この付録では、Oracle HTTP Server 12c WebGate for Oracle Access Managerを構成する手順を説明します。
WebGateはOracle Access Manager (OAM)のWebサーバー・プラグインで、HTTPリクエストを捕捉して、認証と認可を行うためにアクセス・サーバーに転送します。Oracle HTTP Serverをインストールすると、WebGateがインストールされるため、別のインストーラは不要です。
内容は次のとおりです。
Oracle HTTP Server 12c WebGateを構成可能にするには、Oracle Access Managerの次のバージョンの1つをインストールする必要があります。
Oracle HTTP Serverをインストールした後、Oracle HTTP Server 12c WebGate for Oracle Access Managerを構成するために、次の手順を完了する必要があります。
UNIXの場合
次のコマンドを実行して、Oracle_Home
/webgate/ohs/tools/deployWebGate
ディレクトリに移動します。
cd
Oracle_Home
/webgate/ohs/tools/deployWebGate
次のコマンドを実行し、エージェントの必要な部分をOracle_Home
ディレクトリからOHS_Master_Config_Directory
の場所にコピーします。
./deployWebGateInstance.sh -w
OHS_Master_Config_Directory
-oh
Oracle_Home
コマンドの説明は次のとおりです。
Oracle_Home
は、Oracle HTTP Server WebGateをインストールしたディレクトリです。
例:
/home/oracle
OHS_Master_Config_Directory
は、Oracle HTTP Serverの主な構成ファイルが格納されているディレクトリの場所です。
例:
Oracle_Home
/user_projects/domains/base_domain/config/fmwconfig/components/OHS/ohs1
次のコマンドを実行し、LD_LIBRARY_PATH
変数にOracle_Home
/lib
が含まれるようにします。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:
Oracle_Home
/lib
次のディレクトリに移動します。
Oracle_Home
/webgate/ohs/tools/setup/InstallTools
コマンド・ラインで次のコマンドを実行して、Oracle_Home
ディレクトリからOracle HTTP Serverの主な構成ディレクトリにapache_webgate.template
ファイルをコピーし(名前がwebgate.conf
に変更されます)、httpd.conf
ファイルを更新してwebgate.conf
の名前が含まれる1つの行を追加します。
./EditHttpConf -w
OHS_Master_Config_Directory
[-oh
Oracle_Home
] [-o
output_file
]
注意:
|
コマンドの説明は次のとおりです。
Oracle_Home
は、Oracle HTTP Server WebGate for Oracle Access Managerをインストールしたディレクトリです。
例:
/home/oracle
OHS_Master_Config_Directory
は、Oracle HTTP Serverの主な構成ファイルが格納されているディレクトリの場所です。
例:
Oracle_Home
/user_projects/domains/base_domain/config/fmwconfig/components/OHS/ohs1
output_file
は、WebGate構成ファイルの名前で、このツールによって生成されたものです。このオプションを指定しない場合、デフォルトwebgate.conf
ファイルが生成されます。
例:
webgate.conf
Windowsの場合
次のコマンドを実行して、Oracle_Home
\webgate\ohs\tools\deployWebGate
ディレクトリに移動します。
cd
Oracle_Home
/webgate/ohs/tools/deployWebGate
次のコマンドを実行し、エージェントの必要な部分をOracle_Home
ディレクトリからOHS_Master_Config_Directory
の場所にコピーします。
deployWebGateInstance.bat -w
OHS_Master_Config_Directory
-oh
Oracle_Home
コマンドの説明は次のとおりです。
Oracle_Home
は、Oracle HTTP Server WebGateをインストールしたディレクトリです。
例:
\home\oracle
OHS_Master_Config_Directory
は、Oracle HTTP Serverの主な構成ファイルが格納されているディレクトリの場所です。
例:
Oracle_Home
\user_projects\domains\base_domain\config\fmwconfig\components\OHS\ohs1
次のコマンドを実行してPATH
環境変数を設定します。
set %PATH%=%PATH%;
Oracle_Home
\webgate\ohs\lib;
Oracle_Home
\bin
次のディレクトリに移動します。
Oracle_Home
\webgate\ohs\tools\setup\InstallTools
コマンド・ラインで次のコマンドを実行して、Oracle_Home
ディレクトリからOracle HTTP Serverの主な構成ディレクトリにapache_webgate.template
ファイルをコピーし(名前がwebgate.conf
に変更されます)、httpd.conf
ファイルを更新してwebgate.conf
の名前が含まれる1つの行を追加します。
EditHttpConf -w
OHS_Master_Config_Directory
[-oh
Oracle_Home
] [-o
output_file
]
注意:
|
コマンドの説明は次のとおりです。
Oracle_Home
は、Oracle HTTP Server WebGate for Oracle Access Managerをインストールしたディレクトリです。
例:
\home\oracle
OHS_Master_Config_Directory
は、Oracle HTTP Serverの主な構成ファイルが格納されているディレクトリの場所です。
例:
Oracle_Home
\user_projects\domains\base_domain\config\fmwconfig\components\OHS\ohs1
output_file
は、WebGate構成ファイルの名前で、このツールによって生成されたものです。このオプションを指定しない場合、デフォルトwebgate.conf
ファイルが生成されます。
例:
webgate.conf
Oracle HTTP Server 12c WebGate for Oracle Access Managerをインストールし、構成手順を完了した後で、installDATE-TIME_STAMP.out
ログ・ファイルを調べてインストールを確認できます。ログのデフォルトの場所は次のとおりです。
UNIXの場合
Oracle_Home
/oraInst.loc
Windowsの場合
C:\Program Files\Oracle\Inventory\logs
Oracle Access Manager向けに新規のOracle HTTP Server 12c WebGateエージェントを使用する前に、次のタスクを完了する必要があります。
Oracle Access Manager管理コンソールを使用すると、Oracle Access Managerに新規のWebGateエージェントを登録できます。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
もしくは、RREGコマンドライン・ツールを使用して、新規WebGateエージェントを登録できます。このツールは、インバンドとアウトオブバンドという2つのモードで実行するように使用できます。
この章の内容は次のとおりです。
RREGツールを設定するには、次の手順を実行します。
UNIXの場合
Oracle Access Managerをインストールおよび構成した後、次のディレクトリに移動します。
Oracle_IDM2
/oam/server/rreg/client
RREG.tar.gz
ファイルを解凍します。
例:
gunzip RREG.tar.gz
tar -xvf RREG.tar
エージェントを登録するためのツールは次の場所にあります。
RREG_Home
/bin/oamreg.sh
注意:
|
Windowsの場合
Oracle Access Managerをインストールおよび構成した後、次の場所に移動します。
Oracle_IDM2
\oam\server\rreg\client
RREG.tar.zip
ファイルの内容を、選択した展開先に展開します。
エージェントを登録するためのツールは次の場所にあります。
RREG_Home
\bin\oamreg.bat
注意:
|
UNIXではoamreg.sh
スクリプト、Windowsではoamreg.bat
スクリプトにある、次の環境変数を設定します。
OAM_REG_HOME
この変数を、RREG.tar/rreg
の内容を展開したディレクトリへの絶対パスに設定します。
JDK_HOME
この変数を、JavaまたはJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。
RREG_Home
\input
ディレクトリ内(Windowsの場合)のOAM11GRequest.xml
ファイルで、agentName
などのエージェント・パラメータを更新する必要があります。UNIXでは、このファイルはRREG_Home
/input
ディレクトリ内にあります。
注意:
|
OAM11GRequest.xml
ファイルまたはOAM11GRequest_short.xml
ファイル内の次の必須パラメータの値を変更します。
serverAddress
OAM管理サーバーのホストとポートを指定します。
agentName
エージェントのカスタム名を指定します。
agentBaseUrl
Oracle HTTP Server 12c WebGateがインストールされているマシンの、ホストとポートを指定します。
preferredHost
Oracle HTTP Server 12c WebGateがインストールされているマシンの、ホストとポートを指定します。
security
インストールされているWebGateに基づいて、open
などのセキュリティ・モードを指定します。
primaryServerList
Server
コンテナ要素の下にある、Oracle Access Managerプロキシに対する管理対象サーバーのホストとポートを指定します。
このファイルは、変更後に保存して閉じます。
OAM11GRequest.xml
ファイルのWebGateパラメータを更新した後、RREGツールを一度実行すると、WebGateが必要とするファイルおよびアーティファクトは、次のディレクトリに生成されます。
UNIXの場合:
RREG_Home
/output/
agent_name
Windowsの場合:
RREG_Home
\output\
agent_name
注意: RREGは、クライアント・マシンとサーバーのいずれでも実行できます。サーバーで実行する場合、アーティファクトを元のクライアントに手動でコピーする必要があります。 |
手順は次のとおりです。
OAM11GRequest.xml
ファイルを開きます。このファイルは、UNIXではRREG_Home
/input/
、WindowsではRREG_Home
\input
にあります。RREG_Home
は、RREG.tar.gz/rreg
の内容を展開したディレクトリです。
このXMLファイルを編集して、新規のOracle HTTP Server WebGate for Oracle Access Managerのパラメータを指定します。
次のコマンドを実行します。
UNIXの場合:
./
RREG_Home
/bin/oamreg.sh inband input/OAM11GRequest.xml
Windowsの場合:
RREG_Home
\bin\oamreg.bat inband input\OAM11GRequest.xml
サーバーにアクセスできないエンド・ユーザーの場合、更新したOAM11GRequest.xml
ファイルをシステム管理者に電子メールで送信し、アウトオブバンド・モードでRREGを実行してもらうことが可能です。生成されたAgentID
_Response.xml
ファイルをシステム管理者から受領し、このファイルに対してRREGを実行し、必要なWebGateファイルおよびアーティファクトを取得できます。
生成されたAgentID
_Response.xml
ファイルを管理者から受領した後、このファイルを手動でマシン上のinput
ディレクトリにコピーする必要があります。
UNIXの場合
手順は次のとおりです。
サーバーにアクセスできないエンド・ユーザーの場合は、OAM11GRequest.xml
ファイルを開きます。このファイルは、RREG_Home
/input/
にあります。
RREG_Home
は、RREG.tar.gz/rreg
の内容を展開したディレクトリです。このXMLファイルを編集して、新規のOracle HTTP Server WebGate for Oracle Access Managerのパラメータを指定します。更新したファイルをシステム管理者に送信します。
管理者は、更新されたOAM11GRequest.xml
ファイルをコピーします。このファイルは、RREG_Home
/input/
ディレクトリにあります。
これは、エンド・ユーザーから受信したファイルです。管理者のRREG_Home
ディレクトリに移動し、次のコマンドを実行します。
./
RREG_Home
/bin/oamreg.sh outofband input/OAM11GRequest.xml
Agent_ID
_Response.xml
ファイルが管理者のマシンのoutput
ディレクトリ(RREG_Home
/output/
ディレクトリ)に生成されます。更新済のOAM11GRequest.xml
ファイルを最初に管理者に送信したエンド・ユーザーに、このファイルを送信します。
エンド・ユーザーは、生成されたAgent_ID
_Response.xml
ファイルをコピーします。このファイルは、RREG_Home
/input/
にあります。
これは、管理者から受信したファイルです。クライアントのRREGホーム・ディレクトリに移動し、コマンドラインで次のコマンドを実行します。
./
RREG_Home
/bin/oamreg.sh outofband input/
Agent_ID
_Response.xml
注意: Oracle Fusion Middleware Oracle Access Manager管理者ガイドのコンソールを使用したOAMエージェントの登録に関する項で説明されているように、Oracle Access Manager管理コンソールを使用してWebGateエージェントを登録すると、登録後に生成されたファイルおよびアーティファクトを、サーバー(Oracle Access Manager管理コンソールが実行されているマシン)からクライアント・マシンに手動でコピーする必要があります。ファイルおよびアーティファクトは |
Windowsの場合
手順は次のとおりです。
サーバーにアクセスできないエンド・ユーザーの場合は、OAM11GRequest.xml
ファイルを開きます。このファイルは、RREG_Home
\input\
ディレクトリにあります。
RREG_Home
は、RREG.tar.gz/rreg
の内容を展開したディレクトリです。このXMLファイルを編集して、新規のOracle HTTP Server WebGate for Oracle Access Managerのパラメータを指定し、更新されたファイルをシステム管理者に送信します。
管理者は、更新されたOAM11GRequest.xml
ファイルをコピーします。このファイルは、RREG_Home
\input\
にあります。これは、エンド・ユーザーから受信したファイルです。管理者のRREG_Home
ディレクトリに移動し、次のコマンドを実行します。
RREG_Home
\bin\oamreg.bat outofband input\OAM11GRequest.xml
Agent_ID
_Response.xml
ファイルが管理者のマシンのRREG_Home\
output\
ディレクトリに生成されます。更新済のOAM11GRequest.xml
ファイルを最初に管理者に送信したエンド・ユーザーに、このファイルを送信します。
エンド・ユーザーは、生成されたAgent_ID
_Response.xml
ファイルをコピーします。このファイルは、RREG_Home
/input/
にあります。これは、管理者から受信したファイルです。クライアントのRREGホーム・ディレクトリに移動し、次のコマンドを実行します。
RREG_Home
\bin\oamreg.bat outofband input\
Agent_ID
_Response.xml
注意: Oracle Fusion Middleware Oracle Access Manager管理者ガイドのコンソールを使用したOAMエージェントの登録に関する項で説明されているように、Oracle Access Manager管理コンソールを使用してWebGateエージェントを登録すると、登録後に生成されたファイルおよびアーティファクトを、サーバー(Oracle Access Manager管理コンソールが実行されているマシン)からクライアント・マシンに手動でコピーする必要があります。ファイルおよびアーティファクトは |
新規WebGateエージェントの登録に使用する方法またはモードに関係なく、次のファイルおよびアーティファクトがRREG_Home
/output/
Agent_ID
ディレクトリに生成されます。
cwallet.sso
ObAccessClient.xml
SIMPLEモードの場合、RREGによって次のものが生成されます。
password.xml
。SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと同じものを使用できます。
aaa_key.pem
aaa_cert.pem
CERTモードの場合、RREGによってpassword.xml
が生成されます。これには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
注意: RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存の |
RREGがこれらのファイルおよびアーティファクトを生成した後、使用しているセキュリティ・モードに基づき、手動でこれらをRREG_Home
/output/
Agent_ID
ディレクトリからOHS_Master_Config_Directory
ディレクトリにコピーする必要があります。
使用しているセキュリティ・モードに従って、次の操作を行います。
OPENモードの場合、次のファイルをRREG_Home
/output/
Agent_ID
ディレクトリからOHS_Master_Config_Directory
/webgate/config
ディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
SIMPLEモードの場合、次のファイルをRREG_Home
/output/
Agent_ID
ディレクトリからOHS_Master_Config_Directory
/webgate/config
ディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
password.xml
また、次のファイルをRREG_Home
/output/
Agent_ID
ディレクトリからOHS_Master_Config_Directory
/webgate/config/simple
ディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
CERTモードの場合、次のファイルをRREG_Home
/output/
Agent_ID
ディレクトリからOHS_Master_Config_Directory
/webgate/config
ディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
password.xml
新規証明書の生成
次の手順で、新規証明書を生成します。
Oracle_Home
/webgate/ohs/tools/openssl
ディレクトリに移動します。
次のようにして、証明書リクエストを作成します。
./openssl req -utf8 -new -nodes -config openssl_silent_ohs11g.cnf -keyout aaa_key.pem -out aaa_req.pem -rand
Oracle_Home
/webgate/ohs/config/random-seed
次のようにして、証明書を自己署名します。
./openssl ca -config openssl_silent_ohs11g.cnf -policy policy_anything -batch -out aaa_cert.pem -infiles aaa_req.pem
次の生成された証明書をOHS_Master_Config_Directory
/webgate/config
ディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
simpleCA
ディレクトリ内のcacert.pem
注意:
|
既存の証明書の移行
既存の証明書(aaa_key.pem、aaa_cert.pem
およびaaa_chain.pem
)を移行する場合、aaa_key.pem
を暗号化する際に使用したものと同じパスフレーズを使用してください。同じパスフレーズをRREG登録処理中に入力する必要があります。同じパスフレーズを使用しないと、RREGによって生成されたpassword.xml
ファイルが、鍵の暗号化に使用されたパスフレーズと一致しません。
同じパスフレーズを入力したら、これらの証明書を次のようにコピーできます。
OHS_Master_Config_Directory
/webgate/config
ディレクトリに移動します。
次の証明書をOHS_Master_Config_Directory
/webgate/config
ディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
aaa_chain.pem
Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle HTTP Serverの管理』のWLSTを使用してOracle HTTP Serverインスタンスを再起動することについての説明を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、『Oracle HTTP Serverの管理』のFusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することに関する項を参照してください。