| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この付録では、OAMサーバーおよびクライアント(OAMエージェント)がアクセス・プロトコル・チャネルを介して安全に通信できるようにするために必要な情報と手順について説明します。この章の内容は次のとおりです。
OAMサーバー・モードが証明書の場合、エージェントは証明書モードを使用する必要があります。エージェントの登録中に、少なくとも1つのOAMサーバー・インスタンスがエージェントと同じモードで実行していることが必要です。エージェント登録の後に、OAMサーバーのモードは変更できます。
|
関連項目:
|
OAMサーバーとクライアント(Webゲート)間の通信を保護するということは、コンポーネント登録ページ内のNAP (OAPとも呼びます)チャネルに対してトランスポート・セキュリティ・モードを定義することを意味します。チャネルのセキュリティ・レベルは、次のいずれかに指定されます。
オープン: 暗号化されていない通信
オープン・モードでは、WebGateとOAMサーバー間で認証または暗号化は行われません。WebGateはOAMサーバーのアイデンティティの証明を要求せず、OAMサーバーはすべてのWebGateからの接続を受け入れます。オープン・モードは、通信のセキュリティがデプロイメントで問題にならない場合に使用します。
簡易: Oracleにより発行された公開鍵証明書を使用したSecure Sockets Layer (SSL)プロトコルによる暗号化された通信。
簡易モードは、プレーン・テキストでパスワードを送信したくないといったセキュリティ上の懸念があるものの、独自の認証局(CA)を管理しない場合に使用します。この場合、OAMサーバーおよびWebゲートはOracle CAにより発行および署名された同じ証明書を使用します。詳細は、「簡易モード、暗号化および鍵について」を参照してください。
証明書: 信頼されているサード・パーティ認証局(CA)により発行された公開鍵を使用したSSLによる暗号化された通信。
証明書モードは、OAMサーバーとWebゲートで異なる証明書を使用し、信頼できるサード・パーティCAにアクセスできる場合に使用します。このモードでは、DESアルゴリズムを使用して秘密鍵を暗号化する必要があります。Access ManagerコンポーネントはPEM形式でのX.509デジタル証明書のみを使用します。PEMとはプライバシ強化メールのことであり、パスフレーズが必要です。PEM(プライバシ強化メール)形式は秘密鍵、デジタル証明書、および信頼されている認証局(CA)に適しています。望ましいキーストア形式はJKS (Java KeyStore)形式です。詳細は、「証明書モードの暗号化およびファイルについて」を参照してください。
図C-1に、ユーザー認証および認可中にOAMサーバーおよびWebゲートにより使用される通信チャネルを示します。論理的に、リクエストはAccess Manager資格証明コレクタに送信されます。ただし、Webサーバー・プロキシがWebLogic AdminServerの前にある場合、<LocationMatch "/*">によって、すべてのリクエストがプロキシ経由でルーティングされます。この場合、プロキシを使用した周辺防衛が存在します。
プロセスの概要: 認証および認可
リクエストはWebGateにより捕捉されます。
認証(資格証明の集合)がHTTPチャネルを通じて発生します。
OAMエージェントのみ(mod_ossoでない)で認証がNAPチャネルを通じて発生します。
Secure Sockets Layer (SSL)プロトコルを使用することで、HTTP (HTTPS)チャネルを通じた傍受と介入者攻撃の成功を防ぐことができます。SSLプロトコルはほとんどのWebサーバー製品およびWebブラウザの一部として含まれます。SSLはデジタル証明書を含む、効果および秘密鍵暗号化システムを使用します。Webサーバーまたはディレクトリ・サーバーに対するSSL通信の有効化についての詳細は、ベンダーのドキュメントを参照してください。
PEM(プライバシ強化メール)形式(BASE64エンコードASCII)は秘密鍵、デジタル証明書、および信頼されている認証局(CA)に適しています。OAMサーバーにとっての望ましいキーストア形式はJCEKSで、OAMクライアントの場合はJKS (Java KeyStore)形式です。Access Managerコンポーネントは、DER(バイナリ形式の証明書)形式のみのX.509デジタル証明書を使用します。
詳細な情報は、次を参照してください:
公開鍵インフラストラクチャにより、デジタル証明書は次のものに基づきWebベースのトランザクションの資格証明を確立します。
証明書の所有者の名前
証明書のシリアル番号
証明書の有効期限
証明書の所有者の公開鍵のコピー、これはメッセージおよびデジタル署名の暗号化に使用されます
証明書を発行する認証局のデジタル署名が提供されて、受信者はその証明書が本物であることを確認できます
デジタル証明書はレジストリに格納でき、そこから認証ユーザーが他のユーザーの公開鍵を検索できます。
暗号化では、公開鍵は暗号化キーとして使用される、指定した認証局により提供された値です。公開鍵を使用するためのシステムは公開鍵インフラストラクチャ(PKI)と呼ばれます。公開鍵インフラストラクチャの一部として、認証局は登録局(RA)に問合せてデジタル証明書のリクエスタにより提供された情報を検証します。RAがリクエスタの情報を検証すると、CAは証明書を発行できます。
秘密鍵は公開鍵から導出できます。公開鍵および秘密鍵の組合せは非対称暗号と呼ばれ、メッセージおよびデジタル署名を効果的に暗号化するのに使用できます。
管理者はOAMサーバー構成で指定したトランスポート経由でのみOAMサーバーにアクセス可能にする必要があります。OAMサーバー構成は、サーバーのエンド・ポイントとロード・バランサまたは逆プロキシのアカウントを定義します。OAMサーバーにHTTPとHTTPSの両方でアクセス可能な場合、すべてのリクエスト(いずれのトランスポート経由でも)が受け入れられます。
ユーザーがX509以外の認証スキームによるSSLでOAMサーバーと接続(およびログアウト)できるようにするためには、指定したサーバー・ポートをCLIENT CERTSを必要とするように構成しないでください。
X509認証スキーム(X509Scheme)では、OAMサーバーSSLポートはサーバー・ポートと異なっていて、クライアント証明書を必要とするよう構成されている必要があります。X509Schemeを使用していると、X509モジュールは資格証明コレクションの後にコールされます。X509SchemeはX509チャレンジ・メソッドとX509認証モジュールを必要とします。資格証明コレクタへの完全修飾URLをX509Scheme内のチャレンジURLとして指定する必要があります。例: https://managed_server_host:managed_server_ssl_port/oam/CredCollectServlet/X509
|
注意: 相対的なチャレンジURLをX509Schemeで指定した場合、OAMサーバーは指定したサーバーホスト/ポートを使用してX509資格証明コレクタの完全修飾URLを構築します。ただし、この構成は動作しません。 |
管理者はOracleが提供するimportcertツールを、キーストア、キーおよび証明書に関連した様々な手順で使用します。表C-1は、importcertコマンドの構文を示しています。
表C-1 importcertコマンドの構文
| オプション | 説明 |
|---|---|
|
keystore |
このコマンドを、既存の(または新規)キーストアのパスで続けます。例: /scratch/.oamkeystore or /scratch/clientKey.jks |
|
privatekeyfile |
このオプションを、秘密鍵のパスで続けます。例: /scratch/aaa_key.der |
|
signedcertfile |
このオプションを、署名済証明書のパスで続けます。例: /scratch/aaa_cert.der |
|
alias |
このオプションを、キーストア・エントリ別名で続けます。genkeystoreで必要です。 alias |
|
storetype |
このオプションを、キーストア・タイプで続けます。デフォルトでは、ストア・タイプはJCEKS (OAMサーバー・キーストア)です。例: サーバー・キーストア.oamkeystoreのタイプは次のようになります。 JCEKS クライアント・キーストア/scratch/clientTrustStore.jksおよび/scratch/clientKey.jksを使用できます。どちらも、次のタイプになります。 JKS |
|
genkeystore |
このフラグは、OAMクライアント証明書を生成する場合に必要です。クライアントでは、別名および別名パスワードのパラメータが表示されません。しかし、importcertツールはキーストア・パスワードを別名パスワードとして設定します。 次の内容を指定します。 Yes or No Yesは、証明書を新しいキーストアにインポートします。 Noは、証明書を既存のキーストアにインポートします。 |
|
OAMサーバーの場合の例 |
- java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore <path to .oamkeystore> -privatekeyfile <path to aaa_key.der> -signedcertfile <path to aaa_cert.der> -alias oam.certmode -aliaspassword <password> -storetype <JCEKS> genkeystore <yes> キーストア・パスワードと別名パスワードを、求められたら入力します。 |
|
OAMクライアントの場合の例 |
- java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore <path to clientkey.JKS> -privatekeyfile <path to aaa_key.der> -signedcertfile <path to aaa_cert.der> -storetype <JKS> genkeystore <yes> キーストア・パスワードを、求められたら入力します。 |
この項は、証明書モードのOAMテスターで使用するJKSキーストアを生成する場合のみ必要になります。それ以外の場合は、次の項に進んでください。
この項ではimportcertコマンドを使用して、インポートした信頼できる証明書チェーンを含むための、証明書モードのOAMテスター用のクライアント・キーストアを生成する方法を説明します。
証明書モードのOAMテスター用のクライアント・キーストアを生成する手順
ImportCertツールを使用して、JKSキーストア(-privatekeyfileおよび-signedcertfileにより指定されたファイル名)を作成します。例:
- java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore <Keystore path> -privatekeyfile <Private key file> -signedcertfile <Signed certificate file> path -storetype <JKS> genkeystore <yes>
キーストア・パスワードを、求められたら入力します。
使用する環境の必要に応じて次に進みます:
キーストアの削除: 次のコマンドを使用して、JKSキーストアを削除します。例:
keytool -delete -alias <alias> -keystore <path to clientkey.JKS> -storetype <JKS>
キーストア・パスワードを、求められたら入力します。
この項では、Access Managerの証明書モード通信の構成方法について説明します。次のタスクは証明書モードにのみ適用されます。
|
注意: 簡易モードでは、バンドルされたAccess Manager-CA署名付き証明書が使用されて、次のタスクのほとんどは必要ありません。 |
前提条件
エージェントの登録中に、少なくとも1つのOAMサーバー・インスタンスがエージェントと同じモードで実行していることが必要です。そうでないと、登録は失敗します。ただし、エージェントの登録後、OAMサーバーの通信モードを変更できます。
タスク概要: OAMサーバーの証明書の追加には次のものが含まれます。
次の内容の確認:
Webゲートの証明書リクエストによって、リクエスト・ファイルaaa_req.pemが生成されます。これを、OAMサーバーにより信頼されているルートCAに送信する必要があります。ルートCAは証明書を戻し、その後、10g Webゲートのインストール中または後のいずれかでインストールできます(11g Webゲートの場合、Webゲートのインストールおよび構成後にWebゲート・インスタンス領域に手動でコピーする必要があります)。
aaa_key.pem (Webゲート・キー・ファイルの予約名。変更できません)
aaa_cert.pem (Webゲート証明書ファイルの予約名。変更できません)
aaa_chain.pem (Webゲート側のCA証明書の予約名)
証明書モードでのコンポーネントのインストール中に、外部CAから取得した証明書が存在するかどうかを尋ねられます。証明書をまだ所有していない場合、リクエストできます。証明書を受領するまでは、WebGateを簡易モードで構成できます。ただし、証明書が発行されインストールされるまで、OAMデプロイメントは完了できません。
WebゲートをOAMエージェントとして登録するときに証明書モードを選択すると、エージェント・キー・パスワードを入力するフィールドが表示されます。11g WebGate登録の編集時に、モードがオープンから証明書へ、または簡易から証明書へ変更される場合にのみpassword.xmlが更新されます。証明書モードでは、一度生成されるとpassword.xmlは更新できません。エージェント・キー・パスワードを編集しても、新しいpassword.xmlは生成されません。
証明書リクエストを作成し、CAに送信する必要があります。証明書が戻されると、それをOAMサーバーにインポート(またはWebGateにコピー)する必要があります。
次の手順を使用して、秘密鍵、証明書およびOAMサーバーのCA証明書を取得します。
|
注意: 10gと11gの登録間の一貫性を保つための認証ツールはopenSSLです。証明書およびキーをPEM形式で生成するには、他のツールではなくopenSSLを使用することをお薦めします。 |
OAMサーバーの秘密鍵および証明書を取得するには:
次のような証明書リクエスト(aaa_req.pem)および秘密鍵(aaa_key.pem)の両方を生成します。
–OpenSSL req –new –keyout aaa_key.pem –out aaa_req.pem –utf8 -nodes -config openssl_silent_ohs11g.cnf
証明書リクエスト(aaa_req.pem)を信頼されているCAに送信します。
base64でのCA証明書をaaa_chain.pemとしてダウンロードします。
base64およびDER形式の両方での証明書をaaa_cert.pemおよびaaa_cert.derとしてダウンロードします。
次のようにパスワードを使用して秘密鍵(aaa_key.pem)を暗号化します。
openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass: ******** -des
「OAMキーストア別名およびパスワードの取得」に進みます。
有効な管理者証明書を持つユーザーは、次のタスクを実行して、認証に使用される指定キーストア内の証明書の別名と、証明書のインポートに必要なパスワードを取得できます。
OAMキーストア・パスワードを取得する手順
Oracle Access Managementコンソールが実行中であることを確認してください。
Oracle Access Managementコンソールをホストしているコンピュータで、キーストア・パスワードの取得時に使用するOAMインストール・パスのWebLogic Scripting Toolを探します。例:
$ORACLE_IDM_HOME/common/bin/
ここで、$ORACLE_IDM_HOMEはベース・インストール・ディレクトリで、/common/binはスクリプト・ツールが置かれているパスです。
WebLogic Scripting Toolを開始します。
·/ wlst.sh
WLSTシェルで、接続するコマンドを入力してからリクエスト情報を入力します。例:
wls:/offline> connect() Please enter your username [weblogic] : Please enter your password [welcome1] : Please enter your server URL [t3://localhost:7001] : wls:/base_domain/serverConfig>
次のコマンドを入力して、場所を読取り専用のdomainRuntimeツリーに変更します(ヘルプを表示するにはhelp(domainRuntime)を使用します)。例:
wls:/OAM_AC> domainRuntime()
次のコマンドを入力して、OAMキーストアの証明書をリストします。例:
wls:/OAM_AC/domainruntime> listCred(map="OAM_STORE",key="jks")
ここで、OAM_STOREは、Access Managerによって使用されるキーストアの名前を表します。
表示されるOAMキーストアのパスワードは、証明書のインポートに必要なため、最新の注意を払ってください。
Oracleが提供するimportcertツールは、既存の秘密鍵、署名済証明書(公開鍵)ファイルを指定のキーストア形式であるJKS (クライアント・キーストア形式)またはJCEKS (OAMサーバー・キーストア形式、たとえば .oamkeystore)へインポートするために使用します。
Access Managerに関連付けられたキーストアはPKCS8 DER形式の証明書のみを受け入れます。
PEM形式の証明書が認証局(CA)によって署名されている場合、次の手順はAccess Managerに付属しているimportcertを使用してこれらの証明書を変換した後にインポートする方法を説明します。
PEM形式の証明書がない場合は、証明書リクエストを作成してCAで署名を受けた後で、次の手順を開始してください。
次にJDKバージョン6のkeytoolを使用するための手順を示します。異なるバージョンのkeytoolの場合、そのJDKバージョンのドキュメントを参照してください。
|
注意: keytoolユーティリティを使用する場合、デフォルトの鍵ペア生成アルゴリズムはデジタル署名アルゴリズム(DSA)です。ただし、Oracle Access ManagementおよびWebLogic ServerはDSAをサポートしないので、別の鍵ペア生成および署名アルゴリズムを指定する必要があります。 |
前提条件
信頼できる証明書チェーンをキーストアにインポートする手順
次のパスでキーツールを探します。
$MW_HOME/jdk160_18/bin/keytool
importcert.zipを解凍して、次のパスでReadMeファイルを探します。
$ORACLE_IDM_HOME/oam/server/tools/importcert/README
aaa_chain.pem: テキスト・エディタを使用してaaa_chain.pemファイルを変更して、CERTIFICATEブロック内に含まれるデータを除くすべてのデータを削除してからそのファイルを保存します。
----BEGIN CERTIFICATE-----
...
CERTIFICATE
...
-----END CERTIFICATE-----
次のコマンドと環境に応じた詳細を使用して、信頼された証明書チェーンをインポートします。例:
keytool -importcert -file aaa_chain.pem -trustcacerts -storepass <password>
-keystore $ORACLE_HOME\user_projects\domains\$DOMAIN\config\fmwconfig\
.oamkeystore -storetype JCEKS
証明書を信頼するかどうか尋ねられたら、「yes」と入力します。
aaa_cert.pem:
TextPadを使用してaaa_certn.pemを編集し、CERTIFICATEブロック内に含まれるデータを除くすべてのデータを削除し、そのファイルを新しい場所に保管して元のファイルを保持します。例:
----BEGIN CERTIFICATE-----
...
CERTIFICATE
...
-----END CERTIFICATE-----
次のコマンドを入力して署名された証明書(aaa_cert.pem)を、openSSLまたは他のツールを使用してDER形式に変換します。例:
openssl x509 -in aaa_cert.pem -inform PEM -out aaa_cert.der -outform DER
aaa_key.pem:
aaa_key.pemを編集し、CERTIFICATEブロック内に含まれるデータを除くすべてのデータを削除し、そのファイルを新しい場所に保管して元のファイルを保持します。例:
----BEGIN CERTIFICATE-----
...
CERTIFICATE
...
-----END CERTIFICATE-----
次のコマンドを入力して秘密鍵(aaa_key.pem)を、openSSLまたは他のツールを使用してDER形式に変換します。例:
openssl pkcs8 -topk8 -nocrypt -in aaa_key.pem -inform PEM -out aaa_key.der -outform DER
キーストアに署名付きDER形式の証明書をインポートします。例:
環境に応じた次のコマンド行引数および詳細を使用してaaa_key.derをインポートします。例:
c:\Middleware\idm_home\oam\server\tools\importcert
- java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore <> -privatekeyfile <path> -signedcertfile <path> -alias [ -storetype <> genkeystore <> -help]
|
注意: キーストア・パスワードと別名パスワードを、求められたら入力します。Windowsシステムでは、コロン(:)のかわりにセミコロン(;)をコマンド行で使用してください。 |
証明書をキーストアにインポートした後で、先ほど指定した別名およびパスワードを、Oracle Access ManagementコンソールでAccess Manager設定構成に、ここでの説明に従って追加する必要があります。
|
注意: 簡易モードには明示的な構成は必要なく、即時可能な状態で提供されます。 |
前提条件
信頼できる、署名された証明書チェーンをキーストアへインポート
証明書詳細をAccess Manager設定に追加する手順
Oracle Access Managementコンソールで、「システム構成」タブをクリックします。
「システム構成」タブの「Access Manager」セクションで、「Access Managerの設定」ページを開きます。
ページの「アクセス・プロトコル」セクションを、必要に応じて展開します。
前の手順で取得した別名および別名パスワード詳細を入力します。例:
証明書モード構成
PEMキーストア別名: my_keystore_alias
PEMキーストア別名のパスワード: my_keystore_alias_pw
「適用」をクリックして構成を保存します。
ページを閉じます。
OAMサーバー登録ページを開き、「プロキシ」タブをクリックし、プロキシ・モードを「証明書」に変更して「適用」をクリックします。
OAMサーバーを再起動します。
次の手順を使用して、秘密鍵、証明書およびWebGateのCA証明書を取得します。
|
注意: 10gと11gの登録間の一貫性を保つための認証ツールはopenSSLです。証明書およびキーをPEM形式で生成するには、他のツールではなくopenSSLを使用することをお薦めします。 |
WebGateの秘密鍵および証明書を取得する手順
次のような証明書リクエスト(aaa_req.pem)および秘密鍵(aaa_key.pem)の両方を生成します。
openssl req -new -keyout aaa_key.pem -out aaa_req.pem -utf8 -nodes
証明書リクエスト(aaa_req.pem)を信頼されているCAに送信します。
base64でのCA証明書をaaa_chain.pemとしてダウンロードします。
base64形式での証明書をformat as aaa_cert.pemとしてダウンロードします。
次のようにパスワードを使用して秘密鍵(aaa_key.pem)を暗号化します。
openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass: ******** -des
「証明書を使用するようにWebゲートを更新」に進みます。
すべての通信モード(オープン、簡易または証明書)で、エージェント登録はOracle Access Managementコンソールから更新する必要があります。
エージェントの登録: OAMエージェントの登録時に証明書モードを選択すると、エージェント・キー・パスワードを入力するフィールドが表示されます。
エージェントの編集/更新: 11g Webゲートの登録を編集するときに、モードがオープンから証明書、あるいは簡易から証明書へ変更される場合にのみpassword.xmlが更新されます。
エージェント・キー・パスワードを編集しても、新しいpassword.xmlは生成されません。証明書モードでは、一度生成されるとpassword.xmlは更新できません。
前提条件
WebGateエージェント登録の通信モードを更新する手順
「システム構成」タブの「Access Manager」セクションで、「SSOエージェント」ノードを開いて「OAMエージェント」を開きます。
「検索」ページで、検索基準を定義して目的のエージェント登録を開きます(「OAMエージェント登録の検索」を参照してください)。
エージェントの登録ページで「セキュリティ」オプションを探して「証明書」(または「簡易」)をクリックします。
証明書モード: 「Webゲートの秘密鍵および証明書リクエストの生成」の手順5の指定に従いエージェント・キー・パスワードを入力します。
「適用」をクリックして変更を送信します。
更新したWebゲート・ファイルを、次のようにコピーします。
11g Webゲート:
コピー元: $IDM_DOMAIN_HOME/output/AGENT_NAME
コピー先: $OHS_INSTANCE_HOME/config/OHS/ohs2/webgate/config
10g Webゲート: ObAccessClient.xml
コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME
コピー先: $WebGate_install_dir/oblix/lib
10g Webゲート: password.xml
コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME
コピー先: $WebGate_install_dir/oblix/config
「OAMサーバー用の証明書リクエストおよび秘密鍵の生成」時に作成された次のファイルをコピーします。
11g Webゲート:
元:
コピー先: OHS_INSTANCE_HOME/config/OHS/ohs2/webgate/config
10g Webゲート:
元:
コピー先: $WebGate_install_dir/oblix/config
OAMサーバーおよびOracle HTTP Serverインスタンスを再起動します。
トランスポート・セキュリティ通信モードはOAMのインストール中に選択されます。簡易モードのとき、インストーラは最初にランダムなグローバル・パスフレーズを生成しますが、これは後で必要に応じて編集できます。
|
注意: エージェントとサーバー間の通信は、Webゲート・モードがOAMサーバー・モードと同じか、それ以上であれば動作します。 |
OAMエージェントまたは新しいOAMサーバーを登録する際には、簡易モードを指定できます。ただし、グローバル・パスフレーズの変更には、簡易モードを使用するすべてのエージェントと新しいグローバル・パスフレーズの再構成が必要です。
|
注意: エージェントの登録中に、少なくとも1つのOAMサーバー・インスタンスがエージェントと同じモードで実行していることが必要です。そうでないと、登録は失敗します。ただし、エージェントの登録後、OAMサーバーの通信モードを変更できます。 |
エージェント・モードは高くても問題ありませんが、低くしないでください。最高レベルのセキュリティは「証明書」モードで、最も低いのは「オープン」モードです。
「証明書」モード、「簡易」モード、「オープン」モード
この項では、簡易モード通信の構成に必要な情報を提供します。
タスク概要: 簡易モード通信の構成には次のことが含まれます
次の内容の確認:
簡易モード暗号化の場合、Access Managerには認証局がその固有の秘密鍵とともに含まれ、すべてのWebゲートおよびOAMサーバーにインストールされます。インストール中に、OAMサーバーの秘密鍵-公開鍵のペアが生成され、保存されます。OAMエージェントのインストールでも同様にOracle認証局がインストールされます。
インストーラは最初にランダムなグローバル・パスフレーズを生成しますが、これは必要に応じて編集または表示できます。エージェントがSIMPLE(簡易)モードで登録されていると、次のクライアント証明書が生成され、クライアントにより使用されます。
aaa_key.pem: 秘密鍵が含まれています
aaa_cert.pem: 署名された証明書
password.xml: ランダムなグローバル・パスフレーズが不明瞭化された形式で含まれています
|
注意: グローバル・パスフレーズを変更すると、「簡易」モードですでに構成されているすべてのエージェントの再構成が必要になります。 |
Access Managerは「簡易」モード通信用のランダムなグローバル・パスフレーズを、インストール中に生成します。次の手順では、このパスワードを取得する方法を説明します。
「簡易」モード通信用のランダムなグローバル・パスフレーズを取得する手順
Oracle Access Managementコンソールが実行中であることを確認します。
Oracle Access Managementコンソールをホストしているコンピュータで、次のパスにあるWebLogic Scripting Toolを探します。例:
$ORACLE_IDM_HOME/common/bin
ここで、$ORACLE_IDM_HOMEはベース・インストール・ディレクトリで、/common/binはスクリプト・ツールが置かれているパスです。
WebLogic Scripting Toolを起動します。次に、UNIXシステムの例を示します。
./ wlst.sh
WLSTシェルで、接続するコマンドを入力してからリクエスト情報を入力します。例:
wls:/offline> connect() Please enter your username [weblogic] : Please enter your password [weblogic] : Please enter your server URL [t3://localhost:7001] : wls:/base_domain/serverConfig>
次のコマンドを入力して、場所を読取り専用のdomainRuntimeツリーに変更します(ヘルプを表示するにはhelp(domainRuntime)を使用します)。例:
wls:/OAM_AC>domainRuntime()
次のコマンドを入力して、グローバル・パスフレーズを表示します。例:
wls:/OAM_AC> displaySimpleModeGlobalPassphrase()
「簡易モード用Webゲート登録の更新」に進みます。
簡易セキュリティ・モード用に生成されたアーティファクトはグローバル・パスフレーズを使用し、変更はWebゲートに伝播される必要があります。
簡易モード用に既存のWebゲート登録を更新するには、Oracle Access Managementコンソールを使用してWebゲート登録をいったん削除してから、再登録できます(簡易モードを指定し、ポリシーの自動生成を無効にします)。または、ここで説明するように、Webゲート登録を編集してから、アーティファクトをコピーすることもできます。
簡易モード用WebGate登録を更新する手順
「システム構成」タブの「Access Manager」セクションで、「SSOエージェント」ノードを開いて「OAMエージェント」を開きます。
「検索」ページで、検索基準を定義して目的のエージェント登録を開きます(「OAMエージェント登録の検索」を参照してください)。
登録ページで「セキュリティ」オプションを探して「簡易」をクリックします。
「適用」をクリックして変更を送信します。
更新したWebゲート・ファイルを、次のようにコピーします。
11g Webゲート:
コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME (OAM AdminServerがインストールされているWebLogicドメイン・ホーム)
コピー先: $OHS_INSTANCE_HOME/config/OHS/ohs2/webgate/config
10g Webゲート: ObAccessClient.xml
コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME
コピー先: $WebGate_install_dir/oblix/lib
10g Webゲート: password.xml
コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME
コピー先: $WebGate_install_dir/oblix/config
次のファイルを、Webゲート・リリースでの指示に従ってコピーします。
11g Webゲート:
コピー元: $IDM_DOMAIN_HOME/output/AGENT_NAME
コピー先: $OHS_INSTANCE_HOME/config/OHS/ohs2/webgate/webgate/config/simple
10g Webゲート:
コピー元: $IDM_DOMAIN_HOME/output/AGENT_NAME
コピー先: $WebGate_install_dir/oblix/config/simple
OAMサーバーおよびOracle HTTP Serverインスタンスを再起動します。
簡易モードへの変更をインスタンス化するためにWebサーバーを再起動する必要があります。次にその結果を検証できます。
簡易モードの変更を検証する手順
コマンド行ウィンドウからWebサーバーを再起動します。例:
d:\middleware\ohs_home\instances\ohs_webgate11g\bin opmnctl stopall opmnctl startall
ブラウザ・ウィンドウで、簡易モードを使用してWebGateにより保護されているリソースへのURLを入力します。
求められたら、ログイン資格証明を入力します。
リソースが実行中であることを確認してください。
