| Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド 11g リリース1(11.1.1) B55922-08 |
|
 前 |
 次 |
この章では、Oracle Virtual Directoryリスナーの作成方法について説明します。この章の内容は次のとおりです。
Oracle Virtual Directoryは、リスナーと呼ばれる接続を介してクライアントにサービスを提供します。Oracle Virtual Directoryでは次の2つのタイプのリスナーがサポートされています。
LDAP: LDAPv2/v3ベースのサービスを提供
HTTP: DSMLv2などの1つ以上のサービス、またはXSLT対応のWebゲートウェイにより提供される基本的なホワイト・ページ機能を提供
Oracle Virtual Directoryの構成では、任意の数のリスナーを設定できます。また、リスナーを設定しないことにより、アクセスを管理ゲートウェイのみに制限することもできます。ほとんどのOracle Virtual Directoryのデプロイでは、2つのHTTPリスナーと2つのLDAPリスナーが必要になります。この場合、各プロトコルで一方のリスナーがSSL、もう一方が非SSLに使用されます。
|
注意: Oracle Virtual Directoryサーバーにリスナー構成をロードするには、Oracle Virtual Directoryを再起動ではなく、明示的に停止して起動する必要があります。これが該当するのは、リスナーの作成、更新または削除後です。 |
Oracle Virtual Directoryには、デフォルトで、管理ゲートウェイと呼ばれるHTTPリスナーと、LDAP SSLエンドポイントと呼ばれるLDAPリスナーの2つのリスナーが含まれています。
管理ゲートウェイ
管理ゲートウェイと呼ばれるHTTPリスナーは、Oracle Virtual Directoryサーバーが、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlのユーザー・インタフェースとの通信に使用するインタフェースです。管理ゲートウェイ・リスナーを無効化すると、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlのユーザー・インタフェースを使用してOracle Virtual Directoryと通信できません。Oracle Virtual Directoryの管理リスナー設定の編集の詳細は、「Oracle Virtual Directoryの管理リスナー設定の編集」を参照してください。
LDAP SSLエンドポイント
LDAP SSLエンドポイントと呼ばれるLDAPリスナーは、Oracle Virtual DirectoryがOracle Enterprise Manager Fusion Middleware Controlのパフォーマンス・メトリックを提供するために使用するインタフェースです。LDAP SSLエンドポイントは、常に有効化し、SSLサーバー認証を使用して保護する必要があります。LDAP SSLエンドポイントは、削除または無効化しないでください。異なるSSLモードを使用して保護されているLDAPリスナーが必要な場合は、Oracle Enterprise Manager Fusion Middleware Controlを使用して新しいリスナーを作成してください。
デフォルト・リスナー(管理ゲートウェイおよびLDAP SSLエンドポイント)の次のいずれかの設定を編集すると、Oracle Virtual DirectoryとOracle Enterprise Manager Fusion Middleware Control間の通信は中断されます。
リスナー・ホスト
リスナー・ポート
SSLの有効化/無効化
デフォルト・リスナーのこれらの設定を編集する場合は、Oracle Virtual DirectoryとOracle Enterprise Manager Fusion Middleware Controlが通信できるように、Oracle Enterprise Manager Fusion Middleware Controlのターゲットの検出情報を更新する必要があります。
Oracle Enterprise Manager Fusion Middleware Controlのターゲットの検出情報を更新するには、次の手順を実行します。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
ナビゲーション・ツリーで「ファーム」エントリを右クリックし、「エージェントの監視中のターゲット」を選択します。「エージェントの監視中のターゲット」画面が表示されます。
「ターゲット」表で適切なOracle Virtual Directoryターゲットの「構成」ボタンをクリックします。「ターゲットの構成」画面が表示されます。
現在のOracle Virtual Directory環境に合せて次の設定を更新し、「ターゲットの構成」ページ上部の「OK」をクリックします。
マシン名
仮想ディレクトリのAdminポート
仮想ディレクトリのLDAPポート
|
関連項目: 『Oracle Fusion Middleware管理者ガイド』のトラブルシューティングに関する付録 |
UNIXまたはLinuxプラットフォーム上でOracle Virtual Directory 11gリリース1 (11.1.1.2.0)以降が権限ポート(1024未満のポート番号)でリスニングできるようにするには、次の手順を実行します。
|
注意: ドメインにOracle Virtual Directoryコンポーネントのみが含まれている場合、個別にOracle Virtual Directoryを停止および起動するには、手順2および手順7を実行するかわりに、次のコマンドを使用する必要があります。 Oracle Virtual Directoryを停止するには、次を入力します。 $ORACLE_HOME/bin/hasocket $ORACLE_INSTANCE/bin/opmnctl stopproc Oracle Virtual Directoryを起動するには、次を入力します。 $ORACLE_HOME/bin/hasocket $ORACLE_INSTANCE/bin/opmnctl startproc Oracle Virtual Directoryがドメインでただ1つのコンポーネントの場合、 |
Oracle Virtual Directoryをインストールしたときと同じユーザーとして、cap.oraファイルを次のように作成します。
echo `id -ng`: bind > /tmp/cap.ora
Oracle Process Manager and Notification Server (OPMN)制御コマンドを使用してすべてのコンポーネントを停止します。
$ORACLE_INSTANCE/bin/opmnctl stopall
rootユーザー権限に変更します。
su root
次の手順を実行することでORACLE_HOME/bin/hasbindファイルを更新します。
次のようにしてファイルの所有権をrootに変更します。
chown root $ORACLE_HOME/bin/hasbind
ファイルの権限を次のように変更します。
chmod 4755 $ORACLE_HOME/bin/hasbind
手順1で作成したcap.oraファイルを/etc/ディレクトリにコピーします。
cp /tmp/cap.ora /etc/cap.ora
/etc/cap.oraファイルの権限を次のように変更します。
chmod 644 /etc/cap.ora
Oracle Virtual Directoryをインストールしたときと同じユーザーとして次のコマンドを使用することでOracle Virtual Directoryを起動し、それが特権ポート上でリスニングできるようにします。
$ORACLE_HOME/bin/hasocket $ORACLE_INSTANCE/bin/opmnctl startall
|
注意: 単にこのコマンドを使用してそれを起動することで、Oracle Virtual Directoryが特権ポートでリスニングできるようになります。 |
この手順を実行すると、Oracle Virtual Directoryリスナーは特権ポートでリスニングできます。新しいリスナーを作成して特権ポート番号を入力するか、または既存のリスナーを特権ポート番号を使用するように編集できます。
この項では、Oracle Enterprise Manager Fusion Middleware Controlを使用して、Oracle Virtual Directoryのリスナーを作成および管理する方法について説明します。この項の内容は次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlを使用してLDAPリスナーを作成するには、次の手順を実行します。通常、セキュアなLDAPと非セキュアなLDAPを実行する場合、通常のLDAP用に1つ(デフォルト・ポートは6501)とSSLを使用するセキュアなLDAP用に1つ(デフォルト・ポートは7501)の少なくとも2つのリスナーが構成されています。
Oracle Enterprise Manager Fusion Middleware Controlにログインし、LDAPリスナーを作成するOracle Virtual Directoryターゲットにナビゲートします。
「管理」を選択し、「Oracle Virtual Directory」メニューから「リスナー」を選択します。「リスナー」画面が表示されます。
「作成」ボタンをクリックします。「リスナーの追加」画面が表示されます。
「リスナー・タイプ」リストから「LDAP」 を選択し、表11-1で説明されているLDAPリスナー構成パラメータの値を設定します。
| 型 | パラメータ | 説明 |
|---|---|---|
|
基本 |
リスナー名 |
リスナーの名前。「リスナー名」パラメータの値には、ASCII文字のみを使用してください。非ASCII文字はサポートされていません。 さらに、次の文字はリスナー名に使用しないでください。
|
|
リスナー・ホスト |
リスナーがクライアントからの接続のリスニングに使用する必要があるIPアドレスを指定します。このパラメータに値を指定しないか、または0.0.0.0を指定する場合、デフォルトでOracle Virtual DirectoryはすべてのIPアドレスでリスニングします。 注意: 「リスナー・ホスト」設定には、127.0.0.1、:0:0:1、localhostなどを含むループバックIPアドレスは使用しないでください。 このパラメータに1つのIPアドレスまたはホストを設定すると、リスナーは、そのIPアドレスまたはホストが仮想的か実在かを問わず、そのIPアドレスまたはホストを使用してクライアントからの接続をリスニングします。 |
|
|
リスナー・ポート |
リスナーがサービスを提供するポート番号。ポートでアクティブ化できるサーバーごとのリスナーは、常に1つのみです。 既存のサーバー(たとえばActive Directoryドメイン・コントローラ)と同じサーバー上にOracle Virtual Directoryがインストールされている場合は、既存のサービスと競合しないポートを入力します。 |
|
|
スレッド |
着信リクエストを同時に処理するためにリスナーにより使用されるアクティブなワーカー・スレッドの数。入力した数が不十分な場合は、スレッドの数がリスナーによって自動的に増加されます。この初期設定は、Oracle Virtual Directoryに対して、リソースを事前に割り当てるために必要な同時クライアントの数を示します。デフォルトの設定は10で、テスト目的には十分です。本番環境では、この設定を50に引き上げることをお薦めします。 |
|
|
リスナーが有効 |
サービスに対してリスナーを有効(選択する)または無効(選択しない)にします。 |
|
|
LDAPオプション |
匿名バインド |
Oracle Virtual DirectoryによるLDAP匿名認証方法を制御します。「許可」は、匿名認証を許可します。「拒否」は匿名操作を阻止します。「DenyDNOnly」は空のパスワード認証を阻止します。 注意: LDAPプロトコル仕様によると、LDAPクライアントが空でないDNと未設定のパスワードを使用してLDAPサーバーに接続する場合、LDAPサーバーは匿名バインドを提供することになっています。認証にLDAPを使用しているアプリケーションの場合、このような方式ではパスワードを入力せずにエンドユーザーにアプリケーションへのログインを許可することになります。ほとんどのLDAP対応アプリケーションでは、このような使用が防止されています。しかし、補足的な保護策として、このような状況を防止するようにOracle Virtual Directoryを構成することで、保護をさらに強化できます。 |
|
ワーク・キュー許容量 |
LDAPリスナーに関連付けられたすべてのワーカー・スレッドがリクエストの処理中に累積できる保留中のLDAPリクエストの最大数を指定します。指定した許容量に達すると、LDAPリスナーは |
|
|
StartTLSの許可 |
LDAPクライアントがStartTLSを使用可能かどうかを指定します。有効にすると、LDAPリスナーによりクライアントはStartTLS拡張操作の使用を許可され、保護されていないチャネルを介してセキュアな通信を開始できます。 |
|
|
ソケット・オプション |
バックログ |
サーバーにより新しい接続の試みの拒否が開始される前に累積できる保留中の接続リクエストの最大数を指定します。デフォルト設定は128です。 |
|
読取りタイムアウト |
指定されたタイムアウト期間(ミリ秒)の間、アイドル状態のクライアント接続の許容を有効または無効にします。ゼロ以外の時間を設定すると、Oracle Virtual Directoryサーバーへのクライアント接続は、指定された時間のみアイドル状態でいることができます。クライアント接続が指定された時間以上の間アイドル状態だと、クライアント接続は終了します。値0は無限タイムアウトとみなされます。デフォルト値は0です。 |
|
|
アドレスの再利用 |
LDAPリスナーがソケット記述子を再利用する必要があるかどうかを指定します。有効にすると、TIME_WAIT状態のクライアントのソケット記述子を再利用できます。 |
|
|
TCPキープ・アライブ |
LDAP接続がTCPキープ・アライブを使用する必要があるかどうかを指定します。有効にすると、関連付けられた接続が有効なことを確認するために、TCPキープ・アライブ・メッセージが定期的にクライアントに送信されます。 |
|
|
TCP遅延なし |
LDAP接続がTCP遅延なしを使用する必要があるかどうかを指定します。有効にすると、同一のパケットで追加の応答メッセージを送信可能かを判断するのを待たずに、クライアントへの応答メッセージが即座に送信されます。 |
「リスナーの追加」画面で「OK」ボタンをクリックし、LDAPリスナーを保存します。
実行されている場合は、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの停止」を参照して、Oracle Virtual Directoryを停止します。停止したら、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの起動」を参照して、Oracle Virtual Directoryを起動します。
|
注意: Oracle Virtual Directoryサーバーにリスナー構成をロードするには、Oracle Virtual Directoryを再起動ではなく、明示的に停止して起動する必要があります。 |
Oracle Enterprise Manager Fusion Middleware Controlを使用してHTTPリスナーを作成するには、次の手順を実行します。
Oracle Enterprise Manager Fusion Middleware Controlにログインし、HTTPリスナーを作成するOracle Virtual Directoryターゲットにナビゲートします。
「管理」を選択し、「Oracle Virtual Directory」メニューから「リスナー」を選択します。「リスナー」画面が表示されます。
「作成」ボタンをクリックします。「リスナーの追加」画面が表示されます。
「リスナー・タイプ」リストから「HTTP」 を選択し、表11-2で説明されているHTTPリスナー構成パラメータの値を設定します。
| 型 | パラメータ | 説明 |
|---|---|---|
|
基本 |
リスナー名 |
リスナーの名前。「リスナー名」パラメータの値には、ASCII文字のみを使用してください。非ASCII文字はサポートされていません。 |
|
リスナー・ホスト |
リスナーがクライアントからの接続のリスニングに使用する必要があるIPアドレスを指定します。このパラメータに値を指定しないか、または0.0.0.0を指定する場合、デフォルトでOracle Virtual DirectoryはすべてのIPアドレスでリスニングします。 注意: 「リスナー・ホスト」設定には、127.0.0.1、:0:0:1、localhostなどを含むループバックIPアドレスは使用しないでください。 このパラメータに1つのIPアドレスまたはホストを設定すると、リスナーは、そのIPアドレスまたはホストが仮想的か実在かを問わず、そのIPアドレスまたはホストを使用してクライアントからの接続をリスニングします。 |
|
|
リスナー・ポート |
リスナーがサービスを提供するポート番号。ポートでアクティブ化できるサーバーごとのリスナーは、常に1つのみです。 |
|
|
スレッド |
着信リクエストを同時に処理するためにリスナーにより使用されるアクティブなワーカー・スレッドの数。入力した数が不十分な場合は、スレッドの数がリスナーによって自動的に増加されます。この初期設定は、Oracle Virtual Directoryに対して、リソースを事前に割り当てるために必要な同時クライアントの数を示します。デフォルトの設定は10で、テスト目的には十分です。本番環境では、この設定を50に引き上げることをお薦めします。 |
|
|
リスナーが有効 |
サービスに対してリスナーを有効(選択する)または無効(選択しない)にします。 |
|
|
DSML V2サービス |
レルム名 |
DSMLv2サービスのセキュリティが有効な場合に、Oracle Virtual DirectoryでDSML V2サービスを保護するために使用されるレルム名。このレルム名は、ユーザーへのHTTPブラウザ・チャレンジに表示されます。 |
|
Webゲートウェイ・サービス・セクション |
匿名アクセスを許す |
Webゲートウェイへの匿名アクセスを有効または無効にします。 |
|
検索ルート |
Webゲートウェイが、ユーザー認証チャレンジ後に、指定されたユーザー識別名(UID)の検索を開始するサブツリーを含むディレクトリ・ツリーのルート識別名(ネームスペース)。 |
|
|
検索属性 |
UIDの検索時にWebゲートウェイが照合を試行する属性。 |
|
|
ユーザー・オブジェクト・クラス |
認証するユーザーの検索時にWebゲートウェイが使用するオブジェクト・クラス。 |
|
|
結果キャッシュ・ライフ時間(秒) |
ディレクトリ・ソースに格納されているユーザー資格証明を再度問い合せるまでにOracle Virtual Directoryが待機する最大時間。 |
|
|
HTDocsパス |
Oracle Virtual Directoryのルート・インストールに相対的で、XSLTファイルおよびHTMLファイルが格納されるパス。 |
|
|
証明書属性 |
バイナリPKI証明書情報を含む属性を指定します。デフォルト値はusercertificateです。 |
|
|
写真/イメージ属性 |
グラフィック・イメージを含む属性を指定します。デフォルト値はjpegphotoです。 |
|
|
画像表示の高さ |
Web Gatewayが写真を調整する高さ。デフォルト値は100です。 |
|
|
画像表示の幅 |
Web Gatewayが写真を調整する幅。デフォルト値は100です。 |
「リスナーの追加」画面で「OK」ボタンをクリックし、HTTPリスナーを保存します。
実行されている場合は、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの停止」を参照して、Oracle Virtual Directoryを停止します。停止したら、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの起動」を参照して、Oracle Virtual Directoryを起動します。
|
注意: Oracle Virtual Directoryサーバーにリスナー構成をロードするには、Oracle Virtual Directoryを再起動ではなく、明示的に停止して起動する必要があります。 |
この項の情報を使用して、Oracle Virtual DirectoryのTLSリスナーを構成およびテストします(たとえば、非SSLポート上のセキュアな接続をネゴシエートできるようにするSTART_TLS拡張を必要とする場合など)。
TLS接続を保護するには、既存の即時利用可能なkeys.jksを使用するか、次に示すように新しいキーストアを作成します。
Oracle Virtual Directoryを開き、「セキュリティ」→「キーストア」に移動します。
TLS用にTLSKeyStore.jksという名前の新しいキーストアを作成します。
証明書のCNが完全修飾ホスト名と一致していることを保証する自己署名証明書を追加します。
ovd1→「管理」→「リスナー」に移動し、次のパラメータを指定して新しいTNSリスナーを作成します。
タイプ: LDAP
リスナー名: TLS
リスナー・ポート: 9999
リスナーが有効:
匿名暗号を含める: Not checked
匿名バインド: Allow
StartTLSの許可: 確認
新しいTLSリスナーを選択し、「編集」をクリックします。
「匿名暗号を含める」パラメータを選択(クリック)します。
「SSL設定の変更」セクションで次のパラメータを指定します。
|
SSLの有効化 |
このボックスを選択(クリック)してください。 このセクションのその他のパラメータが編集可能になります。 |
|
「サーバー・キーストア」および「トラストストア」 |
これらのパラメータが、使用するキーストア(手順1を参照)に一致していること、およびそのキーストアとトラストストアにパスワードが設定してあることを確認します。 |
「詳細設定」セクションで次のパラメータの設定を指定します。
|
SSL認証 |
サーバー認証。 |
|
すべて |
このボックスを選択(クリック)してください。 |
|
SSLプロトコル・バージョン |
ドロップダウン・メニューから「すべて」を選択し、v3の選択を解除します。エントリは |
Oracle Virtual Directoryを停止するには次のコマンドを使用します。
opmnctl stopproc ias-component=ovd1
コマンド・ラインから次の場所に移動し、listners.os_xmlファイルを編集してください。
$ORACLE_INSTANCE/config/OVD/ovd1
|
注意: 新しいリスナーを使用するGUIインタフェースによって
<cipherSuites includeAnonCiphers="true"/> |
新しいTLSリスナーのlistener.os_xmlエントリを確認するには、次のサンプルを使用してください。
<ldap id="TLS" version="3">
<port>9999</port>
<host>0.0.0.0</host>
<threads>10</threads>
<active>true</active>
<ssl enabled="false">
<protocols>TLSv1,SSLv2Hello</protocols>
<cipherSuites includeAnonCiphers="true"/>
<authType>Server</authType>
<keyStore password="{AES-CBC}b2vWJAN48ufpbxla9gohlj/M+eBP/9FLwh6tLfiWF0o=">TLSkeyStore.jks</keyStore>
<trustStore password="{AES-CBC}rOk44ucwkpQ2QRcTDK4bJRklj/OmALyUWQMjQAYoNJY=">TLSkeyStore.jks</trustStore>
</ssl>
<extendedOps/>
<anonymousBind>Allow</anonymousBind>
<workQueueCapacity>100</workQueueCapacity>
<allowStartTLS>true</allowStartTLS>
<socketOptions>
<backlog>128</backlog>
<reuseAddress>false</reuseAddress>
<keepAlive>false</keepAlive>
<tcpNoDelay>true</tcpNoDelay>
<readTimeout>0</readTimeout>
</socketOptions>
<useNIO>false</useNIO>
</ldap>
次のコマンドを使用して、Oracle Virtual Directoryを起動します。
opmnctl startproc ias-component=ovd1
Apache Directory Studioなど、TLSをサポートするクライアントを使用してTLSをテストします。
次に例を示します。
Apache Directory Studioを起動し、「LDAP」→「新規接続」をクリックします。
ネットワーク・パラメータの画面で、次のパラメータを設定します。
|
ホスト名 |
証明書のCNと一致する完全修飾ホスト名を入力します。 |
|
ポート |
9999(あるいは使用したポート) |
|
暗号化方法 |
StartTLS拡張を使用します。 |
ネットワーク・パラメータの確認をクリックします。
証明書を受け入れるように促すポップアップが表示されたら、「次」をクリックします。
「認証」画面は、次のパラメータを設定する必要がある場所を表示します。
|
バインドDNの入力: |
cn=orcladmin |
|
バインド・パスワードの入力: |
welcome1 |
「終了」をクリックし、ベース・コンテナを確認します。
セキュアな接続を介してディレクトリを参照できます。
この項では、Oracle Enterprise Manager Fusion Middleware Controlを使用して、Oracle Virtual Directoryのリスナーを管理する方法について説明します。この項の内容は次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlを使用して既存のリスナー(LDAPまたはHTTP)の設定を更新するには、次の手順を実行します。
Oracle Enterprise Manager Fusion Middleware Controlにログインし、編集するリスナーが存在するOracle Virtual Directoryターゲットにナビゲートします。
「管理」を選択し、「Oracle Virtual Directory」メニューから「リスナー」を選択します。既存のリスナーが表示された「リスナー」画面が表示されます。
編集するリスナーをクリックして選択します。
「編集」ボタンをクリックします。リスナーの現在の設定が表示された「リスナーの編集」画面が表示されます。
必要に応じて設定を編集します。
LDAPリスナーの各パラメータの詳細は、表11-1「LDAPリスナーの構成パラメータ」を参照してください。
HTTPリスナーの各パラメータの詳細は、表11-2「HTTPリスナーの構成パラメータ」を参照してください。
「リスナーの追加」画面で「OK」ボタンをクリックし、HTTPリスナーを保存します。
実行されている場合は、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの停止」を参照して、Oracle Virtual Directoryを停止します。停止したら、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの起動」を参照して、Oracle Virtual Directoryを起動します。
|
注意: Oracle Virtual Directoryサーバーにリスナー構成をロードするには、Oracle Virtual Directoryを再起動ではなく、明示的に停止して起動する必要があります。 |
Oracle Virtual Directoryの管理リスナーの設定は、LDAPまたはHTTPリスナーの設定を編集する際と同じように編集できます。ただし、管理ゲートウェイ・リスナーを無効化すると、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlのユーザー・インタフェースを使用してOracle Virtual Directoryと通信できなくなります。管理リスナーの詳細は、「デフォルトOracle Virtual Directoryリスナーの概要」を参照してください。
Oracle Enterprise Manager Fusion Middleware Controlを使用して管理ゲートウェイ・リスナーの設定を編集するには、次の手順を実行します。
Oracle Enterprise Manager Fusion Middleware Controlにログインし、Oracle Virtual Directoryターゲットにナビゲートします。
「管理」を選択し、「Oracle Virtual Directory」メニューから「リスナー」を選択します。既存のリスナーが表示された「リスナー」画面が表示されます。
管理ゲートウェイ・リスナーをクリックして選択します。
「編集」ボタンをクリックします。管理ゲートウェイ・リスナーの現在の設定が表示された「リスナーの編集」画面が表示されます。
管理リスナー設定を必要に応じて編集し、「発行」をクリックします。各管理リスナー設定は、後の「管理リスナー設定」の項で説明します。
実行されている場合は、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの停止」を参照して、Oracle Virtual Directoryを停止します。停止したら、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの起動」を参照して、Oracle Virtual Directoryを起動します。
|
注意: Oracle Virtual Directoryサーバーにリスナー構成をロードするには、Oracle Virtual Directoryを再起動ではなく、明示的に停止して起動する必要があります。 |
opmnctl updatecomponentregistrationコマンドを使用して、編集した管理リスナーが含まれるOracle Virtual Directoryコンポーネントの登録を更新します。
opmnctl updatecomponentregistrationの構文は次のとおりです。
$ORACLE_INSTANCE/bin/opmnctl updatecomponentregistration [-adminHosthostname] [-adminPort weblogic_port] [-adminUsernameweblogic_admin] [-adminPasswordFile 'FILE_WITH_WEBLOGIC_ADMIN_PASSWORD'] [-componentType OVD] -componentNamecomponentName[-HostOVD_HOST_NAME]
|
注意:
|
次に例を示します。
$ORACLE_INSTANCE/bin/opmnctl updatecomponentregistration -adminHost myhost \
-adminPort 7001 -adminUsername weblogic -componentType OVD -componentName ovd1
Oracle Virtual Directoryサーバーが稼働しているホストの名前またはIPアドレス。デフォルト値は0.0.0.0です。これにより、ホストに対して構成されているすべてのIPアドレスで管理リスナーがリスニングするように設定されます。
|
注意:
|
Oracle Virtual Directoryが管理サービスを提供するポート。これは、Oracle Virtual Directoryサーバーと通信するために、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlのユーザー・インタフェースにより使用されるポートです。
|
注意: 「リスナー・ポート」設定を編集する場合は、即座に手順6を実行する必要があります。実行しないと、Oracle Enterprise Manager Fusion Middleware Controlユーザー・インタフェースを使用してOracle Virtual Directoryと通信できなくなります。 |
着信リクエストを同時に処理するためにリスナーにより使用されるアクティブなワーカー・スレッドの数。
サービスに対してリスナーを有効化する場合に選択します。ただし、管理ゲートウェイ・リスナーを無効化すると、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlのユーザー・インタフェースを使用してOracle Virtual Directoryと通信できなくなります。デフォルト設定は「有効」です。
リスナーの現在のSSL設定(有効または無効)を表示し、リスナーのSSL設定を変更するためのリンクを提供します。リスナーのSSL設定を編集するには、リンクをクリックします。詳細は、「Fusion Middleware Controlを使用したリスナーに対するSSLの構成」を参照してください。
|
注意: SSL設定(「有効」または「無効」)を編集する場合は、「OPMNCTLを使用したOracleインスタンスのコンポーネント登録の更新」を参照してOracle Virtual Directoryコンポーネントの登録を更新する必要があります。SSL設定を編集した後にOracle Virtual Directoryコンポーネント登録を更新しないと、Oracle Enterprise Manager Fusion Middleware Controlユーザー・インタフェースを使用してOracle Virtual Directoryと通信できなくなります。 |
Oracle Enterprise Manager Fusion Middleware Controlを使用して既存のリスナー(LDAPまたはHTTP)を削除するには、次の手順を実行します。
Oracle Enterprise Manager Fusion Middleware Controlにログインし、削除するリスナーが存在するOracle Virtual Directoryターゲットにナビゲートします。
「管理」を選択し、「Oracle Virtual Directory」メニューから「リスナー」を選択します。既存のリスナーが表示された「リスナー」画面が表示されます。
削除するリスナーをクリックします。
「削除」ボタンをクリックします。リスナーの削除の確認を要求するダイアログ・ボックスが表示されます。
ダイアログ・ボックスで「OK」をクリックし、リスナーを削除します。既存のリスナーのリストからリスナーが削除されます。
実行されている場合は、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの停止」を参照して、Oracle Virtual Directoryを停止します。停止したら、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの起動」を参照して、Oracle Virtual Directoryを起動します。
|
注意: Oracle Virtual Directoryサーバーにリスナー構成をロードするには、Oracle Virtual Directoryを再起動ではなく、明示的に停止して起動する必要があります。 |
この項では、WLSTを使用してOracle Virtual Directoryのリスナーを管理する方法について説明します。この項の内容は次のとおりです。
|
関連項目:
|
WLSTを使用して、次のように既存のリスナーの設定を更新できます。
WLSTコマンドライン・ツール・シェルを起動します。
WebLogic管理サーバーに接続します。次に例を示します。
connect('username', 'password','t3://host_name:Admin_Server_Port')
Oracle Virtual Directoryルート・プロキシMBeanノードに移動し、MBeanを初期化します。次に例を示します。
custom()
cd('oracle.as.management.mbeans.register')
cd('oracle.as.management.mbeans.register:type=component,name=ovd1,instance=asin
st1')
invoke('load',jarray.array([],java.lang.Object),jarray.array([],java.lang.Strin
g))
更新するリスナーのMBeanノードに移動します。次にLDAP SSL Endpointという名前のリスナーの例を示します。
cd('../..')
cd('oracle.as.ovd')
cd('oracle.as.ovd:type=component.Listenersconfig.sslconfig,name=LDAP SSL
Endpoint,instance=asinst_1,component=ovd1')
WLST set()コマンドを使用して、適切な設定を更新します。次に、Threads設定を更新する例を示します。
set('Threads', 20)
|
注意:
|
|
関連項目: WLSTを使用したリスナーの設定の詳細は、次の項を参照してください。 |
変更を保存してから、MBeanをリフレッシュします。次に例を示します。
cd('../..')
cd('oracle.as.management.mbeans.register')
cd('oracle.as.management.mbeans.register:type=component,name=ovd1,instance=asin
st1')
invoke('save',jarray.array([],java.lang.Object),jarray.array([],java.lang.Strin
g))
invoke('load',jarray.array([],java.lang.Object),jarray.array([],java.lang.Strin
g))
稼働している場合、Oracle Virtual Directoryサーバーを停止します。停止した後、Oracle Virtual Directoryを起動します。
|
注意: Oracle Virtual Directoryサーバーにリスナー構成をロードするには、Oracle Virtual Directoryを再起動ではなく、明示的に停止して起動する必要があります。 |
次に、WLSTを使用して構成できる管理リスナー設定のリストと説明を示します。
リスナーの有効化または無効化を指定します。サポートされている値は、trueおよびfalseです。管理リスナーを無効化すると、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlのユーザー・インタフェースを使用してOracle Virtual Directoryと通信できなくなります。
リスナーの認証モードを指定します。サポートされている値は、None、Server、およびMutualです。
Noneでは、リスナーはSSL認証なしのモードに構成されます。
Serverでは、リスナーはSSLサーバー認証モードに構成されます。
Mutualでは、リスナーはSSL相互認証モードに構成されます。
Host設定をInetAddressで表現した値。BindAddress設定を編集すると、Host設定も変更されます。逆に、Host設定を編集すると、BindAddress設定も変更されます。
セキュアなコミュニケーションの開始または検証に使用されるSSLハンドシェイクの一部である暗号スイート・ネゴシエーションを構成します。暗号スイートは、認証、キー・アグリーメント、暗号化、整合性保護に使用されるセキュリティ・アルゴリズムと鍵サイズを定義する暗号パラメータの組合せです。デフォルト値はNullです。次に、Ciphers設定でサポートされている値のリストを示します。
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_RC4_128_MD5
SSL_DH_anon_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
管理リスナーを使用する権限を持つユーザー・グループを定義するLDAP URL。これらのユーザーは、Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerのインタフェースを通じてOracle Virtual Directoryサーバーにアクセスするときに、rootに近い権限を持ちます。
Oracle Virtual Directoryサーバーが稼働しているホストの名前またはIPアドレス。デフォルト値は0.0.0.0です。これにより、ホストに対して構成されているすべてのIPアドレスで管理リスナーがリスニングするように設定されます。
|
注意: Host設定には、127.0.0.1、:0:0:1、localhostなどを含むループバックIPアドレスは使用しないでください。 |
SSLアーティファクトを含むJKSキーストアの名前。
リスナーの名前。
Oracle Virtual Directoryが管理サービスを提供するポート。これは、Oracle Virtual Directoryサーバーと通信するために、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlのユーザー・インタフェースにより使用されるポートです。
管理リスナーがサービスの提供に使用するプロトコル。サポートされている値は、HTTPおよびHTTPSです。
リスナー上でSSLを有効化するかどうかを指定します。サポートされている値は、trueおよびfalseです。
SSL通信でサポートされているプロトコル。次の値がサポートされています。
TLSv1
SSLv2Hello
|
注意: SSLv2Hello値のみを指定することはできません。SSLv2Helloを指定する場合は、サポートされている他のバージョンを少なくとも1つ指定する必要があります。 |
SSLv3
リスナーがポート上の接続のリスニングに使用するアクティブなワーカー・スレッドの数。
SSLアーティファクトを含むJKSキーストアの名前。
次に、WLSTを使用して構成できるLDAPリスナー設定のリストと説明を示します。
リスナーの有効化または無効化を指定します。サポートされている値は、trueおよびfalseです。
LDAPクライアントがStartTLSを使用可能かどうかを指定します。有効にすると、LDAPリスナーによりクライアントはStartTLS拡張操作の使用を許可され、保護されていないチャネルを介してセキュアな通信を開始できます。サポートされている値は、trueおよびfalseです。デフォルト値はfalseです。
Oracle Virtual DirectoryによるLDAP匿名認証方法を制御します。サポートされている値を表11-3に示します。
表11-3 LDAP匿名認証オプション
| オプション | 制御 |
|---|---|
|
Allow |
匿名認証が許可されます。 |
|
Deny |
匿名での操作はできません。 |
|
DenyDNOnly |
パスワード未設定の場合、認証できません。 注意: LDAPプロトコル仕様によると、LDAPクライアントが空でないDNと未設定のパスワードを使用してLDAPサーバーに接続する場合、LDAPサーバーは匿名バインドを提供することになっています。認証にLDAPを使用しているアプリケーションの場合、このような方式ではパスワードを入力せずにエンドユーザーにアプリケーションへのログインを許可することになります。ほとんどのLDAP対応アプリケーションでは、このような使用が防止されています。しかし、補足的な保護策として、このような状況を防止するようにOracle Virtual Directoryを構成することで、保護をさらに強化できます。 |
リスナーの認証モードを指定します。サポートされている値は、None、Server、およびMutualです。
Noneでは、リスナーはSSL認証なしのモードに構成されます。
Serverでは、リスナーはSSLサーバー認証モードに構成されます。
Mutualでは、リスナーはSSL相互認証モードに構成されます。
Host設定をInetAddressで表現した値。BindAddress設定を編集すると、Host設定も変更されます。逆に、Host設定を編集すると、BindAddress設定も変更されます。
セキュアなコミュニケーションの開始または検証に使用されるSSLハンドシェイクの一部である暗号スイート・ネゴシエーションを構成します。暗号スイートは、認証、キー・アグリーメント、暗号化、整合性保護に使用されるセキュリティ・アルゴリズムと鍵サイズを定義する暗号パラメータの組合せです。デフォルト値はNullです。次に、Ciphers設定でサポートされている値のリストを示します。
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_RC4_128_MD5
SSL_DH_anon_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
この設定を使用すると、LDAPプロトコルによりサポートされている通常のLDAP操作に加えて、独自のLDAP操作を定義できます。この設定は、独自のユーザー定義LDAP操作を実装する完全なJavaクラス名です。
ExtendedOpsClass設定で定義したユーザー定義LDAP操作の一意の名前。
Oracle Virtual Directoryサーバーが稼働しているホストの名前またはIPアドレス。デフォルト値は0.0.0.0です。
|
注意: Host設定には、127.0.0.1、:0:0:1、localhostなどを含むループバックIPアドレスは使用しないでください。 |
SSLアーティファクトを含むJKSキーストアの名前。
リスナーの名前。
LDAPリスナーがサービスを提供するポート番号。ポートでアクティブ化できるサーバーごとのリスナーは、常に1つのみです。
LDAPリスナーがサービスの提供に使用するプロトコル。サポートされている値はLDAPおよびLDAPSです。
リスナー上でSSLを有効化するかどうかを指定します。サポートされている値は、trueおよびfalseです。
SSL通信でサポートされているプロトコル。次の値がサポートされています。
TLSv1
SSLv2Hello
|
注意: SSLv2Hello値のみを指定することはできません。SSLv2Helloを指定する場合は、サポートされている他のバージョンを少なくとも1つ指定する必要があります。 |
SSLv3
サーバーにより新しい接続の試みの拒否が開始される前に累積できる保留中の接続リクエストの最大数を指定します。デフォルト設定は128です。
LDAP接続がTCPキープ・アライブを使用する必要があるかどうかを指定します。有効にすると、関連付けられた接続が有効なことを確認するために、TCPキープ・アライブ・メッセージが定期的にクライアントに送信されます。サポートされている値は、trueおよびfalseです。デフォルト値はfalseです。
指定されたタイムアウト期間(ミリ秒)の間、アイドル状態のクライアント接続の許容を有効または無効にします。ゼロ以外の時間を設定すると、Oracle Virtual Directoryサーバーへのクライアント接続は、指定された時間のみアイドル状態でいることができます。クライアント接続が指定された時間以上の間アイドル状態だと、クライアント接続は終了します。値0は無限タイムアウトとみなされます。デフォルト値は0です。
LDAPリスナーがソケット記述子を再利用する必要があるかどうかを指定します。有効にすると、TIME_WAIT状態のクライアントのソケット記述子を再利用できます。サポートされている値は、trueおよびfalseです。デフォルト値はfalseです。
LDAP接続がTCP遅延なしを使用する必要があるかどうかを指定します。有効にすると、同一のパケットで追加の応答メッセージを送信可能かを判断するのを待たずに、クライアントへの応答メッセージが即座に送信されます。サポートされている値は、trueおよびfalseです。デフォルト値はtrueです。
着信リクエストを同時に処理するためにリスナーにより使用されるアクティブなワーカー・スレッドの数。指定した数が不十分な場合は、スレッドの数がリスナーによって自動的に増加されます。この初期設定は、Oracle Virtual Directoryに対して、リソースを事前に割り当てるために必要な同時クライアントの数を示します。デフォルトの設定は10で、テスト目的には十分です。本番環境では、この設定を50に引き上げることをお薦めします。
SSLアーティファクトを含むJKSキーストアの名前。
LDAPリスナーに関連付けられたすべてのワーカー・スレッドがリクエストの処理中に累積できる保留中のLDAPリクエストの最大数を指定します。指定した許容量に達すると、LDAPリスナーはDSAはビジー状態ですというエラーで新規リクエストを拒否します。デフォルト値は1024です。
|
注意:
|
次に、WLSTを使用して構成できるHTTPリスナー設定のリストと説明を示します。
リスナーの有効化または無効化を指定します。サポートされている値は、trueおよびfalseです。
リスナーの認証モードを指定します。サポートされている値は、None、Server、およびMutualです。
Noneでは、リスナーはSSL認証なしのモードに構成されます。
Serverでは、リスナーはSSLサーバー認証モードに構成されます。
Mutualでは、リスナーはSSL相互認証モードに構成されます。
Host設定をInetAddressで表現した値。BindAddress設定を編集すると、Host設定も変更されます。逆に、Host設定を編集すると、BindAddress設定も変更されます。
セキュアなコミュニケーションの開始または検証に使用されるSSLハンドシェイクの一部である暗号スイート・ネゴシエーションを構成します。暗号スイートは、認証、キー・アグリーメント、暗号化、整合性保護に使用されるセキュリティ・アルゴリズムと鍵サイズを定義する暗号パラメータの組合せです。デフォルト値はNullです。次に、Ciphers設定でサポートされている値のリストを示します。
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_RC4_128_MD5
SSL_DH_anon_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
ユーザーが開発したカスタムWebサービスのロケーションのベースURL。
カスタムWebサービスのセキュリティが有効な場合に、Oracle Virtual DirectoryでカスタムWebサービスを保護するために使用されるレルム名。
HTTPリスナーのWebゲートウェイ、DMSLv2ゲートウェイ、あるいはその両方を使用するかわりに独自のWebアプリケーションを使用してHTTP接続を処理するには、この設定を使用してカスタムWebアプリケーションのwarファイルへのパスを指定します。
DSMLv2サービスのセキュリティが有効な場合に、Oracle Virtual DirectoryでDSML V2サービスを保護するために使用されるレルム名。このレルム名は、ユーザーへのHTTPブラウザ・チャレンジに表示されます。
Oracle Virtual Directoryサーバーが稼働しているホストの名前またはIPアドレス。デフォルト値は0.0.0.0です。
|
注意: Host設定には、127.0.0.1、:0:0:1、localhostなどを含むループバックIPアドレスは使用しないでください。 |
SSLアーティファクトを含むJKSキーストアの名前。
リスナーの名前。
HTTPリスナーがサービスを提供するポート番号。ポートでアクティブ化できるサーバーごとのリスナーは、常に1つのみです。
HTTPリスナーがサービスの提供に使用するプロトコル。サポートされている値は、HTTPおよびHTTPSです。
リスナー上でSSLを有効化するかどうかを指定します。サポートされている値は、trueおよびfalseです。
SSL通信でサポートされているプロトコル。次の値がサポートされています。
TLSv1
SSLv2Hello
|
注意: SSLv2Hello値のみを指定することはできません。SSLv2Helloを指定する場合は、サポートされている他のバージョンを少なくとも1つ指定する必要があります。 |
SSLv3
着信リクエストを同時に処理するためにリスナーにより使用されるアクティブなワーカー・スレッドの数。指定した数が不十分な場合は、スレッドの数がリスナーによって自動的に増加されます。この初期設定は、Oracle Virtual Directoryに対して、リソースを事前に割り当てるために必要な同時クライアントの数を示します。デフォルトの設定は10で、テスト目的には十分です。本番環境では、この設定を50に引き上げることをお薦めします。
SSLアーティファクトを含むJKSキーストアの名前。
Webゲートウェイへの匿名アクセスを有効または無効にします。サポートされている値は、trueおよびfalseです。
バイナリPKI証明書情報を含む属性を指定します。デフォルト値はusercertificateです。
Oracle Virtual Directoryのルート・インストールに相対的で、XSLTファイルおよびHTMLファイルが格納されるパス。
UIDの検索時にWebゲートウェイが照合を試行する必要がある属性。デフォルト値は、uid, mail, cnです。
認証するユーザーの検索時にWebゲートウェイが使用する必要があるオブジェクト・クラス。デフォルト値は、inetorgperson, userです。
グラフィック・イメージを含む属性を指定します。デフォルト値はjpegphotoです。
Web Gatewayが写真を調整する高さ。デフォルト値は100です。
Web Gatewayが写真を調整する幅。デフォルト値は100です。
Webゲートウェイが、ユーザー認証チャレンジ後に、指定されたユーザー識別名(UID)の検索を開始するサブツリーを含むディレクトリ・ツリーのルート識別名(ネームスペース)。
Webゲートウェイ・サービスのセキュリティが有効な場合に、Oracle Virtual DirectoryでWebゲートウェイ・サービスを保護するために使用されるレルム名。
ディレクトリ・ソースに格納されているユーザー資格証明を再度問い合せるまでにOracle Virtual Directoryが待機する最大時間(秒単位)。
WLSTを使用して、次のように既存のリスナーを削除できます。
WLSTコマンドライン・ツール・シェルを起動します。
WebLogic管理サーバーに接続します。次に例を示します。
connect('username', 'password','t3://host_name:Admin_Server_Port')
Oracle Virtual Directoryルート・プロキシMBeanノードに移動し、MBeanを初期化します。次に例を示します。
custom()
cd('oracle.as.management.mbeans.register')
cd('oracle.as.management.mbeans.register:type=component,name=ovd1,instance=asin
st1')
invoke('load',jarray.array([],java.lang.Object),jarray.array([],java.lang.Strin
g))
Oracle Virtual Directoryリスナー構成MBeanに移動します。次に例を示します。
cd('../..')
cd('oracle.as.ovd/oracle.as.ovd:type=component.Listenersconfig,name=Listenersco
nfig,instance=asinst1,component=ovd1')
適切なリスナーを削除します。次にtest1という名前のリスナーの例を示します。
invoke('deleteListener',jarray.array([java.lang.String('test1')],java.lang.Obje
ct),jarray.array(['java.lang.String'],java.lang.String))
変更を保存してから、MBeanをリフレッシュします。次に例を示します。
cd('../..')
cd('oracle.as.management.mbeans.register')
cd('oracle.as.management.mbeans.register:type=component,name=ovd1,instance=asin
st1')
invoke('save',jarray.array([],java.lang.Object),jarray.array([],java.lang.Strin
g))
invoke('load',jarray.array([],java.lang.Object),jarray.array([],java.lang.Strin
g))
稼働している場合、Oracle Virtual Directoryサーバーを停止します。停止した後、Oracle Virtual Directoryを起動します。
|
注意: Oracle Virtual Directoryサーバーにリスナー構成をロードするには、Oracle Virtual Directoryを再起動ではなく、明示的に停止して起動する必要があります。 |
この項では、SSLを使用してOracle Virtual Directoryのリスナーを保護する方法について説明します。この項の内容は次のとおりです。
|
注意: ここでは、単一コンポーネントのSSL構成について説明します。複数のコンポーネントにSSLを構成する場合は、Oracle SSL自動化ツールを使用すると、ドメイン固有のCAを使用して複数のコンポーネントにSSLを構成できます。 Oracle SSL自動化ツールの詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。 |
Oracle Enterprise Manager Fusion Middleware Controlを使用して、Oracle Virtual Directoryのリスナーを保護するには、次の手順を実行します。
|
関連項目: 『Oracle Fusion Middleware管理者ガイド』のOracle Virtual DirectoryリスナーのSSLを有効化する方法に関する情報。 |
Oracle Enterprise Manager Fusion Middleware Controlにログインし、SSLを使用して保護するリスナーのOracle Virtual Directoryターゲットにナビゲートします。
存在しない場合は、「Oracle Virtual Directory」メニューから「セキュリティ」→「キーストア」を選択して、キーストアを作成します。「Javaキーストア」画面が表示されます。詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Enterprise Managerを使用してキーストアを作成する方法に関する情報を参照してください。
次の手順を実行して、リスナーを構成します。
「管理」を選択し、「Oracle Virtual Directory」メニューから「リスナー」を選択します。「リスナー」画面が表示されます。
SSLを使用して保護するリスナーをクリックして選択し、「編集」ボタンをクリックします。「リスナーを編集: Listener Name」画面が表示されます。
「SSL設定の変更」リンクをクリックします。
「SSLの有効化」オプションをクリックして、リスナーでSSLを有効化します。リスナーをSSL認証なしモードに構成している場合は、手順iをスキップしてください。
「サーバー・キーストア名」フィールドから、使用するキーストアを選択します。
「サーバー・キーストアのパスワード」フィールドに、キーストアのパスワードを入力します。
|
注意: Oracle Virtual Directoryのインストール時に作成されたキーストアのパスワードは、インストール中に設定されたOracle Virtual Directory管理者のパスワードと同一です。 |
「サーバーTruststore名」フィールドから、使用するトラストストアを選択します。
「サーバーTruststore名」フィールドに、トラストストアのパスワードを入力します。
「拡張SSL設定」オプションをクリックして開きます。
「クライアント認証」フィールドから、次の認証モードの1つを選択します。
リスナーをSSL認証なしモードに構成するには、「認証なし」を選択します。
リスナーをSSLサーバー認証モードに構成するには、「サーバー認証」を選択します。
Oracle Virtual Directoryサーバーとクライアント間でリスナーをSSL相互認証モードに構成するには、「相互認証」モードを選択する必要があります。
|
注意: 「オプションのクライアント認証」モードは、Oracle Virtual Directoryリスナーではサポートされていません。 |
「暗号スイート」フィールドから、適切なオプションを選択します。「すべて」を選択することも、各オプションを組み合せて選択することもできます。
|
注意: リスナーをSSL認証なしモードに構成している場合は、少なくとも1つのDH_anon暗号を選択する必要があります。他のすべてのSSLモードでは、少なくとも1つのRSA暗号を選択する必要があります。 |
「SSLプロトコル・バージョン」フィールドから、適切なオプションを選択します。
|
注意: v2Helloオプションは、単独ではサポートされていません。つまり、v2Helloオプションのみを選択することはできず、リストから少なくとも1つの他のSSLプロトコル・バージョンを組み合せて選択する必要があります。 |
「OK」ボタンをクリックします。
実行されている場合は、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの停止」を参照して、Oracle Virtual Directoryを停止します。停止したら、「Fusion Middleware Controlを使用したOracle Virtual Directoryサーバーの起動」を参照して、Oracle Virtual Directoryを起動します。
|
注意: Oracle Virtual Directoryサーバーにリスナー構成をロードするには、Oracle Virtual Directoryを再起動ではなく、明示的に停止して起動する必要があります。 |
WLSTコマンドライン・ツールを使用して、Oracle Virtual Directoryに対してSSLを構成する手順:
|
関連項目:
|
WLSTコマンドライン・ツール・シェルを起動します。
次のコマンドを使用して、カスタム・ツリーに移動します。
custom()
次のコマンドを使用して、ルートのOracle Virtual Directory MBeanに移動します。
cd('oracle.as.management.mbeans.register')
cd('oracle.as.management.mbeans.register:type=component,name=COMPONENT_
NAME,instance=INSTANCE_NAME')
次のコマンドを使用して、リモートのOracle Virtual DirectoryサーバーからWebLogicサーバーに、Oracle Virtual Directory構成を初期化してロードします。
invoke('load',jarray.array([],java.lang.Object),jarray.array([],
java.lang.String))
次のコマンドを使用して、保護するリスナー(この例ではLDAP SSL Endpoint)の既存のSSL構成を表示します。
getSSL('instance1','ovd1','ovd','LDAP SSL Endpoint')
次のコマンドを使用して、既存のキーストアを表示します。
listKeyStores('instance1','ovd1','ovd')
必要な場合は、次のコマンドを実行して新しいキーストアと自己署名付きの証明書を作成します。
新しいキーストアを作成するには、次のコマンドを実行します。
createKeyStore('instance1','ovd1','ovd','NEW_KEYSTORE_NAME','PASSWORD_FOR_NEW_KEYSTORE')
新しいキーストアに自己署名付き証明書を作成するには、次のコマンドを実行します。
generateKey ('instance1','ovd1','ovd','NEW_KEYSTORE_NAME','PASSWORD_FOR_NEW_KEYSTORE', 'DN', 'keySize', 'alias')
次のコマンドを実行して、Oracle Virtual DirectoryリスナーのSSL MBeanの名前を指定します。
getSSLMBeanName('instance1','ovd1','ovd','LDAP SSL Endpoint')
次のようにしてMBeanのキーストアおよびトラストストアのパスワードを設定します。
(cd)を使用し、その後でcd ('SSL_MBEAN_NAME')を使用することでレベル/oracle.as.ovd/oracle.as.ovdに変更します。
次のコマンドを実行します。
set('KeyStorePassword',java.lang.String('PASSWORD').toCharArray())
set('TrustStorePassword',java.lang.String('PASSWORD').toCharArray())
次のコマンドおよびfile.propを使用して、リスナーのSSL設定を構成します。サンプルのfile.propファイルの例を示します。
configureSSL ('instance1', 'ovd1', 'ovd', 'LDAP SSL Endpoint', 'PATH_TO_file.prop')
|
注意: 管理ゲートウェイ・リスナーまたはLDAP SSLエンドポイント・リスナーで異なるキーストアを構成するか、キーストアの証明書を変更する場合は、Oracle Enterprise Manager Fusion Middleware Controlエージェントのウォレットに証明書をインポートする必要があります。証明書をインポートしない場合、Oracle Enterprise Manager Fusion Middleware ControlはOracle Virtual Directoryに接続してパフォーマンス・メトリックを取得することができません。 Oracle Enterprise Manager Fusion Middleware Controlエージェントのウォレットに証明書をインポートする手順:
|
SSLEnabled=true AuthenticationType=auth_type SSLVersions=version Ciphers=cipher KeyStore=name_of_your_keystore TrustStore=name_of_your_keystore
file.prop Fileに関する重要な注意:
例11-1の環境変数の値を、使用環境の値と置き換えてください。
リスナーをSSL認証なしモードに構成している場合は、少なくとも1つのDH_anon暗号を選択する必要があります。他のすべてのSSLモードでは、少なくとも1つのRSA暗号を選択する必要があります。
SSLをサーバー認証モードおよび相互認証モードに構成するときは、KeyStoreパラメータの値を指定する必要があります。
AES暗号のみを指定する場合、SSLVersionsパラメータにTLSv1を含む必要があります。
file.propファイルのテキストでは、大/小文字が区別されます。
file.propファイルでは、暗号エントリの後に空白を使用しないでください。
file.propファイルの内容の詳細は、『Oracle Fusion Middleware管理者ガイド』のSSLのプロパティ・ファイルに関する項を参照してください。
|
関連項目: file.propで構成できるAuthenticationType、SSLVersions、およびCiphersの詳細は、次の項を参照してください。 |
変更を保存してから、MBeanをリフレッシュします。次に例を示します。
cd('../..')
cd('oracle.as.management.mbeans.register')
cd('oracle.as.management.mbeans.register:type=component,name=ovd1,instance=asinst1')
invoke('save',jarray.array([],java.lang.Object),jarray.array([],java.lang.String))
invoke('load',jarray.array([],java.lang.Object),jarray.array([],java.lang.String))
稼働している場合、Oracle Virtual Directoryサーバーを停止します。停止した後、Oracle Virtual Directoryを起動します。
|
注意: Oracle Virtual Directoryサーバーにリスナー構成をロードするには、Oracle Virtual Directoryを再起動ではなく、明示的に停止して起動する必要があります。 |
この項では、各SSLモードのSSL接続を検証する方法について説明します。この項の内容は次のとおりです。
|
注意: 11gリリース1(11.1.1)のインストール後にデフォルト設定を使用する場合は、この項で説明されている次の変数に対して次の値を使用できます。
|
SSL認証なしモードで保護されている接続を検証するには、次のコマンドを実行します。
ORACLE_HOME/bin/ldapbind -D cn=orcladmin -q -U 1 -h HOST -p SSL_PORT
SSLサーバー認証モードで保護されている接続を検証するには、次の手順を実行します。
次のコマンドを実行して、Oracleウォレットを作成します。
ORACLE_COMMON_HOME/bin/orapki wallet create -wallet DIRECTORY_FOR_SSL_WALLET \ -pwd WALLET_PASSWORD
次のコマンドを実行して、Oracle Virtual Directoryサーバーの証明書をエクスポートします。
ORACLE_HOME/jdk/jre/bin/keytool -exportcert -keystore OVD_KEYSTORE_FILE \ -storepass PASSWORD -alias OVD_SERVER_CERT_ALIAS -rfc \ -file OVD_SERVER_CERT_FILE
次のコマンドを実行して、Oracle WalletにOracle Virtual Directoryサーバーの証明書を追加します。
ORACLE_COMMON_HOME/bin/orapki wallet add -wallet DIRECTORY_FOR_SSL_WALLET \ -trusted_cert -cert OVD_SERVER_CERT_FILE -pwd WALLET_PASSWORD
手順3のOracle Walletを使用して次のコマンドを実行します。
ORACLE_HOME/bin/ldapbind -D cn=orcladmin -q -U 2 -h HOST -p SSL_PORT \ -W "file://DIRECTORY_FOR_SSL_WALLET" -Q
SSL相互認証モードで保護されている接続を検証するには、次の手順を実行します。
次のコマンドを実行して、Oracle Walletを作成します。
ORACLE_COMMON_HOME/bin/orapki wallet create -wallet DIRECTORY_FOR_SSL_WALLET \ -pwd WALLET_PASSWORD
次のコマンドを実行して、Oracle Virtual Directoryキーストア・ファイルをOracle Walletに転送します。
ORACLE_COMMON_HOME/bin/orapki wallet jks_to_pkcs12 \ -wallet DIRECTORY_FOR_SSL_WALLET -pwd WALLET_PASSWORD \ -keystore ORACLE_INSTANCE/config/OVD/OVD_COMPONENT/keystores/keys.jks \ -jkspwd PASSWORD
次のコマンドを実行して、クライアント証明書をBase64形式でエクスポートします。
ORACLE_COMMON_HOME/bin/orapki wallet export -wallet . -dn CLIENT_DN \ -cert ./b64certificate.txt
次のコマンドを実行して、手順2で作成したクライアント証明書を、Oracle Virtual Directoryのキーストアに信頼できるエントリとしてインポートします。
ORACLE_HOME/jdk/jre/bin/keytool -importcert \ -keystore ORACLE_INSTANCE/config/OVD/OVD_COMPONENT/keystores/keys.jks -storepass JKS_PASSWORD -alias ALIAS -file b64certificate.txt -noprompt
次のコマンドを実行し、クライアント証明書のバインドDNを使用してSSL接続を検証します。
ORACLE_HOME/bin/ldapbind -U 3 -h HOST -p SSL_PORT -W "file://DIRECTORY_FOR_SSL_WALLET" -Q
