| Oracle® Fusion Middleware Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド 11g リリース1 (11.1.1) B66703-06 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド 11g リリース1 (11.1.1) B66703-06 |
|
前 |
次 |
この章では、ドメインのポリシー・ストアとOracle Internet Directory、アイデンティティ・ストアと外部LDAP (Lightweight Directory Application Protocol)プロバイダを再関連付けする方法について説明します。ポリシー・ストアにはセキュリティ・アーティファクト(ポリシーや資格証明など)が含まれます。アイデンティティ・ストアにはグローバル・ユーザーID (GUID)が含まれます。
この章には次の項が含まれます:
Oracle Fusion Middlewareでは、Oracle WebLogic Serverドメインで異なるタイプのポリシー・ストアを使用できます。ドメインでは、XMLファイル(デフォルト・ポリシー・ストア)、Oracle Internet DirectoryまたはOracle Databaseに基づいてストアを使用できます。エンタープライズ・デプロイメント・トポロジでは、ポリシーおよび資格証明のための一元化されたLDAPストアが必要です。この章では、ポリシー・ストアをOracle Internet Directoryに再関連付けする方法について説明します。
本番システムでは、アイデンティティ・ストアを外部LDAP認証プロバイダ(Oracle Internet Directory、Oracle Virtual Directoryまたはサード・パーティのLDAPプロバイダ)に再関連付けする必要があります。この章では、Oracle WebCenter Contentドメインでアイデンティティ・ストアをOracle Internet Directoryに再関連付けする方法について説明します。
表10-1 ドメインでポリシー・ストアおよびアイデンティティ・ストア構成するための手順
| 手順 | 説明 | 詳細 |
|---|---|---|
|
ポリシー・ストアとOracle Internet Directoryの再関連付け |
ドメインのポリシーと資格証明を格納するようにOracle Internet Directoryを構成します。 |
第10.2項「ポリシー・ストアとOracle Internet Directoryの再関連付け」 |
|
アイデンティティ・ストアとOracle Internet Directoryまたは他の外部LDAP認証プロバイダと再関連付けします。 |
Oracle Internet Directory、Oracle Virtual Directoryまたはサード・パーティのLDAP認証プロバイダをドメインのアイデンティティ・ストアとして構成します。 |
第10.3項「アイデンティティ・ストアと外部LDAP認証プロバイダの再関連付け」 |
次の項では、ドメインのポリシーと資格証明を含むポリシー・ストアを、WebLogic ServerデフォルトのXMLストアからOracle Internet Directoryに再関連付けする方法について説明します。
ドメインでLDAPストアを使用する場合は、すべてのポリシー・データと資格証明データが、一元化されたストアで保持および管理されます。ただし、ドメインでXMLポリシー・ストアを使用すると、管理対象サーバー上で行われる変更は、管理サーバーに伝播されません(両方のサーバーが同じドメイン・ホームを使用していない場合)。Oracle WebCenter Contentのエンタープライズ・デプロイメント・トポロジでは、管理サーバーや管理対象サーバーで異なるドメイン・ホームを使用します。そのためOracle WebCenter Contentでは、整合性と一貫性を保持するために、1つのLDAPストアを使用してすべてのポリシーと資格証明を格納する必要があります。
WebLogic Serverドメインのデフォルトでは、ポリシー・ストアにXMLファイルを使用します。次の項では、デフォルト・ストアをポリシーまたは資格証明用のOracle Internet Directory LDAPストアに変更するために必要な手順について説明します。
|
注意: ポリシー・ストアと資格証明ストアのバックエンド・リポジトリは、同じ種類のLDAPサーバーを使用する必要があります。こうした一貫性を保持するために、一方のストアを再関連付けすると、他方のストアも再関連付けされます。つまり、ポリシー・ストアと資格証明ストアの再関連付けが1つの単位として実行されます。詳細は、第10.2.3項「ポリシー・ストアの再関連付け」を参照してください。 |
ドメイン・ポリシー・ストアは、システム固有のポリシーおよびアプリケーション固有のポリシーのリポジトリです。あるドメインには、そのドメインにデプロイされたすべてのアプリケーションで使用できるポリシーがすべて格納されたストアが1つあります。
ポリシー・ストアを再関連付けするには、ファイルベースまたはLDAPベースのリポジトリからLDAPベースのリポジトリにポリシー・データを移行します。つまり、再関連付けでは、格納されているデータの整合性を保持した状態でリポジトリを変更します。再関連付けでは、ソース・ポリシー・ストア内の各ポリシーに対するターゲットLDAPディレクトリが検索され、ディレクトリが検出されると、対応するポリシーが適宜更新されます。ディレクトリが検出されない場合、ポリシーはそのまま移行されます。
ドメイン・ポリシー・ストアをインスタンス化した後はいつでも、ファイルベースまたはLDAPベースのポリシー・ストアを、同じデータを格納しているLDAPベースのポリシー・ストアに再関連付けできます。これをサポートするには、必要に応じてLDAPポリシー・ストアを使用するようにドメインを構成する必要があります。
以降の項では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジ用のポリシー・ストアを含むポリシー・ストアを使用してOracle Internet Directoryを構成する手順について説明します。ポリシー・ストアの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
Oracle WebLogic Serverドメインのポリシー・ストアには資格証明ストアが含まれます。資格証明ストアは、セキュリティ・データ(資格証明)のリポジトリです。資格証明には、ユーザー名とパスワードの組合せ、チケットまたは公開鍵証明書を保持できます。資格証明は、認証の際、プリンシパルをサブジェクトに移入するときに使用し、さらに認可時には、サブジェクトが実行できるアクションを決定するときに使用します。
以降の項では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジ用の資格証明ストアを含むポリシー・ストアを使用してOracle Internet Directoryを構成する手順について説明します。資格証明ストアの構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の資格証明ストアの構成に関する項を参照してください。
Oracle Internet Directory管理者は、ポリシー・ストアとして使用するOracle Internet Directoryに正しくアクセスできるようにLDAPサーバー・ディレクトリにノードを設定する必要があります。
Oracle Internet Directoryサーバーにノードを作成する手順は次のとおりです。
LDIFファイル(この例ではjpstestnode.ldif)を作成し、次のDNエントリとCNエントリを指定します。
dn: cn=jpsroot_ecm cn: jpsroot_ecm objectclass: top objectclass: OrclContainer
ルート・ノードの識別名(エントリ内の文字列jpsroot_ecm)は、他の識別名と異なっている必要があります。複数のWebLogic Serverドメインで1つのルート・ノードを共有できます。このノードは、サブツリーに対する読取りと書込みの権限がOracle Internet Directory管理者に付与されていれば、最上位レベルに作成する必要はありません。
次の例で示すとおり、ldapaddコマンドを使用してOracle Internet Directoryサーバーにこのデータをインポートします。
ORACLE_HOME/bin/ldapadd -h ldap_host -p ldap_port -D cn=orcladmin -w password -c -v -f PATH/jpstestnode.ldif
次の例に示すとおり、Oracle Internet Directoryサーバー上でldapsearchコマンドを使用してノードが正常に挿入されたことを確認します。
ORACLE_HOME/bin/ldapsearch -h ldap_host -p ldap_port -D cn=orcladmin -w password -b "cn=jpsroot_ecm" objectclass="orclContainer"
Oracle Internet DirectoryをLDAPベースのポリシー・ストアとして使用する場合は、最適なデータベース・パフォーマンスを得るために、Oracle Internet Directoryデータベース・ホストでoidstats.sqlユーティリティを実行してデータベース統計を生成します。
ORACLE_HOME/bin/sqlplus
ユーザー名にODSを入力します。入力を求められたら、ODSユーザーの資格証明を入力します。続いて、SQL*Plusで次のコマンドを入力して統計情報を収集します。
@ORACLE_HOME/ldap/admin/oidstats.sql
oidstats.sqlユーティリティは、初期プロビジョニング後に1回だけ実行する必要があります。
oidstats.sqlユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』のOracle Internet Directory管理ツールに関する項を参照してください。
ポリシー・ストアをOracle Internet Directoryに再関連付けするには、Oracle WebLogic Scripting Tool (WLST)のreassociateSecurityStoreコマンドを使用します。
ポリシー・ストアを再関連付けする手順は次のとおりです。
WCCHOST1からwlstシェルを起動します。
cd ORACLE_COMMON_HOME/common/bin
./wlst.sh
次のwlst connectコマンドを使用して、WebLogic Server管理サーバーに接続します。
構文:
connect("admin_user","admin_password","t3://hostname:port")
例:
connect("weblogic","password","t3://ADMINVHN:7001")
reassociateSecurityStoreコマンドを次のように実行します。
構文:
reassociateSecurityStore(domain="domain_name",admin="cn=orcladmin", password="orclPassword",ldapurl="ldap://LDAP_HOST:LDAP_PORT",servertype="OID", jpsroot="cn=jpsroot_ecm")
例:
wls:/domain_name/serverConfig>reassociateSecurityStore(domain="domain_name", admin="cn=orcladmin",password="password",ldapurl="ldap://oid.mycompany.com:389",servertype="OID",jpsroot="cn=jpsroot_ecm")
コマンドの出力は次のようになります。
Location changed to domainRuntime tree. This is a read-only tree with DomainMBean as the root. For more help, use help(domainRuntime) Starting Policy Store reassociation. LDAP server and ServiceConfigurator setup done. Schema is seeded into LDAP server Data is migrated to LDAP server Service in the server after migration has been tested to be available Update of jps configuration is done Policy Store reassociation done. Starting credential Store reassociation LDAP server and ServiceConfigurator setup done. Schema is seeded into LDAP server Data is migrated to LDAP server Service in LDAP server after migration has been tested to be available Update of jps configuration is done Credential Store reassociation done Starting keystore reassociation The server and ServiceConfigurator setup done. Schema is seeded into the server Data is migrated to the server Service in the server after migration has been tested to be available Update of jps configuration is done keystore reassociation done Jps Configuration has been changed. Please restart the server.
コマンドが正しく実行されたら、次の手順に従って管理サーバーを再起動します。
Oracle WebLogic Scripting Tool (WLST)を起動します。
cd ORACLE_COMMON_HOME/common/bin
./wlst.sh
WLSTシェル内で、nmConnectコマンドとノード・マネージャの資格証明を使用してノード・マネージャに接続し(ノード・マネージャが稼動していることを確認しておきます)、nmStartを使用してノード・マネージャを起動します。
wls:/offline>nmConnect("node_admin_user","node_admin_password", "WCCHOST1","5556","domain_name","ORACLE_BASE/admin/domain_name/aserver/domain_name")
wls:/nm/domain_name> nmStart("AdminServer")
|
注意:
|
管理コンソールまたは次のようにノード・マネージャのnmKillコマンドを使用して管理サーバーを停止します。
wls:/nm/domain_name>nmKill("AdminServer")
wls:/offline>nmConnect("node_admin_user","node_admin_password", "WCCHOST1","5556","domain_name","ORACLE_BASE/admin/domain_name/aserver/domain_name")
wls:/nm/domain_name> nmStart("AdminServer")
検索フィルタで使用するOracle Internet Directoryの属性には、索引を付ける必要があります。索引付けは、パフォーマンス向上のために使用するオプションの手順です。このOracle Internet Directoryで属性への索引付けが済んでいない場合は、catalogツールを使用して行います。
catalog connect="orcl" add=true attribute="orclrolescope" verbose="true"
オプションで、属性名を次のようにファイルに入力して、バッチで処理することもできます。
orclrolescope orclassignedroles orclApplicationCommonName orclAppFullName orclCSFAlias orclCSFKey orclCSFName orclCSFDBUrl orclCSFDBPort orclCSFCredentialType orclCSFExpiryTime modifytimestamp createtimestamp orcljpsassignee
Oracle Internet Directory属性の索引付けの詳細は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のタスクおよびカタログの例に関する項を参照してください。
次の項では、Oracle WebLogic Serverにデフォルトで組み込まれているLDAPストアのアイデンティティ・ストアをOracle Internet Directory、Oracle Virtual Directoryまたはサード・パーティの外部LDAP認証プロバイダに再関連付けする方法について説明します。
念のため、LDAP認証プロバイダを作成する前に、まず関連する構成ファイルをバックアップしておきます。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.propertiesファイルもバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/servers/AdminServer/security/boot.properties
Oracle WebLogic Server管理コンソールを使用して、適切なオーセンティケータを設定します。
LDAP認証プロバイダを作成する手順は次のとおりです。
管理コンソールにログインします。
左のナビゲーション・バーにある「セキュリティ・レルム」リンクをクリックします。
myrealmデフォルト・レルム・エントリをクリックして構成します。
このレルムにある「プロバイダ」タブを開きます。
このレルム用に構成したDefaultAuthenticatorプロバイダがあることを確認します。
「ロックして編集」をクリックします。
「新規」ボタンをクリックし、新しいプロバイダを追加します。
Oracle Internet Directory用のプロバイダの名前を入力します(OIDAuthenticatorなど)。
オーセンティケータのリストから「OracleInternetDirectoryAuthenticator」タイプを選択します。
「OK」をクリックします。
「プロバイダ」画面で、新しく作成したオーセンティケータをクリックします。
制御フラグをSUFFICIENTに設定します。
このフラグは、このオーセンティケータによって正常に認証されたユーザーは、その認証を受け入れたうえで、他のオーセンティケータを呼び出さないようにすることを示しています。認証に失敗した場合、そのユーザーは、チェーンにある次の順番のオーセンティケータに引き継がれます。以降のすべてのオーセンティケータの制御フラグも「SUFFICIENT」に設定されていることを確認してください。特にDefaultAuthenticatorを確認し、その制御フラグを「SUFFICIENT」に設定します。
「保存」をクリックしてこの設定を保存します。
「プロバイダ固有」タブを開き、LDAPサーバーの詳細情報を入力します。
次の表に示すように、使用しているLDAPサーバーに固有の詳細情報を入力します。
| パラメータ | 値 | 値の説明 |
|---|---|---|
|
ホスト |
例: |
LDAPサーバーのサーバーID。 |
|
Port |
例: |
LDAPサーバーのポート番号。 |
|
Principal |
例: |
LDAPサーバーへの接続に使用されるLDAPユーザーのDN。 |
|
資格証明 |
なし |
LDAPサーバーへの接続に使用されるパスワード。 |
|
SSL有効 |
オン |
LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。 |
|
ユーザー・ベースDN |
例: |
ユーザーが開始時に使用するDNを指定します。 |
|
グループ・ベースDN |
例: |
ご使用の |
|
取得したユーザー名をプリンシパルとして使用する |
オン |
オンにする必要があります。 |
完了したら「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
Oracle Internet Directoryオーセンティケータおよびデフォルト・オーセンティケータを並べ替えて、それぞれのオーセンティケータの制御フラグが次のように設定されていることを確認します。
Oracle Internet Directory LDAPオーセンティケータ: SUFFICIENT
デフォルト・オーセンティケータ: SUFFICIENT
プロバイダの順序を設定する手順は次のとおりです。
WebLogic Server管理コンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→デフォルト・レルム名→「Providers」に移動します。
「並替え」をクリックし、Oracle Internet Directoryオーセンティケータおよびデフォルト・オーセンティケータの制御フラグが次のように設定されていることを確認します。
Oracle Internet Directory LDAPオーセンティケータ: SUFFICIENT
デフォルト・オーセンティケータ: SUFFICIENT
「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
第10.2.3項「ポリシー・ストアの再関連付け」の手順4に従って管理サーバーを再起動します。
エンタープライズ・トポロジの設定において、この時点ではOracle WebCenter Contentドメインに管理対象サーバーは追加されていません。ドメインで管理対象サーバーを構成している場合は、それらの管理対象サーバーも再起動する必要があります。管理サーバーの再起動前に管理対象サーバーを停止し、管理サーバーの再起動後に管理対象サーバーを起動します。
この項では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジでOracle WebCenter ContentのWebLogic Serverドメインを管理するための、新規の管理ユーザーおよび管理グループのプロビジョニングの詳細について説明します。この項では、次のタスクについて説明します。
この項の冒頭で述べたように、複数のWebLogic Serverドメインのユーザーおよびグループは、中央のLDAPユーザー・ストアにプロビジョニングできます。そのような場合、あるWebLogic Server管理ユーザーがエンタープライズ内のすべてのドメインにアクセスできてしまうことにもなります。このような状況は好ましくありません。このような状況にならないようにするために、プロビジョニングされるユーザーおよびグループには、ディレクトリ・ツリー内で一意の識別名を付与しておく必要があります。エンタープライズ・デプロイメント・トポロジ全体の設定とテストが終了したら、各アプリケーション用の適切なロールを使用して別のシステム管理者を設定してもかまいません。
Oracle WebCenter Content WebLogic Serverドメインの設定時に、次のDNを使用してweblogic_ecmという新しいシステム管理者をLDAPアイデンティティ・ストアにプロビジョニングします。
管理ユーザーDN:
cn=weblogic_ecm,cn=Users,dc=us,dc=mycompany,dc=com
管理グループDN:
cn=ECM Administrators,cn=Groups,dc=us,dc=mycompany,dc=com
管理ユーザーおよび管理グループをOracle Internet Directoryにプロビジョニングする手順は次のとおりです。
次に示す内容を指定してadmin_user.ldifという名前のLDIFファイルを作成し、保存します。
dn: cn=weblogic_ecm, cn=Users, dc=us, dc=mycompany, dc=com
orclsamaccountname: weblogic_ecm
givenname: weblogic_ecm
sn: weblogic_ecm
userpassword: password
mail: weblogic_ecm
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetorgperson
objectclass: orcluser
objectclass: orcluserV2
uid: weblogic_ecm
cn: weblogic_ecm
description: Admin User for the Oracle WebCenter Content Domain
ORACLE_HOME/bin/ディレクトリにあるOracle Internet Directoryホストのldapaddコマンドを実行して、Oracle Internet Directory内のユーザーをプロビジョニングします。
|
注意: ここで使用するOracleホームは、Oracle Internet Directoryが存在するOracle Identity ManagementインストールのOracleホームです。 |
例:
ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D "cn=orcladmin" -w password -c -v -f PATH/admin_user.ldif
次に示す内容を指定してadmin_group.ldifという名前のLDIFファイルを作成し、保存します。
dn: cn=ECM Administrators, cn=Groups, dc=us, dc=mycompany, dc=com displayname: ECM Administrators objectclass: top objectclass: groupOfUniqueNames objectclass: orclGroup uniquemember: cn=weblogic_ecm, cn=Users, dc=us, dc=mycompany, dc=com cn: ECM Administrators description: Administrators Group for the Oracle WebCenter Content Domain
ORACLE_HOME/bin/ディレクトリにあるOracle Internet Directoryホストのldapaddコマンドを実行して、Oracle Internet Directory内のグループをプロビジョニングします。
ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D "cn=orcladmin" -w password -c -v -f PATH/admin_group.ldif_file
次に示す内容を指定してadministrators_group.ldifという名前のLDIFファイルを作成し、保存します。
dn: cn=Administrators, cn=Groups, dc=us, dc=mycompany, dc=com displayname: Default WLS Administrators objectclass: top objectclass: groupOfUniqueNames objectclass: orclGroup cn: Administrators description: WL Administrators Group
|
注意: 管理グループは、Oracle Internet Directoryに存在しない場合にのみ作成してください。 |
Oracle Internet Directoryホストで、ORACLE_HOME/bin/ディレクトリにあるldapaddコマンドを実行して、Oracle Internet Directoryに管理グループをプロビジョニングします。
ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D "cn=orcladmin" -w password -c -v -f PATH/administrators_group.ldif
次に示す内容を指定してmodify_administrators_group.ldifという名前のLDIFファイルを作成し、保存します。
dn: cn=Administrators, cn=Groups, dc=us, dc=mycompany, dc=com changetype: modify add: uniqueMember uniqueMember: cn=ECM Administrators, cn=Groups, dc=us, dc=mycompany, dc=com
Oracle Internet Directoryホストで、ORACLE_HOME/bin/ディレクトリにあるldapmodifyコマンドを実行して、Oracle Internet Directoryの管理グループを変更します。
ORACLE_HOME/bin/ldapmodify -h oid.mycompany.com -p 389 -D "cn=orcladmin" -w password -c -v -f PATH/modiify_administrators_group.ldif
Oracle Internet Directoryにユーザーおよびグループを追加したら、WebLogicドメインのセキュリティ・レルム内で、グループに管理ロールを割り当てる必要があります。これにより、そのグループに属するすべてのユーザーをそのドメインの管理者にできます。
管理ロールを管理グループに割り当てる手順は次のとおりです。
WebLogic管理サーバー・コンソールにログインします。
左側のナビゲーション・ツリーで「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページで、「レルム」表の下の「myrealm」をクリックします。
myrealmの「設定」ページで、「ロールとポリシー」タブを開きます。
「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。これにより、ロールのエントリが表示されます。「ロール」リンクをクリックすると、「グローバル・ロール」ページが開きます。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページを開きます。
「グローバル・ロールの編集」ページで、「ロール条件」表の下の「条件の追加」ボタンをクリックします。
「述部の選択」ページで、述部のドロップダウン・リストから「グループ」を選択し、「次へ」をクリックします。
「引数の編集」ページで、グループ引数フィールドのECM管理者を指定し、「追加」をクリックします。
「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
この時点で、「ロール条件」表には、ECM Administrators Groupというエントリが表示されます。
「保存」をクリックして、Admin RoleをECM Administrators Groupに追加します。
Webブラウザを使用して管理コンソールを開き、変更が正しく行われたことを確認します。weblogic_ecmユーザーの資格証明を使用してログインします。
|
注意: Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジの各Oracleアプリケーションには、あらかじめ定義されたロールや管理目的および監視目的で定義されたグループが存在する可能性があります。デフォルトでは、 |
管理サーバーのboot.propertiesファイルをweblogic_ecm (Oracle Internet Directoryで作成したWebLogic Server管理ユーザー)で更新する必要があります。
boot.propertiesファイルを更新する手順は次のとおりです。
WCCHOST1で、次のディレクトリに移動します。
cd ORACLE_BASE/admin/domain_name/aserver/domain_name/servers/AdminServer/security
既存のboot.propertiesファイルの名前を変更します。
mv boot.properties boot.properties.backup
テキスト・エディタを使用して、セキュリティ・ディレクトリにboot.propertiesというファイルを作成します。次の行をこのファイルに入力します。
username=weblogic_ecm
password=password
ファイルを保存します。
第10.2.3項「ポリシー・ストアの再関連付け」の手順4に従って管理サーバーを再起動します。
