| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章では、Access ManagerとMicrosoft Forefront Threat Management Gateway (TMG) 2010との間の通信を構成する方法について説明します。内容は次のとおりです。
Access ManagerとMicrosoft Forefront Threat Management Gateway (TMG) 2010との統合をサポートするようになりました。
この章は、Access Managerのポリシーと操作に詳しいユーザーを対象としています。
この項では、実行後、この統合が有効になるタスクの概要を示します。内容は次のとおりです。
Microsoft Forefront Threat Management Gateway (TMG) 2010は、Internet Security and Acceleration (ISA) Server 2006の次世代サーバーです。この章では、Forefront TMG WebサーバーとAccess Manager間のオープンな(保護されていない)接続を構成する手順について説明します。この通信は、ISAPI対応10g Webgateの使用に基づいています。保護されている通信の詳細は、Forefront TMG Serverのドキュメントを参照してください。
IIS WebサーバーとForefront TMGは、同じコンピュータにインストールされていても、別々のコンピュータにインストールされていてもかまいません。この章の例では、両方が同じホストにインストールされています。
次の概要では、実行が必要なタスクと、ISAPI WebGateをTMG Serverに合せて設定する手順について説明します。
この章で特定のバージョンおよびプラットフォームについて言及している場合、それらは例示のみの目的で記載されています。
Access Managerの最新の動作確認情報は、次のOracle Technology Networkを参照してください。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
Forefront TMG 2010をインストールした後、デフォルトのファイアウォール・ポリシーが、Forefrontをホストするコンピュータに対するすべてのトラフィックを拒否するため、そのホストに対して、他のコンピュータからpingを実行できなくなります。この項では、次の操作に必要な情報を提供します。
次の手順で、カスタムForefrontファイアウォール・ポリシーを作成します。
前提条件
ベンダーのドキュメントに従ってForefront TMG 2010をインストールします。
デフォルトのファイアウォール・ポリシーをオーバーライドするカスタム・ポリシーを作成するには:
「スタート」→「すべてのプログラム」→「Microsoft Forefront TMG」→「Forefront TMG Management」の順に選択して、Forefront TMGコンソールを開きます。
左側のペインの「ファイアウォール ポリシー」をクリックします。
右側のペインで、「アクセス規則の作成」をクリックして、カスタム・ポリシーを作成します。
次の属性と値を割り当てて、ルールを作成します。
名前: カスタム・ポリシーの名前
アクション = 許可
プロトコル = すべての出力方向
マルウェア検出 = このルールに対してはマルウェア検出を有効にしない
出力元 = 外部、内部、ローカル・ホスト
出力先 = 外部、内部、ローカル・ホスト
条件 = すべてのユーザー
「次へ」をクリックして、アクセス規則を作成し、「適用」をクリックします。
Forefront TMGを再起動して、変更を有効にします。
ファイアウォール・サービスの停止ではnet stop fwsrvコマンドが使用されます。
ファイアウォール・サービスの開始ではnet start fwsrvコマンドが使用されます。
リソースを保護するため、次の手順に従って、Forefront TMGコンソールを使用してファイアウォール・ポリシーを作成する必要があります。
認証の基本設定に対してリスナーを作成する際、「HTTP 経由でのクライアントの認証を許可する」と「すべてのユーザーに認証を要求する」を選択してください。そのようにされていない場合、TMGプロキシを使用して公開済Webサイトにアクセスできなくなります。
TMGサーバーは、公開済Webサーバーへの認証を行う際、「認証の委任」を使用します。
|
注意: IISとForefront TMGは同じ(または別々の)コンピュータにインストールできます。ここでは、両方が同じホスト上にインストールされている状態としています。 |
デフォルトのファイアウォール・ポリシーをオーバーライドするカスタム・ポリシーを作成するには:
「スタート」→「すべてのプログラム」→「Microsoft Forefront TMG」→「Forefront TMG Management」の順に選択して、Forefront TMGコンソールを開きます。
左側のペインの「ファイアウォール ポリシー」をクリックします。
「タスク」タブで「Webサイトの公開」をクリックします。
「Web公開ルールの名前」フィールドにわかりやすいルール名を入力し、「次へ」をクリックします。
「ルールの動作の選択」ページで、「許可」オプションが選択されていることを確認し、「次へ」をクリックします。
「公開の種類」で、「1つのWebサイトまたは負荷分散装置を公開する」オプションが選択されていることを確認し、「次へ」をクリックします。
手順7は、Webサーバーとのオープンな(保護されていない)接続のための構成を示しています。保護されている通信を使用する場合は、Forefront TMG Serverのドキュメントを参照してください。
「サーバー接続セキュリティ」ページで、「公開されたWebサーバーまたはサーバー ファームへの接続に、セキュリティで保護されていない接続を使用する」をクリックし、「次へ」をクリックします。
内部公開の詳細を設定するには、次の手順を実行します。
「内部サイト名」フィールドに、IIS/apache Webサーバー・ホストの内部的にアクセス可能な名前(たとえばiis_host.us.example.com)を入力します。
「コンピュータ名またはIPアドレスを使用して、公開されたサーバーに接続する」チェック・ボックスを選択します(またはIIS Webサーバー・ホストのIPアドレスを入力します)。
「次へ」をクリックします。
リソースの保護: 次の手順により、Webサイト内の特定のフォルダ内のリソース(または1つのリソース)を保護します。
|
注意: フォルダは、対応するWebサーバーのhtdocs/wwwroot内に存在している必要があります。 |
リソースを含むフォルダ: 「パス」フィールドにフォルダ名を入力すると、「Webサイト」フィールドに公開済Webサイトの完全パスが表示されます(Res/*など)。
1つのリソース: リソース名(たとえばtest.html)を入力します。
「次へ」をクリックします。
「要求の許可」リストで、次の操作を実行します。
ドメイン名(たとえばmyhost.example.com)をクリックしします。
「パブリック名」フィールドに、Forefront TMGがインストールされているホストの公開アクセス可能な完全修飾Webサイト・ドメイン名を入力します(たとえばmyhost.example.com)。
「次へ」をクリックします。
「Webリスナー」リストで、このWeb公開ルールに使用するWebリスナーをクリックするか、新しいWebリスナーを次のように作成します。
|
注意: リスナーは、必要に応じてSSLモードでも構成できます。Forefront TMGのドキュメントを参照してください。 |
「新規作成」をクリックし、新しいWebリスナーのわかりやすい名前を入力して、「次へ」をクリックします。
「クライアントとのSSLセキュリティ保護接続を必要としない」をクリックし、「次へ」をクリックします。
「次のネットワークからの要求をリッスン」リストで、必要なネットワーク(外部、内部、Localhost)を選択し、「次へ」をクリックします。
表示されるメッセージに対して「いいえ」をクリックします。
「クライアントがForefront TMGに資格情報を提供する方法を選択してください」リストで、「認証なし」をクリックし、「次へ」をクリックします。
「シングル サインオンの設定」ページで、「次へ」をクリックし、「完了」をクリックします。
「Webリスナーの選択」ページ:
「編集」をクリックします。
「接続」タブをクリックします。
ポート属性として、HTTP有効接続用の未使用ポートを指定します(これがForefront TMGポートになります)。
「適用」をクリックし、「OK」をクリックします。
「次へ」をクリックします。
「シングル サインオンの設定」ページで、「次へ」をクリックし、「完了」をクリックします。
認証の委任: 次の手順により、公開されたWebサーバーをForefront TMGが認証する方法を選択します。
「委任できません。クライアントは直接認証できません」をクリックします。
「次へ」をクリックします。
「User Sets」ページで、次の手順を実行します。
「ユーザー セット」フィールドから、すべてのユーザー(デフォルトのユーザー設定)を選択し、リクエストに適用するルールを設定します。
「次へ」をクリックし、「完了」をクリックします。
「適用」をクリックしてファイアウォール・ポリシーを更新し、「OK」をクリックします。
新しく作成したファイアウォール・ポリシーをダブルクリックします。
ブリッジ:
「ブリッジ」タブを開きます。
HTTPポート属性に対してリクエスト・リダイレクト用の適切な未使用ポートを指定します(これが、IISまたはApache Webサーバー・ポートになります)。
「適用」をクリックしてファイアウォール・ポリシーを更新し、「OK」をクリックします。
IISまたはApache Webサーバー。
Forefront TMGを再起動して、変更を有効にします。
ファイアウォール・サービスの停止ではnet stop fwsrvコマンドが使用されます。
ファイアウォール・サービスの開始ではnet start fwsrvコマンドが使用されます。
作成したばかりのルールをダブルクリックします。
「リンクの変換」タブを開きます。
「このルールにリンク変換を適用する」が選択されていることを確認します。
「マッピング」ボタンをクリックして、Forefront TMGとIISまたはApache間に作成されたマッピングを表示します。
「Forefront TMGプロキシ構成の確認」に進みます。
Forefront TMGプロキシ構成を確認するため、次の手順に従って、TMGポートを使用して保護対象リソースにアクセスします。
Forefront TMGプロキシ構成を確認するには:
1つの保護対象リソース: 保護対象リソースがあるTMGホストのURLとポートを入力します。例:
http://TMG_hostname:TMG_port/resource_name
保護対象フォルダ: リソースを含むフォルダがあるTMGホストのURLとポートを入力します。例:
http://TMG_hostname:TMG_port/folder-name/resource_name
保護されたリソースにアクセスしてみて、問題がないことを確認します。
この項では、10g Webgateを設定し、Webフィルタとしてプラグインを登録する方法について説明します。
タスクの概要: TMG Server用にWebgateとフィルタを構成する手順には、次のタスクが含まれます。
Forefront TMG ServerとともにWebgateをインストールする場合、ISAPI Webgateのインストール先(Webgate_install_dir)を、Microsoft Forefront TMGのインストール先と同じにする必要があります。たとえば、Forefront TMGをC:\Program Files\Microsoft Forefront Threat Management Gatewayにインストールする場合、ISAPI Webgateもここにインストールする必要があります。
タスクの概要: Forefront TMG Server用のISAPI Webgateのインストール
第25章「Access Manager 11gを使用する10g Webゲートの登録および管理」の説明に従って、Access Managerに10g ISAPI Webゲートを登録します。
|
注意: Webgateのインストール時にTMGオプションを選択します。 |
第25.7項「Access Manager 11g用の最新の10g Webゲートの検索およびインストール」の説明に従って、TMG用のISAPI Webゲートをインストールします。
「/accessディレクトリの権限の変更」に進みます。
Forefront TMG Serverに対応するISAPI Webgateのインストールと構成が終了したら、\accessサブディレクトリへの権限を変更する必要があります。このサブディレクトリは、Forefront TMG Server(およびWebgate)のインストール・ディレクトリ内に作成されています。ユーザーNETWORK SERVICEを作成し、SYSTEM ADMINISTRATORにフル・コントロールを付与する必要があります。
これにより、Forefront TMG ServerがWebgateとアクセス・サーバー.との間の接続を確立できます。特定の構成ファイルをシステム管理者に対して読取り可能にする必要があります。SYSTEM ADMINISTRATORにフル・コントロールを付与するのはそのためです。
|
注意: Webgate簡易モード: ユーザーNETWORK SERVICEを追加し、TMG_install_dir\access\oblix\config\password.xml内のpassword.xmlファイルに対するフル・コントロールを付与します。 |
ファイル・システムで、Webgate_install_dir\accessを右クリックし、「プロパティ」を選択します。
「プロパティ」ウィンドウで「セキュリティ」タブをクリックします。
NETWORK SERVICEユーザーを追加し、「許可」を選択して「フル コントロール」を付与します。
SYSTEM ADMINISTRATORに対して、「フル コントロール」を選択します。
次の項では、TMG ServerをAccess Manager用10g ISAPI Webgateと連動するように構成する方法について説明します。
タスクの概要: ISAPI 10g Webgateに対するTMG 2010 Serverの構成
ISAPI Webgate権限をリセットしたら、Access Managerのwebgate.dllおよびpostgate.dllプラグインをForefront TMG Server内にWebフィルタとして登録する必要があります。Webフィルタは、TMG Serverホストを通過する全HTTPトラフィックをスクリーニングします。条件に適合するリクエストのみが、通過を許可されます。
次の手順では、Access ManagerプラグインをTMG Serverに登録する方法を説明します。
|
注意: フィルタ登録を元に戻す必要がある場合、次の手順を使用し、regsvr32コマンドに/uオプションを指定します。たとえば、regsvr32 /u TMG_install_dir\access\oblix\apps\webgate\bin\webgate.dllのようになります。 |
Access ManagerプラグインをTMG Server Webフィルタとして登録するには:
TMG Serverのインストール・ディレクトリを探し、そこから次のタスクを実行します。
net stop fwsrvを実行し、TMG Serverを停止します。
次のコマンドを実行してwebgate.dllをISAPI Webフィルタとして登録します。
regsvr32 TMG_install_dir\access\oblix\apps\webgate\bin\webgate.dll
次のコマンドを実行してpostgate.dllをISAPI Webフィルタとして登録します。
regsvr32 TMG_install_dir\access\oblix\apps\webgate\bin\postgate.dll
net start fwsrvを実行し、TMG Serverを再起動します。
「ISAPIフィルタの並替え」に進みます。
Webgate ISAPIフィルタが正しい順序で組み込まれるように確認することが重要です。postgate.dllはwebgate.dllより前にロードする必要があります。
TMG Server用のWebgate ISAPIフィルタを並べ替えるには:
「スタート」メニューから、「すべてのプログラム」→「Microsoft Forefront TMG」→「Forefront TMG Management」をクリックします。
左側のペインで、「システム」を選択し、「Webフィルタ」を選択して、Webフィルタを表示します。
次の.dllファイルが表示されることを確認します。
例:
表示されていないフィルタを追加し、必要であれば、フィルタ名を選択して上下の矢印を使用し、手順3の表示のようにフィルタの順序を変更します。
「フォームベース認証の確認」に進みます。
ここでは、公開済WebサイトにTMGプロキシを使用してアクセスでき、フォームベース認証が正しく機能していることを確認します。
TMGは、Basic over LDAPおよびフォームベースまたはBasic認証をサポートしています。目的の認証スキームを選択できます。TMGはlogin.htmlへのアクセスを必要とします。これをここで構成します。
フォームベース認証が正しく機能としていることを確認するには:
TMGサーバーがログイン・ページにアクセスできるように、リソースを保護するWebサーバーのdocrootにログイン・ページを格納します。
公開済WebサイトにTMGプロキシ経由でアクセスできることを確認します。
「スタート」→「すべてのプログラム」→「Microsoft Forefront TMG」→「Forefront TMG Management」の順に選択して、Forefront TMGコンソールを開きます。
左側のペインで、「ファイアウォール ポリシー」を選択します。
右側に表示されるファイアウォール・ポリシー・ルールから、リソースを保護するために作成されているルールを選択します。
ポリシー・ルール・プロパティに移動して、「パス」タブを選択し、/login.htmlを追加して、「OK」をクリックします。
「適用」をクリックし、変更を保存して構成を更新します。
Forefront TMGを再起動して、変更を有効にします。
ファイアウォール・サービスの停止ではnet stop fwsrvコマンドが使用されます。
ファイアウォール・サービスの開始ではnet start fwsrvコマンドが使用されます。
Access Manager Webコンポーネントのインストールまたは設定中にTMG Serverの再起動を求められた場合は、画面に表示される指示に従ってください。netコマンドは、インストールに伴いメタベースが破損しないようにするために役立ちます。次のコマンドは、TMG Serverの停止と開始に適しています。
net stop fwsrv
net start fwsrv
詳細は、TMG Serverのドキュメントを参照してください。
TMG Serverと連動するように構成されたWebgateのアンインストールを計画している場合、最初にAccess Managerフィルタの登録を手動で解除してから、Webgateをアンインストールする必要があります。
Webgateのアンインストールの前にフィルタの登録を解除する手順
TMG Serverを停止します。
次のコマンドを実行して、webgate.dllの登録を解除します。例:
regsvr32 /u TMG_install_dir\access\oblix\apps\webgate\bin\webgate.dll
次のコマンドを実行して、postgate.dllの登録を解除します。例:
regsvr32 /u TMG_install_dir\access\oblix\apps\webgate\bin\postgate.dll
Access Manager保護対象リソースへのアクセスについて、TMGログに「接続に失敗しました」のエラーが記録されてあっても、このエラーは機能に影響しないので、無視できます。
