privileged Account Managerアプリケーション・サーバー( shiphome (購入時の環境など)には、Oracle Privileged Account Managerに関連する次の2つのWebSphereサーバーがあります。
|
|
OracleAdminServer |
9002 |
OracleAdminServerアプリケーション・サーバー(Oracle Identity NavigatorおよびOracle Privileged Account Managerコンソールのデプロイ先)のデフォルトのSSL非対応ポート。 |
|
OracleAdminServerによるSSLへの応答 |
9003 |
OracleAdminServerアプリケーション・サーバー(Oracle Identity NavigatorおよびOracle Privileged Account Managerコンソールのデプロイ先)のデフォルトのSSL対応ポート。 |
ここでは、Oracle Privileged Account ManagerコンソールをIBM WebSphereで使用する前に実行する必要があるタスクについて説明します。
内容は次のとおりです。
Oracle Privileged Account Managerを開始する前に、次の手順を実行してください。
Oracle Privileged Account Managerのアイデンティティ・ストアのシード処理
アイデンティティ・ストアのシード処理は必須のタスクです。必要なOracle Privileged Account Managerユーザーおよびグループを使用したアイデンティティ・ストアのシード処理の詳細は、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のアイデンティティ・ストアの準備に関する項を参照してください。
Oracle Privileged Account ManagerをIBM WebSphereで構成するには、デプロイメント・マネージャが実行されているマシンから次の手順を実行してください。
コマンド・ウィンドウで次を設定します。
UNIXの場合:
setenv WAS_HOME setenv ORACLE_HOME setenv DMGR_CELL_HOME
Windowsの場合:
set WAS_HOME set ORACLE_HOME set DMGR_CELL_HOME
|
注意:
$WAS_HOME/profiles/<DMGR Profile Name>/config/cells/<Cell Name> |
$ORACLE_HOME/opam/binディレクトリに移動し、opam-was_config.shスクリプト(UNIXの場合)またはopam-was_config.batスクリプト(Windowsの場合)を実行します。
プロンプトが表示されたら、次の情報を入力します。
デプロイメント・マネージャのホスト名
デプロイメント・マネージャのSOAPコネクタ・ポート
デプロイメント・マネージャのブートストラップ・アドレス・ポート
WebSphere管理ユーザー名
WebSphere管理パスワード
|
注意: ポートの値はこのファイル内にあります。 $WAS_HOME/profiles/<Dmgr profile>/properties/portdef.props |
opam-was_config.shスクリプト(UNIXの場合)または
opam-was_config.bat
デプロイメント・マネージャの停止
IBM WebSphereのホームで次のディレクトリに移動してデプロイメント・マネージャを停止し、次のコマンドを入力します。
UNIXの場合:
profiles/dmgr_profileName/bin/stopManager.sh
Windowsの場合:
profiles\dmgr_profileName\bin\stopManager.bat
たとえば、UNIXオペレーティング・システムでは次のようになります。
/disk01/IBM/WebSphere/AppServer/profiles/Dmgr01/bin/stopManager.sh
|
注意:
WAS_HOME/bin/stopManager.sh -profileName dmgr_profileName |
サーバーの起動
ノードおよびIBM WebSphereデプロイメント・マネージャを停止したら、第2.10項「タスク10: IBM WebSphereサーバーの起動」の説明に従ってデプロイメント・マネージャ、ノードおよびサーバーを起動できます。
|
注意: 他のサーバーを起動するために最後の手順を実行するときは、Oracle Privileged Account Managerサーバー名としてopam_server1を使用するようにしてください。 |
サーバーの起動後
第2.7項「タスク7: オプション: Oracle Privileged Account Managerデータ・ストアでのTDEの有効化(Oracle Privileged Account Managerユーザーのみ)」の説明に従って透過的データ暗号化(TDE)モードを有効にしている場合は、IBM WebSphereでのOracle Privileged Account Managerのインストールおよび構成は完了です。必要な手順はこれで終わりです。Oracle Privileged Account Managerの機能を確認できます。
TDEモードを使用しない場合は、非TDEモードをセットアップするための手順を行う必要があります。第11.2.2.3項「非TDEモードのセットアップ」の手順に従ってください。
|
注意: Oracle Privileged Account ManagerはOracle Database TDE(透過的データ暗号化)モードで操作できます。セキュリティ強化のために、TDEモードを有効にしておくことを強くお薦めします。 |
TDEモードを無効化する場合は、フラグtdemodeをfalseに設定する必要があります。
|
注意: ここで説明する手順は、第2.7項「タスク7: オプション: Oracle Privileged Account Managerデータ・ストアでのTDEの有効化(Oracle Privileged Account Managerユーザーのみ)」を行わなかった場合にのみ必要になります。 |
TDEモードを無効化するには次の手順を実行します。
環境変数ORACLE_HOMEおよびJAVA_HOMEを設定します。
次のスクリプトを実行します。
UNIXの場合:
ORACLE_HOME/opam/bin/opam.sh -urlOPAM_Server_Url-x modifyglobalconfig
-propertyname tdemode -propertyvalue false -u-p
OPAM_APPLICATION_CONFIGURATOR_USERPassword
OPAM_Server_URLは次の形式です。
https://OPAM_Managed_Server_Hostname:OPAM_Managed_Server_SSL_port/opam-basic
Windowsの場合:
ORACLE_HOME\opam\bin\opam.bat -urlOPAM_Server_URL-x modifyglobalconfig
-propertyname tdemode -propertyvalue false -u-p
OPAM_APPLICATION_CONFIGURATOR_USERPassword
OPAM_Server_URLは次の形式です。
https://OPAM_Managed_Server_Hostname:OPAM_Managed_Server_SSL_port/opam-basic
|
注意: TDEモードは、Oracle Privileged Account Managerのインストールおよび構成の完了後いつでも有効または無効にできます。あとからTDEモードを変更する方法の詳細は、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のディスク上のデータの保護に関する項を参照してください。 |
スクリプトの実行が終わったら、IBM WebSphereでのOracle Privileged Account Managerのインストールおよび構成は完了です。必要な手順はこれで終わりです。Oracle Privileged Account Managerの機能を確認できます。
ここではIBM WebSphereでのOracle Privileged Account Managerの認可について説明します。
『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』の「管理ロールのタイプ」セクションのほとんどの説明は、WebLogicとWebSphereのどちらの環境にも当てはまります。ただし、次の情報は、WebSphere環境のブートストラップ・ユーザーを理解する際にのみ必要になります。
インストール後、デフォルトの管理者はwasadminユーザー(ブートストラップ・ユーザーとも言います)で、このユーザーはAdministratorsグループのメンバーです。『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』の表2-1に従ってユーザーを作成し、Oracle Privileged Account Managerの管理ロールに割り当てるには、wasadminユーザーを使用する必要があります。その後、これらのユーザーは、この表に説明されている管理タスクを実行できます。
|
注意: デフォルトの管理者はこれらすべてのロールを自分自身に割り当てることができますが、一般的ではありません。 |
インストール後、wasadminユーザーをブートストラップ・ユーザーとして使用して、ユーザーをドメイン・アイデンティティ・ストアから表2-1に示されているOracle Privileged Account Managerの共通管理者ロールにマップできます。セキュリティ管理者ロールにマップされたユーザーは、他のユーザーに共通管理者ロールを割り当てることができ、後から現在の環境のwasadminユーザーを置き換えることができます。最初のユーザー・マッピングが完了した後、セキュリティ管理者ロールを、ドメイン・アイデンティティ・ストアに定義されている1人以上の管理者ユーザーにマップすることで、デフォルトの管理者ユーザーを置き換えます。
『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のOracle Privileged Account Manager Serverの追加および管理に関する章では、Oracle Privileged Account Managerサーバーの構成をはじめる前に、表4-1「参考資料」に記載のOracleの書籍を参照することを薦めています。
Oracle Privileged Account ManagerサーバーをIBM WebSphereに追加し、管理する場合、次の内容の詳細は、第9.1項「IBM WebSphereアイデンティティ・ストア」を参照してください。
IBM WebSphereの概念および用語
Oracle WebLogic Serverでのデフォルトの認証プロバイダの作成
Oracle WebLogic ServerでのOVD認証プロバイダの構成
ここでは、IBM WebSphereでのOracle Privileged Account Managerの監査およびロギングの構成について説明します。
内容は次のとおりです。
IBM WebSphereサーバーでのファイル・ベース監査またはデータベース・ベース監査を構成する手順は、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のOracle Privileged Account Managerでの監査の構成の項の説明と基本的には同じですが、次のような例外があります。
ファイル・ベース監査とデータベース・ベース監査のどちらも、アプリケーション・サーバー・シェルの起動を求められたときは、WLSTではなくWSAdminを起動する必要があります。
WebSphereはAudit.で始まるコマンドを実行します。WLST監査コマンド(getAuditPolicy、setAuditPolicy、getAuditRepositoryまたはsetAuditRepository)を使用するための手順を実行するときは、コマンド名の前にAudit.を付けるようにする必要があります。
たとえば、WebSphereのAudit.getAuditPolicy()はWebLogicのgetAuditPolicy()と同じです。
|
注意: これらの手順の実行の詳細は、第8.2項「IBM WebSphereでのOAAMのレポートおよび監査の設定」を参照してください。Oracle Privileged Account Managerとほぼ同じ手順です。 |
IBM WebSphereサーバーでOracle Privileged Account Managerのロギングを構成する手順は、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』の基本ロギングの構成に関する項と基本的に同じですが、次の点に注意が必要です。
WLSTを実行してコマンドを実行するのではなく、まずWSAdminシェルに入る必要があります。詳細は、次のWebサイトを参照してください。
ただし、デフォルトのIBMバージョンのWSAdminではなく、OracleバージョンのWSAdminを起動してOracleコマンドのサポートを取得します。OracleバージョンのWSAdminは次の場所から起動できます。
IAM_HOME/common/bin
WLSTコマンドを起動するには、各コマンドの前にOracleODLを付ける必要があります。たとえば、次のようなディレクトリです。
getLogLevelコマンドをWLSTで使用するには、次を実行する必要があります。
getLogLevel(logger="oracle.idm.opam")
このコマンドをWebSphereで使用するには、次を実行する必要があります。
OracleODL.getLogLevel(logger="oracle.idm.opam")
Oracle Privileged Account Managerのロガー(oracle.idm.opamなど)によって生成されたログ・メッセージは、次の場所に格納されます。
$WAS_HOME/profiles/[ProfileName]/[ServerName]/logs/[AppServerName]/
[AppServerName]-diagnostic.log
ここでは、IBM WebSphereでOracle Privileged Account Managerの次の拡張構成タスクを実施する際の相違を説明します。
SSLを介してターゲット・システムと安全に通信するには、Oracle Privileged Account Managerを実行しているIBM WebSphereインスタンスが、ターゲット・システムで使用されているSSL証明書を信頼する必要があります(Oracle Privileged Account Managerは実行されているIBM WebSphereコンテナからそのSSL構成を継承するため)。Oracle Privileged Account Managerを実行しているIBM WebSphereインスタンス(およびOracle Privileged Account Manager)にターゲット・システムのSSL証明書を信頼させるには、IBM WebSphereインスタンスで使用されているトラストストアに証明書をインポートする必要があります。
ターゲット・システムとOracle Privileged Account Manager間のSSL通信を有効にするには、次の手順を使用します。
ターゲット・システムのホスト・コンピュータからSSL証明書をエクスポートします。
|
注意: SSL証明書をエクスポートする手順は、ターゲット・システムのタイプごとに異なります。手順の詳細は、使用しているターゲット・システムの製品ドキュメントを参照してください。 |
Oracle Privileged Account Managerを実行しているIBM WebSphereインスタンスが存在するマシンに証明書をコピーします。
Oracle Privileged Account Manager/Oracle Identity NavigatorコンソールとOracle Privileged Account Managerサーバーが異なるマシン上で実行されている場合、SSL証明書はOracle Privileged Account Managerサーバーのマシンにコピーする必要があります。
IBM WebSphereセルのトラストストアに証明書をインポートするには
IBM WebSphereコンソールにログインします。
「Security」→「SSL certificate and key management」→「Key stores and certificates」→「CellDefaultTrustStore」→「Signer certificates」→「Add」を選択します。
「Add」画面で「Alias」 フィールドにホスト名を入力します。
「Data Type」を次のように指定します。
| エクスポートした証明書 | 選択 |
|---|---|
|
BASE64でエンコードされた形式 |
Base 64 encoded ASCII Data |
|
バイナリ形式 |
Binary DER data |
IBM WebSphereが実行されているローカル・ファイル・システム上にインポートする証明書ファイルの位置を特定します。フル・パスおよびファイル名を「File Name」フィールドに入力します。
ファイルをインポートし、正しくインポートされていることを確認します。
|
注意: IBM WebSphereでのOracle Fusion Middlewareセキュリティの管理の詳細は、第11章「IBM WebSphereでのOracle Privileged Account Managerの管理」を参照してください。 より一般的な内容および概念は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。 |
初期インストール後、IBM WebSphere上のOracle Privileged Account ManagerのOracle Database透過的データ暗号化(TDE)モードを有効化または無効化する手順は、 『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のディスク上のデータの保護に関する項の説明とほとんど同じです。
唯一異なる点は、TDEモードの有効化に関する項とTDEモードの無効化に関する項の両方で、OPAM_Server_Urlを次の形式にする必要があることです。
https://OPAM_Managed_Server_Hostname:OPAM_Managed_Server_SSL_port/
opam-basic
Oracle Privileged Account ManagerをOracle Identity Managementと統合するように構成している場合、CA証明書を取得し、インポートする際の手順が、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のCA証明書の追加の説明とは少々異なります。
CA証明書を取得する際の違い
最初の手順でOPAMサーバーWebサービスに接続するよう指示されたときは、次のアドレスに接続する必要があります。
https://opamhost:opamSSLport/opam-basic
CA証明書をインポートする際の違い
IBM WebSphereトラストストアにCA証明書をインポートするには、次の手順に従います。
IBM WebSphereコンソールにログインします。
「Security」→「SSL certificate and key management」→「Key stores and certificates」→「CellDefaultTrustStore」→「Signer certificates」→「Add」を選択します。
「Add」画面で、Oracle Privileged Account Managerサーバーのホスト名を「Alias」フィールドに入力します。
Oracle Privileged Account ManagerサーバーのCA証明書(.pem)ファイルはBASE64でエンコードされた形式でエクスポートされているため、「Base 64 encoded ASCII Data」データ型を選択します。
IBM WebSphereが実行されているローカル・ファイル・システムでOracle Privileged Account ManagerサーバーCA証明書(.pem)ファイルの位置を特定します。フル・パスおよびファイル名を「File Name」フィールドに入力します。
.pemファイルをmaster configurationに保存します。
IBM WebSphereでOracle Privileged Account Managerコマンドライン・ツールまたはRESTインタフェースを使用する場合は、次の相違に注意が必要です。
Oracle Privileged Account ManagerのターゲットURLは次のとおりです。
https://opamhost:opamSSLport/opam-basic
このような違いがあるのは、コマンドライン・ツールおよびRESTインタフェースのみです。Oracle Privileged Account ManagerコンソールでOracle Privileged Account Managerサーバーを追加するときは、IBM WebSphereとWebLogicの両方に同じURLを使用します。
OracleAdminServer (OPAMコンソールが実行される場所)のデフォルト・ポートは9002です。Oracle Privileged Account Manager管理対象サーバーのポート(18102)はIBM WebSphereでもWebLogicでも同じです。
ここでは、IBM WebSphereでOracle Privileged Account Managerの今回のリリースを使用するにあたっての制限事項または既知の問題を説明します。
IBM WebSphereでのOracle Privileged Account Managerの今リリースの使用にあたり、制限事項はありません。
ここでは、IBM WebSphereでOracle Privileged Account Managerを使用するうえでの既知の問題を説明します。
