| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース1 (11.1.1.7.0) E64850-01 |
|
 前 |
 次 |
| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース1 (11.1.1.7.0) E64850-01 |
|
前 |
次 |
この章では、Oracle Entitlements Server 11gリリース1 (11.1.1)をインストールおよび構成する方法を説明します。
ここでは、次の項目について説明します。
この章で説明されているいずれかのシナリオでOracle Identity and Access Management製品のインストールおよび構成を開始する前に、Oracle Identity Manager、Oracle Access Manager、Oracle Adaptive Access Manager、Oracle Entitlements ServerおよびOracle Identity Navigatorを含むOracleホーム・ディレクトリを示すのにIAM_Homeが使用されていることに注意してください。このOracleホーム・ディレクトリには任意の名前を指定できます。
Oracle Entitlements Serverは、アプリケーション・リソースの保護を精密に制御するために使用できる緻密な認可および権限管理ソリューションであり、以前はAquaLogic Enterprise Securityと呼ばれていました。これにより、包括的で再利用可能な完全に監査可能な認可ポリシーと簡素で使用しやすい管理モデルが提供され、エンタープライズ・アプリケーションとSOAのセキュリティが簡略化され集中管理されます。詳細は、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』のOracle Entitlements Serverの導入に関する項を参照してください。
Oracle Entitlements Server 11gには、次の2つの個別コンポーネントがあります。
Oracle Entitlements Server管理サーバー(Authorization Policy Manager)
このコンポーネントは、Oracle Identity and Access Management 11gリリース1(11.1.1.7.0)のインストールに含まれており、ミドルウェア・ホーム・ディレクトリを作成するOracle WebLogic Serverが必要です。
OESクライアント(セキュリティ・モジュール)
このコンポーネントには独自のインストーラが付属しており、それはOracle Identity and Access Management 11gリリース1 (11.1.1.7.0)インストールには含まれていません。OESクライアントにはOracle WebLogic Serverは不要です。
表8-1は、Oracle Entitlements Serverのインストールおよび構成のタスクを示します。
表8-1 Oracle Entitlements Serverのインストールおよび構成のフロー
| 番号 | タスク | 説明 |
|---|---|---|
|
1 |
インストレーション・プランニング・ガイドでインストール概念を確認します。 |
『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』を読みます。このドキュメントには、ユーザーの既存の環境に応じて、様々なユーザーがOracle Fusion Middleware 11g (11.1.1)をインストールまたはアップグレードする手順が記載されています。 |
|
2 |
システム要件および動作保証のドキュメントを読み、環境がインストールするコンポーネントの最低のインストール要件を満たしていることを確認します。 |
詳細は、第2.1項「システム要件および動作保証の確認」を参照してください。 |
|
3 |
Oracle Fusion Middlewareソフトウェアを入手します。 |
詳細は、第3.2.1項「Oracle Fusion Middlewareソフトウェアの入手」を参照してください。 |
|
4 |
Oracle Entitlements Serverポリシー・ストアに対応する、次のいずれかのデータベースをインストールします。
|
Oracle Databaseをインストールすることをお薦めします。Oracle Databaseをインストールする場合は、第3.2.2項「データベース要件の確認」を参照してください。 |
|
5 |
Oracle Entitlements Serverに対する適切なスキーマを作成し、ロードします。 |
Oracle Entitlements Serverに対して選択するポリシー・ストアに応じて、次のいずれかを実行します。
|
|
6 |
WebLogic Serverおよびミドルウェア・ホームの要件を確認します。 |
詳細は、第3.2.4項「WebLogic Serverおよびミドルウェア・ホーム要件の確認」を参照してください。 |
|
7 |
Oracle Identity and Access Managementインストーラを起動します。 |
詳細は、第3.2.6項「Oracle Identity and Access Managementインストーラの起動」を参照してください。 |
|
8 |
Oracle Identity and Access Management 11gソフトウェアをインストールします。 |
Oracle Entitlements Serverは、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management Suiteをインストールするには、Oracle Identity and Access Management 11gインストーラを使用します。 詳細は、第3.2.7項「Oracle Identity and Access Management(11.1.1.7.0)のインストール」を参照してください。 |
|
9 |
Oracle Fusion Middleware構成ウィザードを実行して、Oracle Entitlements Server管理サーバーを構成します。 |
詳細は、第8.5項「Oracle Entitlements Server管理サーバーの構成」を参照してください。 |
|
10 |
Oracle Entitlements Serverクライアント・ソフトウェアのインストール |
詳細は、第8.6項「Oracle Entitlements Serverクライアントのインストール」を参照してください。 |
|
11 |
Oracle Entitlements Serverクライアントの構成 |
詳細は、第8.7項「Oracle Entitlements Serverクライアントの構成」を参照してください。 |
|
12 |
Oracle Entitlements Serverの開始 |
詳細は、第8.8項「インストール後のOracle Entitlements Serverのスタート・ガイド」を参照してください。 |
Oracle Entitlements Serverポリシー・ストアに対応するApache Derbyを使用する場合には、次の手順を実行する必要があります。
setNetworkServerCP(UNIXの場合、格納場所はwlserver_10.3/common/derby/bin)またはsetNetworkServerCP.bat(Windowsの場合、格納場所はwlserver_10.3\common\derby\bin)をテキスト・エディタで開き、次の例に示されているようにDERBY_HOMEを指定します。
DERBY_HOME="Oracle/Middleware/wlserver_10.3/common/derby"
次のコマンドを実行して、Apache Derbyデータベースを起動します。
setNetworkServerCP(UNIXの場合)またはsetNetworkServerCP.bat(Windowsの場合)
startNetworkServer(UNIXの場合、格納場所はwlserver_10.3/common/derby/bin)またはstartNetworkServer.bat(Windowsの場合、格納場所はwlserver_10.3\common\derby\bin)
また、startDerby.sh(格納場所はwlserver_10.3/common/bin)またはstartDerby.cmd(格納場所はwlserver_10.3\common\bin)を実行して、Apache Derbyデータベースを起動することも可能です。また、Oracle WebLogic Serverを起動すると、自動的にApache Derbyデータベースが起動します。
ij(UNIXの場合、格納場所はwlserver_10.3/common/derby/bin)またはij.bat(Windowsの場合、格納場所はwlserver_10.3\common\derby\bin)を実行して、ネットワーク・サーバーの接続をテストします。
bin/ij
次の例に示されているとおり、Apache Derbyサーバーに接続します。
ij> connect 'jdbc:derby://127.0.0.1:1527/data/oesdb;create=true';
oesdbはデータベースの名前であり、dataはサーバーを起動したディレクトリに基づく相対パスです。この例では、データベース・ファイルが保存されるOracle/Middleware/wlserver_10.3/common/derby/binです。
opss_user.sql(格納場所はRCU_HOME/rcu/integration/apm/sql/derby)をテキスト・エディタで開き、&&1をスキーマのユーザー名で置き換えます。
前述の手順を次のSQLファイル(格納場所はRCU_HOME/rcu/integration/apm/sql/derby)に対して繰り返します。
opss_tables.sql
opss_version.sql
opss_gencatalog.sql
|
注意: これは、Oracle Entitlements Serverの構成時に指定するスキーマ名です。詳細は、「Oracle Entitlements Server管理サーバーの構成」を参照してください。 |
次のSQLファイル(格納場所はRCU_HOME/rcu/integration/apm/sql/derby)をijコンソールで実行します。
run'opss_user.sql';
run'opss_tables.sql';
run'opss_version.sql';
run'opss_gencatalog.sql';
|
注意: 必ず前述の順序でSQLファイルを実行し、スキーマ所有者と作成したパスワードを書き留めます。 |
この項では、新しいWebLogicドメインにOracle Entitlements Serverを構成する方法を説明します。次の項が含まれます:
この項の構成を実行すると、次のコンポーネントがデプロイされます。
WebLogic管理サーバー
管理サーバー上のOracle Entitlements Serverアプリケーション
Oracle Entitlements Server 11gリリース1(11.1.1)を構成するための前提条件は、次のとおりです。
第8.3項「Oracle Entitlements Serverのインストールおよび構成のロードマップ」の説明に従って、Oracle Entitlements Server管理サーバーをインストールする必要があります。
Apache Derbyを使用している場合、oracle.apm_11.1.1.3.0_template_derby.zipファイル(格納場所はIDM_HOME/common/templates/applications)を抽出して、oracle.apm_11.1.1.3.0_template_derby.jarファイルを次の場所に格納する必要があります。
IAM_HOME\common\templates\applications
新しいWebLogicドメインでOracle Entitlements Serverを構成するには、次の手順を実行します。
|
注意: Oracle Entitlements Server専用のOracle WebLogic Serverドメインが必要です。このドメインでは、それ以外のOracle Identity and Access Managementコンポーネントを構成しないでください。 |
IAM_HOME/common/bin/config.shスクリプト(UNIXの場合)またはIAM_HOME\common\bin\config.cmd (Windowsの場合)を実行します。
Fusion Middleware構成ウィザードが表示されます。
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。
「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。
Oracle Entitlements Server - 11.1.1.0 [IAM_Home]オプションを選択して、「次へ」をクリックします。
|
注意:
|
「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを入力します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。
|
注意: 管理者のユーザー名とパスワードを入力する際には、それを必ず覚えておいてください。 |
「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。
|
注意: 選択しているJDKバージョンがJava SE 6 Update 24以上であることを確認してください。 |
「JDBCコンポーネント・スキーマの構成」画面が表示されます。
「JDBCコンポーネント・スキーマの構成」画面で、Oracle Entitlements Server schemaとMDS Schemaを選択して、スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名、およびポートを指定します。「次へ」をクリックします。
JDBCコンポーネント・スキーマのテスト画面が表示されます。
テストするコンポーネントのスキーマを選択し、「接続のテスト」をクリックします。テストが成功したら、「次へ」をクリックします。
「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、「管理サーバー」、「管理対象サーバー」、「クラスタ」、「マシン」、「デプロイメントとサービス」および「RDBMSセキュリティ・ストア」を構成できます。該当するチェック・ボックスを選択し、「次へ」をクリックします。
|
注意: このステップはオプションです。 |
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
Oracle Entitlements Serverをサポートする新しいWebLogicドメインが、<MW_HOME>\user_projects\domainsディレクトリ(Windowsの場合)に作成されます。UNIXでは、ドメインは<MW_HOME>/user_projects/domainsディレクトリに作成されます。
コマンドラインで次のコマンドを実行して、管理サーバーを起動する必要があります。
Windows
MW_HOME\user_projects\domains\domain_name\bin\startWebLogic.cmd
UNIX
MW_HOME/user_projects/domains/domain_name/bin/startWebLogic.sh
構成を完了するには、コマンドラインで次のコマンドを実行します。
|
注意: 管理サーバーが起動しており実行中であることを確認します。 |
wlst.sh(格納場所はIDM_HOME/common/bin)を実行します。
次のコマンドを使用して管理サーバーに接続します。
connect('weblogic-username', 'weblogic-password','t3://host:port')
ポリシー・ストアに応じて、次のWLST(オンライン)コマンドを実行します。
Oracleデータベース
configureOESAdminServer(servertype="DB_ORACLE");
表8-2 WLSTコマンド(Oracle Database)
| 引数 | 定義 |
|---|---|
|
|
Oracle Entitlements Serverのドメイン名です。デフォルト値は |
|
jpsroot |
すべてのデータの移行先となるターゲット・リポジトリのルート・ノードを指定します。デフォルト値は |
|
datasourcename |
データソースの名前です。デフォルト値は |
|
servertype |
ターゲット・データベースのサーバー名です。「 |
|
注意: デフォルト値を変更するには、コマンドラインに |
Apache Derby
configureOESAdminServer(servertype="DB_DERBY");
表8-3 WLSTコマンド(Apache Derby)
| 引数 | 定義 |
|---|---|
|
|
Oracle Entitlements Serverのドメイン名です。デフォルト値は |
|
jpsroot |
すべてのデータの移行先となるターゲット・リポジトリのルート・ノードを指定します。デフォルト値は |
|
datasourcename |
データソースの名前です。デフォルト値は |
|
servertype |
ターゲット・データベースのサーバー名です。「 |
|
注意: デフォルト値を変更するには、コマンドラインに |
WLSTコマンドの詳細は、『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』およびOracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンスを参照してください。
Oracle Entitlements Server管理サーバーを付録C「サーバーの再起動」の説明に従って再起動します。
Oracle Entitlements Server管理サーバーの構成が成功したことを確認するには、次のURLを使用してOracle Entitlements Server管理コンソールにログインします。
http://hostname:port/apm/
ここで、hostnameは管理サーバーのDNS名またはIPアドレス、portは管理サーバーがリクエストをリスニングしているポートのアドレスです。
詳細は、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』のユーザーインタフェースに対するログインおよびサインアウトに関する項を参照してください。
この項には次のトピックが含まれます:
第8.3項「Oracle Entitlements Serverのインストールおよび構成のロードマップ」の説明に従って、Oracle Entitlements Server管理サーバーをインストールおよび構成する必要があります。
OES Client 11gソフトウェアの入手に関する詳細は、Oracle Fusion Middlewareのダウンロード、インストールおよび構成のReadMeを参照してください。
Oracle Entitlements Server 11gリリース1(11.1.1.7.0)インストールをインストールするには、oesclient.zipのコンテンツをローカル・ディレクトリに抽出し、setup.exe(Windowsの場合)または./runInstaller(UNIXの場合)をDisk1ディレクトリから実行します。
|
注意: インストーラから、システムにインストールされているJDKへの絶対パスを入力するよう要求されます。Oracle WebLogic Serverのインストール時に、ミドルウェア・ホームの下に
JDKを使用してインストール上の問題を回避する場合には、コマンド行で |
表8-4の手順に従い、OESクライアントをインストールします。
インストール画面に関して詳細な情報が必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプを参照してください。
表8-4 OESクライアントのインストール・フロー
| 番号 | 画面 | 説明および必要なアクション |
|---|---|---|
|
1 |
ようこそ |
「次へ」をクリックして続行します。 |
|
2 |
前提条件チェック |
すべての前提条件のチェックに合格したら、「次へ」をクリックして続行します。 |
|
3 |
インストール場所の指定 |
「Oracleホーム・ディレクトリ」フィールドに、OESクライアント・インストールを保存するディレクトリを入力します。このドキュメントでは、このディレクトリを Oracle Entitlements Serverクライアントでは、Oracle WebLogic ServerがインストールされているMiddlewareホームは必要ありません。 OESクライアント・インストールは、Oracle Entitlements Server管理サーバーがインストールされているMiddlewareホームと同じ場所の別のディレクトリに保存することをお薦めします。たとえば、 「次へ」をクリックして続行します。 |
|
4 |
インストール・サマリー |
インストール・サマリー・ページ画面には、選択した内容のサマリーが表示されます。このサマリーを確認し、インストールを開始するかどうかを決定します。この段階でいずれかの構成設定を変更する場合は、左のナビゲーション・ページでトピックを選択し、選択内容を変更します。OESクライアント管理のインストールを続けるには、「インストール」をクリックします。 |
|
5 |
インストールの進行状況 |
UNIXシステムにインストールする場合、 「次へ」をクリックして続行します。 |
|
8 |
インストール完了 |
「終了」をクリックしてインストーラを終了します。 このインストール処理により、Identity Managementソフトウェアがシステムにコピーされ、ミドルウェア・ホームの下にIDM_Homeディレクトリが作成されます。Oracle Fusion Middleware構成ウィザードを実行してWebLogicドメインの作成に進む必要があります。また、ドメインの作成時に管理サーバーの設定を構成する必要があります。 |
OESクライアントが正常にインストールされたことを検証するには、インストール中に指定したOracleホーム・ディレクトリに移動して、OESクライアントのインストール・ファイルが作成されていることを確認します。
OESクライアントはポリシーを、アプリケーションとサービスを保護する個々のセキュリティ・モジュールに配布します。ポリシー・データは、制御された方法または制御されない方法で配布されます。配布モードは、各セキュリティ・モジュールのjps-config.xml構成ファイルで定義されています。指定された配布モードは、そのセキュリティ・モジュールにバインドされているすべてのアプリケーション・ポリシー・オブジェクトに適用できます。
|
注意: 制御された配布モードでOESクライアントを構成することをお薦めします。 |
この項では、次の構成方法について説明します。
次の項で、既存のsmconfig.prpファイルを使用してセキュリティ・モジュールを短時間で構成する方法を説明します。
Javaセキュリティ・モジュールのインスタンスを制御された配布モードで構成するには、次の手順を実行します。
smconfig.java.controlled.prpファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool)をテキスト・エディタで開き、表8-5で説明されているパラメータを指定します。
config.sh(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin)またはconfig.cmd(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin)を次のように実行します。
config.sh –smConfigId <SM_NAME> -prpFileName OES_CLIENT_HOME/oessm/SMConfigTool/smconfig.java.controlled.prp
入力が要求されたら、次の各項目を指定します。
Oracle Entitlements Serverのユーザー名(管理サーバーのユーザー名)
Oracle Entitlements Serverのパスワード(管理サーバーのパスワード)
登録用の新規キーストアのパスワード
RMIセキュリティ・モジュールのインスタンスを制御された配布モードで構成するには、次の手順を実行します。
smconfig.rmi.controlled.prpファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool)をテキスト・エディタで開き、表8-5で説明されているパラメータを指定します。
config.sh(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin)またはconfig.cmd(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin)を次のように実行します。
config.sh –smConfigId <SM_NAME> -RMIListeningPort <RMISM_PORT> -prpFileName OES_CLIENT_HOME/oessm/SMConfigTool/smconfig.rmi.controlled.prp
入力が要求されたら、次の各項目を指定します。
Oracle Entitlements Serverのユーザー名(管理サーバーのユーザー名)
Oracle Entitlements Serverのパスワード(管理サーバーのパスワード)
登録用の新規キーストアのパスワード
Webserviceセキュリティ・モジュールのインスタンスを制御された配布モードで構成するには、次の手順を実行します。
smconfig.ws.controlled.prpファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool)をテキスト・エディタで開き、表8-5で説明されているパラメータを指定します。
config.sh(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin)またはconfig.cmd(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin)を次のように実行します。
config.sh –smConfigId <SM_NAME> -WSListeningPort <WSSM_PORT> -prpFileName OES_CLIENT_HOME/oessm/SMConfigTool/smconfig.ws.controlled.prp
入力が要求されたら、次の各項目を指定します。
Oracle Entitlements Serverのユーザー名(管理サーバーのユーザー名)
Oracle Entitlements Serverのパスワード(管理サーバーのパスワード)
登録用のキーストアのパスワード
Oracle WebLogic Serverセキュリティ・モジュールのインスタンスを制御された配布モードで構成するには、次の手順を実行します。
smconfig.wls.controlled.prpファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool)をテキスト・エディタで開き、表8-5で説明されているパラメータを指定します。
config.sh(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin)またはconfig.cmd(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin)を次のように実行します。
config.sh –smConfigId <SM_NAME> -prpFileName $OES_CLIENT_HOME/oessm/SMConfigTool/smconfig.wls.controlled.prp –serverLocation <Location of Web Logic Server Home
OESクライアントを第8.7.4項「OESクライアント・ドメインの作成」の説明に従って作成します。
配布モードの詳細は、『Oracle Fusion Middleware Oracle Entitlements Server開発者ガイド』の配布モードの定義に関する項を参照してください。
次の各項では、配布モードの構成方法について説明します。
制御された配布モードを構成するには、smconfig.prpファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool)をテキスト・エディタで開き、表8-5で説明されている次のパラメータを編集します。
表8-5 smconfig.prpファイルのパラメータ(制御された配布)
| パラメータ | 説明 |
|---|---|
|
|
デフォルト値の |
|
|
Oracle Entitlements Server管理サーバーのアドレスを入力します。 |
|
|
Oracle Entitlements Server管理サーバーのSSLポート番号を入力します。SSLポート番号は、WebLogic管理コンソールで検出できます。 |
smconfig.prpファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool)をテキスト・エディタで開き、表8-6で説明されている次のパラメータを編集します。
表8-6 smconfig.prpファイルのパラメータ(制御されない配布)
| パラメータ | 説明 |
|---|---|
|
|
配布モードには、 |
|
|
ポリシー・ストア・タイプを指定します。たとえば、Oracle Databaseでは |
|
|
データベース・ポリシー・ストアのJDBC URLを指定します。 |
|
|
LDAP URLを指定します。 |
|
|
ドメイン名を指定します。デフォルト値は |
|
|
jpsコンテキストのルート名を指定します。デフォルト値は |
入力が要求されたら、次の各項目を指定します。
Oracle Entitlements Serverのユーザー名(管理サーバーのユーザー名)
Oracle Entitlements Serverのパスワード(管理サーバーのパスワード)
登録用の新規キーストアのパスワード
OESクライアントには、次のセキュリティ・モジュールがあります。
Javaセキュリティ・モジュール
複数プロトコルのセキュリティ・モジュール
WebLogicセキュリティ・モジュール
詳細は、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』のセキュリティ・モジュールのタイプの概要に関する項を参照してください。
Javaセキュリティ・モジュールは、Java APIを使用して認証を決定する汎用ポリシー決定ポイントです。このセキュリティ・モジュールは次に関して構成できます。
Java Standard Edition(JSE)
Javaセキュリティ・モジュールのインスタンスを作成するには、config.sh(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin)またはconfig.cmd(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin)を次のように実行する必要があります。
|
注意: Javaセキュリティ・モジュールをWebサービス・セキュリティ・モジュールやRMIセキュリティ・モジュールとともにプロキシ・モードで使用する場合は、 |
config.sh -smType java -smConfigId mySM_Java_Controlled -pdServer <oes_server_address> -pdPort <oes_server_ssl_port>
制御されたプッシュ・モードでは、Oracle Entitlements Server管理サーバーのユーザー名とパスワード、および登録用の新規キーストアのパスワードの入力を求められます。
制御されないモードや制御されたプル・モードでは、Oracle Entitlements Serverスキーマのユーザー名とパスワードの入力を求められます。
表8-7では、コマンド行で指定するパラメータについて説明します。
表8-7 JSEセキュリティ・モジュール・パラメータ
| パラメータ | 配布モード | 説明 |
|---|---|---|
|
|
すべて |
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
|
すべて |
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
|
Oracle Entitlements Server管理サーバーのアドレスです。 |
|
|
|
Oracle Entitlements Server管理サーバーのSSLポート番号です。たとえば、 |
Javaセキュリティ・モジュール・インスタンスは、OES_CLIENT_HOME/oes_sm_instances/mySM_javaで作成されます(表8-7で説明されているデフォルト値を使用した場合)。
IBM WebSphere
IBM WebSphere上のJavaセキュリティ・モジュールを構成するには、次の手順を実行します。
IBM WebSphereコンソールを使用して新規アプリケーション・サーバーを作成し、それをOesServerと名付けます。
IBM WebSphereに対して作成したOracle Entitlements Server (OesServer)を起動します。
was-client.war(格納場所はOES_CLIENT_HOME/oessm/pd)を作成したOracle Entitlements Serverにデプロイします。
smconfig.prpファイルをテキスト・エディタで開き、pdクライアント・ポートおよびpd appクライアント・コンテキストを指定します。pdクライアント・ポート番号はIBM WebSphere Application ServerのSSLポート番号であり、pd appクライアント・コンテキストはwas-client.jarをデプロイする場所です。例:
oracle.security.jps.pd.was.client.appcontext=pd-client oracle.security.jps.pd.clientPort=8002
config.shコマンドを次のように実行します。
$OES_CLIENT_HOME/oessm/bin/config.sh -smType was -smConfigId mySM_WAS -pdServer <oes_admin_server> -pdPort <oes_admin_port> -serverNodeName <was_node_name> -serverName <server_name> -serverLocation WAS_HOME -profileName <dmgr_profileName>
WAS_HOMEは、IBM WebSphere Application Serverの場所です。
選択した配布モードに対して、ユーザー名とパスワードの入力を求められたら、IBM WebSphereサーバーのユーザー名とパスワードを指定する必要があります。
制御されたプッシュ・モードでは、Oracle Entitlements Server管理サーバーのユーザー名とパスワード、および登録用の新規キーストアのパスワードの入力を求められます。
制御されないモードや制御されたプル・モードでは、Oracle Entitlements Serverスキーマのユーザー名とパスワードの入力が求められます。
表8-8では、コマンド行で指定するパラメータについて説明します。
表8-8 IBM WebSphereセキュリティ・モジュール・パラメータ
| パラメータ | 配布モード | 説明 |
|---|---|---|
|
|
すべて |
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
|
すべて |
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
制御されたプッシュ |
Oracle Entitlements Server管理サーバーのアドレスです。 |
|
|
制御されたプッシュ |
Oracle Entitlements Server管理サーバーのSSLポート番号です。たとえば、 |
|
|
すべて |
IBM WebSphere Serverの場所です。 |
IBM WebSphere Application ServerのSSLを次のように構成します。
次の例に示すように、keytoolを使用してWLSデモ信頼証明書をWLSデモ信頼キーストア・ファイルからエクスポートすることで、Oracle WebLogic Serverデモ信頼証明書をIBM WebSphereノードのデフォルト信頼キーストアおよびセルのデフォルト信頼キーストアにインポートします。または、OES trust.jksファイルを.derにインポートします。
keytool -exportcert -keystore $OES_CLIENT_HOME/oessm/enroll/DemoTrust.jks -alias wlscertgencab -file ~/was.der
次のように、was.derファイルをWASノードのデフォルト信頼キーストアとセルのデフォルト信頼キーストアにインポートします。
IBM WebSphere Administration Serverコンソールでインポートを確認できます。
「security」→「SSL certificate and key management」→「Key stores and certificates」→「<NodeDefaultTrustStore> <CellDefaultTrustStore>」(ここでは名前を1つ選択する必要があります)→「Signer certificates」。
「追加」をクリックします。
別名を入力します。たとえば、WLSです。
エクスポート済の.derファイルを選択し、データ型にはDERを選択します。
次のように、発行済の秘密鍵をIBM WebSphereノードのデフォルト・キーストアにインポートします。
IBM WebSphere Administration Serverコンソールでインポートを確認できます。
「security」→「SSL certificate and key management」→「Key stores and certificates」→「NodeDefaultKeyStore」→「Personal certificates」。
「インポート」をクリックします。
「Keystore」を選択し、キーストア・ファイルへのパス(格納場所はOES_CLIENT_HOME/oes_sm_instances/mySM_WAS/security/identity.jks)を入力します。
タイプにJKSを選択し、キーストア・ファイルの作成に使用したパスワードを入力します。
証明書の別名はホスト名と同じです。
|
注意: デモ信頼証明書をWAS NDエディションの2つの信頼ストアにインポートする必要があります。秘密鍵の場合、1つのキーストアをインポートする必要があります。 |
次のように、IBM WebSphereセキュリティ・モジュールが実行されているサーバーに対するインバウンドSSLを有効化します。
IBM WebSphere管理コンソールで、「Security」→「SSL certificate and key management」→「Manage endpoint security configurations」の順に移動します。
インバウンド・ツリーを展開して「Inbound」→「DefaultCell(CellDefaultSSLSettings)」→「nodes」→「DefaultCellFederatedNode」→「servers」→「<server name running IBM WebSphere Security Module>」と表示し、サーバーを選択します。
「General Properties」ページで、「Override inherited values」を選択します。
「SSL configuration」リストで、「NodeDefaultSSLSettings」を選択します。
「Update certificate alias list」ボタンをクリックし、「Certificate alias in key store」リストで新規インポート済の秘密鍵の別名を選択します。
「適用」をクリックします。
次のように、IBM WebSphereセキュリティ・モジュールが実行されているサーバーに対するアウトバウンドSSLを有効化します。
IBM WebSphere管理コンソールで、「Security」→「SSL certificate and key management」→「Manage endpoint security configurations」の順に移動します。
インバウンド・ツリーを展開して「Outbound」→「DefaultCell(CellDefaultSSLSettings)」→「nodes」→「DefaultCellFederatedNode」→「servers」→「<server name running IBM WebSphere Security Module>」と表示し、サーバーを選択します。
「General Properties」ページで、「Override inherited values」を選択します。
「SSL configuration」リストで、「NodeDefaultSSLSettings」を選択します。
「Update certificate alias list」をクリックし、「Certificate alias in key store」リストで新規インポート済の秘密鍵の別名を選択します。
「適用」をクリックします。
複数プロトコルのセキュリティ・モジュールとは、汎用Javaセキュリティ・モジュールにラップされた(サービス指向型アーキテクチャ・プリンシパルに基づく)認可サービスです。この項では、次の項目を使用して複数プロトコルのセキュリティ・モジュールの構成方法について説明します。
RMI
RMIセキュリティ・モジュールのインスタンスを構成するには、config.sh(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin)またはconfig.cmd(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin)を次のように実行する必要があります。
config.sh -smType rmi -smConfigId mySM_Rmi_Controlled -pdServer <oes_server_address> -pdPort <oes_server_ssl_port> -RMIListeningPort 9405
制御されたプッシュ・モードでは、Oracle Entitlements Server管理サーバーのユーザー名とパスワード、および登録用の新規キーストアのパスワードの入力を求められたら、それらを指定します。
制御されない配布モードや制御されたプル配布モードでは、入力を求められたらOracle Entitlements Serverスキーマのユーザー名とパスワードを指定します。
表8-9では、コマンド行で指定するパラメータについて説明します。
表8-9 RMIセキュリティ・モジュール・パラメータ
| パラメータ | 配布モード | 説明 |
|---|---|---|
|
|
すべて |
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
|
すべて |
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
制御されたプッシュ |
Oracle Entitlements Server管理サーバーのアドレスです。 |
|
|
制御されたプッシュ |
Oracle Entitlements Server管理サーバーのSSLポートです。たとえば、 |
|
|
すべて |
RMIリスニング・ポートたとえば、 |
このコマンドは、RMIセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
Webサービス
Webserviceセキュリティ・モジュールのインスタンスを作成するには、config.sh(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin)またはconfig.cmd(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin)を次のように実行する必要があります。
config.sh -smType ws -smConfigId mySM_Ws_Controlled -pdServer <oes_server_address> -pdPort <oes_server_ssl_port> -WSListeningPort 9410
制御されたプッシュ・モードでは、Oracle Entitlements Server管理サーバーのユーザー名とパスワード、および登録用の新規キーストアのパスワードの入力を求められたら、それらを指定します。
制御されない配布モードや制御されたプル配布モードでは、入力を求められたらOracle Entitlements Serverスキーマのユーザー名とパスワードを指定します。
表8-10では、コマンドラインで指定するパラメータについて説明します。
表8-10 Web Serviceセキュリティ・モジュール・パラメータ
| パラメータ | 配布モード | 説明 |
|---|---|---|
|
|
すべて |
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
|
すべて |
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
制御されたプッシュ |
Oracle Entitlements Server管理サーバーのアドレスです。 |
|
|
制御されたプッシュ |
Oracle Entitlements Server管理サーバーのSSLポートです。たとえば、7002です。 |
|
|
すべて |
Web Serviceリスニング・ポートです。たとえば、 |
このコマンドは、Webserviceセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
WebLogicセキュリティ・モジュールとは、ポリシー決定ポイントとポリシー施行ポイントの両方を備えたカスタムJavaセキュリティ・モジュールです。これは、明示的認可のAPIコールなしで、WebLogic Serverから直接リクエストを受信できます。これは、WebLogic Serverコンテナ上でのみ稼働します。
WebLogic Serverセキュリティ・モジュールのインスタンスを構成するには、config.sh(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin)またはconfig.cmd(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin)を次のように実行する必要があります。
config.sh -smType wls -smConfigId mySM_WLS -pdServer <oes server> -pdPort <oes_server_ssl_port> -serverLocation MW_HOME/wlserver_10.3/
制御されない配布モードや制御されたプル配布モードでは、入力を求められたらOracle Entitlements Serverスキーマのユーザー名とパスワードを指定します。
表Table 8-11では、コマンドラインで指定するパラメータについて説明します。
表8-11 Oracle WebLogic Serverセキュリティ・モジュールのパラメータ
| パラメータ | 配布モード | 説明 |
|---|---|---|
|
|
すべて |
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
|
すべて |
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
制御されたプッシュ |
Oracle Entitlements Server管理サーバーのアドレスです。 |
|
|
制御されたプッシュ |
Oracle Entitlements Server管理サーバーのSSLポートです。たとえば、7002です。 |
|
|
すべて |
Oracle WebLogic Serverの場所です。 |
構成ウィザードが表示されます。OESクライアントを第8.7.4項「OESクライアント・ドメインの作成」の説明に従って作成します。
Web Serviceセキュリティ・モジュールまたはRMIセキュリティ・モジュール向けのPDPプロキシ・クライアントを、表8-12の説明に従って構成します。
表8-12 PDPプロキシ・クライアントのセキュリティ・モジュールのパラメータ
| パラメータ | 説明 |
|---|---|
|
o |
値に |
|
|
Web Service( |
|
|
|
config.sh(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin)またはconfig.cmd(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin)を、次の例に示されているように実行する必要があります。
Javaセキュリティ・モジュールの場合:
OES_CLIENT_HOME/oessm/bin/config.sh -smType <SM_TYPE> -smConfigId <SM_NAME>
SM_TYPEにはjava、wls、またはwasと入力し、SM_NAMEには適切な名前を入力します。
OESクライアント・ドメインを作成するには、次の手順を実行します。
|
注意: Oracle Entitlements Serverの既存のOracle WebLogic Serverドメインを拡張できます。JRFが存在する既存のドメインはサポートされません。 |
セキュリティ・モジュール構成ツールを起動すると、「Fusion Middleware構成ウィザード」が表示されます。
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。
「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。
Oracle Entitlements Server WebLogic Security Module - 11.1.1.0 [OESCLIENT]オプションを選択します。「次へ」をクリックします。
|
注意:
|
「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを入力します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。
|
注意: 管理者のユーザー名とパスワードを入力する際には、それを必ず覚えておいてください。 |
「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。
|
注意: 選択しているJDKバージョンがJava SE 6 Update 24以上であることを確認してください。 |
「オプションの構成を選択」画面が表示されます。
「オプション構成の選択」画面で、「管理サーバー」と「管理対象サーバー」、クラスタおよびマシン、「デプロイメントとサービス」の各チェック・ボックスを選択して、「次へ」をクリックします。
「管理サーバーの構成」画面が表示されます。
「管理サーバーの構成」画面で、次の詳細情報を入力します。
名前: 有効なサーバー名は、文字列(英数字)です。この名前はドメイン内で一意にする必要があります。たとえば、AdminServerです。
リスニング・アドレス: ドロップダウン・リストからリスニング・アドレスの値を選択します。使用可能な値の情報は、「リスニング・アドレス」の指定に関する項を参照してください。
Listen port: 通常の非セキュア・リクエスト(HTTPやT3などのプロトコル経由)で使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、8001です。
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: セキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、8002です。
|
注意: SSLリスニング・ポート値を指定したら、 |
「管理対象サーバーの構成」画面で、「追加」をクリックして2つの管理対象サーバーを作成します。次の情報を入力します。
名前: 「OES_ManagedServer_1」および「OES_ManagedServer_2」と入力します。
Listen address: ドロップダウン・リストから、OES_ManagedServer_1およびOES_ManagedServer_2に対するリスニング・アドレスの値を選択します。
Listen port: OES_ManagedServer_1およびOES_ManagedServer_2で使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: OES_ManagedServer_1およびOES_ManagedServer_2のセキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
「次へ」をクリックします。
「クラスタの構成」画面が表示されます。「次へ」をクリックします。
「マシンの構成」画面が表示されます。「次へ」をクリックします。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
DOMAIN_HOME/config/oeswlssmconfigの下に3つのディレクトリを作成して、次のように名前を付けます。
AdminServer
OES_ManagedServer_1
OES_ManagedServer_2
前述のDOMAIN_HOME/config/oeswlssmconfigで作成した新規フォルダを除くすべてのファイルを選択してコピーし、次の新たに作成されたフォルダに貼り付けます。
AdminServer
OES_ManagedServer_1
OES_ManagedServer_2
jps-config.xml(格納場所はDOMAIN_HOME/config/oeswlssmconfig/OES_ManagedServer_1)を開き、oracle.security.jps.runtime.pd.client.DistributionServiceURLに対するOES_ManagedServer_1管理対象サーバーのホスト名とポート番号を指定します。
jps-config.xml(格納場所はDOMAIN_HOME/config/oeswlssmconfig/OES_ManagedServer_2)を開き、oracle.security.jps.runtime.pd.client.DistributionServiceURLに対するOES_ManagedServer_2管理対象サーバーのホスト名とポート番号を指定します。
setDomainEnv.sh(UNIX)またはsetDomainEnv.cmd(Windows)をテキスト・エディタで開き、-Doracle.security.jps.config=${DOMAIN_HOME}/config/oeswlssmconfig/jps-config.xmlの行を次のように編集します。
b.-Doracle.security.jps.config=${DOMAIN_HOME}/config/oeswlssmconfig/${SERVER_NAME}/jps-config.xml
Oracle Entitlements Serverセキュリティ・モジュール・インスタンスは、OES_CLIENT_HOME/oes_sm_instancesディレクトリに作成されます。
Oracle WebLogic Serverセキュリティ・モジュールの場合、ドメイン構成はDOMAIN_HOME/config/oeswlssmconfigに格納されています。
必要に応じて、セキュリティ・モジュール・インスタンスを作成、削除、または変更できます。
ご使用のプログラムのJavaセキュリティ・モジュールを構成したら、次の手順に従ってそのプログラムのJavaセキュリティ・モジュールを起動する必要があります。
新規Javaシステム・プロパティの値として、OES_CLIENT_HOME/oes_sm_instances/<SM_NAME>/config/jps-config.xmlに作成されたjps-config.xmlの場所を設定します。
プログラムのクラスパスに「oes-client.jar」(格納場所はOES_CLIENT_HOME/modules/oracle.oes_sm.1.1.1)と入力します。
Oracle Entitlements Serverのインストール後、次のドキュメントを参照してください。
Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド
Oracle Fusion Middleware Oracle Entitlements Server開発者ガイド
