| Oracle® Fusion Middleware Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド 11gリリース2 (11.1.2.2.0) B71694-10 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド 11gリリース2 (11.1.2.2.0) B71694-10 |
|
前 |
次 |
この章では、デプロイ後に実行する必要のあるタスクについて説明します。
次の項で構成されます。
このリリースのIdentity and Access Managementでは、最適化されたOPSSが使用可能です。この最適化されたOPSSを使用するには、OPSSスキーマをアップグレードする必要があります。デプロイメント・ツールではこれは行われないため、プロビジョニングの最後にパッチ・セット・アシスタントを使用してこの手順を手動で実行する必要があります。
EDGIADおよびEDGIGDのOPSSスキーマをアップグレードする手順:
IAD_MW_HOME/oracle_common/binの場所からpsaコマンドを実行してパッチ・セット・アシスタントを起動します。例:
./psa
「ようこそ」画面で「次へ」をクリックします。
「コンポーネントの選択」画面で、「Oracle Platform Security Services」のみを選択し、「次へ」をクリックします。
「前提条件」画面で、データベース・バックアップがあるかどうか、そのデータベースのバージョンは保証されているかどうかを指定します。
「次へ」をクリックします。
「スキーマ」ページで次のように入力します。
スキーマ・ユーザー名: 例: EDGIAD_OPSS
パスワード: RCUを実行した際に提供したパスワード。
データベース・タイプ: Oracle Database
接続文字列: IDMDB-SCANOAM :DB_LSNR_PORT/OAM_DB_SERVICENAME(例: IAMDB-SCAN.mycompany.com:1521/oamedg.mycompany.com)
DBAユーザー名: sys as sysdba
DBAパスワード: PASSWORD
「接続」をクリックします。
「次へ」をクリックします。
「調査」ページに「成功」が表示されていることを確認し、「次へ」をクリックします。
「アップグレード・サマリー」ページで、情報が正しいことを確認し、「アップグレード」をクリックします。
アップグレードが完了したら、「次へ」をクリックします。
「アップグレード成功」ページで「閉じる」をクリックします。
次の場所にあるログ・ファイルを確認してスキーマのアップグレードが成功したことを確認します。
IAD_MW_HOME/oracle_common/upgrade/logs/psa/psatimestamp.log
ドメインを再起動します。
OPSSスキーマをアップグレードしたら、次のコマンドを実行します。
SELECT VERSION, STATUS, UPGRADED FROM SCHEMA_VERSION_REGISTRY WHERE OWNER='<RCU_Prefix>_OPSS';
バージョンは11.1.1.7.2で、「アップグレード」フラグは「はい」になります。
Oracle Unified Directoryで次の手順を実行します。
Oracle Unified DirectoryおよびOracle Identity Managerを使用している場合、すべてのOUDホスト(LDAPHOST1およびLDAPHOST2)で次の手順を実行して、変更ログへのアクセス権を付与します。
変更ログへのアクセス権を付与する手順:
レプリケーションしたOUDホストのいずれかで次のコマンドを発行して、既存の変更ログの権限を削除します。
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \ --remove global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" \ --hostname OUD_HOST \ --port OUD_ADMIN_PORT \ --trustAll \ --bindDN cn=oudadmin \ --bindPasswordFile passwordfile \ --no-prompt
例:
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--remove global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" \
--hostname LDAPHOST1.mycompany.com \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile mypasswordfile \
--no-prompt
次の新しいACIを追加します。
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \ --add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com\";)" \ --hostname OUD_HOST \ --port OUD_ADMIN_PORT \ --trustAll \ --bindDN cn=oudadmin \ --bindPasswordFile passwordfile \ --no-prompt
例:
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com\";)" \
--hostname LDAPHOST1.mycompany.com \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile mypasswordfile \
--no-prompt
次に、LDAP同期が有効な場合のOracle Unified Directory操作の失敗時の回避策を説明します。
LDAP同期が有効にされている環境では、Oracle Unified Directoryに対する特定の操作が、Oracle Unified Directoryログにおける次のエラーで失敗となります。
The request control with Object Identifier (OID) "1.2.840.113556.1.4.319" cannot be used due to insufficient access rights
この問題を回避するには、Oracle Unified Directoryの両方のインスタンスの構成ファイルを編集する必要があります。
Oracle Unified Directoryの構成ファイルOUD_ORACLE_INSTANCE/OUD/config/config.ldifにおいて、次のように制御1.2.840.113556.1.4.319のACIをldap://allからldap://anyoneに変更します。
変更前:
ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 || 1.2.840.113556.1.4.319 || 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 || 1.2.840.113556.1.4.473 || 1.3.6.1.4.1.42.2.27.9.5.9") (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)
変更後:
ds-cfg-global-aci: (targetcontrol="2.16.840.1.113730.3.4.2 || 2.16.840.1.113730.3.4.17 || 2.16.840.1.113730.3.4.19 || 1.3.6.1.4.1.4203.1.10.2 || 1.3.6.1.4.1.42.2.27.8.5.1 || 2.16.840.1.113730.3.4.16 || 2.16.840.1.113894.1.8.31 || 1.2.840.113556.1.4.319") (version 3.0; acl "Anonymous control access"; allow(read) userdn="ldap:///anyone";)
第15.1項「コンポーネントの起動と停止」の説明に従って、Oracle Unified Directoryサーバーを再起動します。
次のデプロイ後の手順を実行します。
既知の問題により、ノード・マネージャSSLは完全に構成されていません。回避策は、各ドメインのデプロイメントの管理サーバーおよび管理対象サーバーごとに、次の手順を実行します。
15.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、ドメインのWebLogicコンソールにログインします。
「ロックして編集」をクリックします。
「環境」→「サーバー」に移動します。
サーバー名(例: wls_oam1)をクリックします。
「SSL」タブをクリックします。
「拡張オプション」を展開し、「ホスト名の検証」を「BEAホスト名の検証」に変更します。
「保存」をクリックします。
ドメインのサーバーごとに繰り返します。
「変更のアクティブ化」をクリックします。
ドメインを再起動します。
2番目のドメインで繰り返します。
Identity and Access Managementデプロイメント・ツールの既知の問題の回避策として、Oracle Identity Managerプロパティを追加する必要があります。次の手順を実行してください。
IAMGovernanceDomainのWebLogicコンソールにログインします。(コンソールのURLは第15.2項「Identity and Access ManagementコンソールのURLについて」に記載されています。)
「環境」→「サーバー」と移動します。
「ロックして編集」をクリックします。
「WLS_OIM1」サーバーをクリックします。
「サーバーの起動」サブタブをクリックします。
「引数」フィールドに次の追加を行います。
-Djava.net.preferIPv4Stack=true
「保存」をクリックします。
管理対象サーバー「WLS_OIM2」に対し手順4から7を繰り返します。
「変更のアクティブ化」をクリックします。
第8.12項「Oracle Identity Managerの構成」で電子メール・サーバーを構成しており、電子メール・サーバーのセキュリティがSSLの場合、次の追加手順を実行します。
プロキシが環境用に設定されていることを確認します。
IAMGovernanceDomain管理サーバーおよびOIM管理対象サーバー(wls_oim1/2)を停止します。
IGD_MSERVER_HOME/bin/setDomainEnv.shをバックアップします。
IGD_MSERVER_HOME/bin/setDomainEnv.shをプロキシ設定を含むように変更します。
このコマンドを環境設定の一部としてsetDomainEnv.shファイルに含めます。
export PROXY_SETTINGS="-Dhttp.proxySet=true -Dhttp.proxyHost=www-proxy.mycompany.com -Dhttp.proxyPort=80 -Dhttp.nonProxyHosts=localhost|$.mycompany.com|.mycompany.com|.oracle.com"
例:
export JAVA_PROPERTIES
export PROXY_SETTINGS="-Dhttp.proxySet=true -Dhttp.proxyHost=www-proxy.mycompany.com -Dhttp.proxyPort=80 -Dhttp.nonProxyHosts=localhost|${HOST}|*.mycompany.com"ARDIR="${WL_HOME}/server/lib"
export ARDIR
SOA環境からDemoTrustストア参照を削除します。これによりSOAを非SSLモードで実行することになります。
DemoTrust参照を削除するために、IGD_MSERVER_HOMEを変更します。
setDomainEnv.shからこの参照を削除します。
-Djavax.net.ssl.trustStore=$<WL_HOME>/server/lib/DemoTrust.jks from EXTRA_JAVA_PROPERTIES
管理サーバーおよび管理対象サーバーの両方を再起動します。
この項の項目は次のとおりです。
デフォルトでAccess Managerのアイドル・タイムアウトは2時間に設定されています。これは、セッションがタイムアウトになった後にログアウトしていない状態で問題が発生する場合があります。この値を15分に更新します。
アイドル・タイムアウト値を更新する手順:
第15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、Access Managementコンソールにログインします。
8.9項「ユーザー名およびパスワードの設定」で作成したAccess Manager管理者ユーザー(例: oamadmin)としてログインします。
「構成」の「共通設定」をクリックします。
「アイドル・タイムアウト(分)」を15に変更します。
「適用」をクリックします。
デプロイメント後に、既存のWebゲート・エージェントを更新します。Identity and Access ManagementコンソールのURLは第15.2項「Identity and Access ManagementコンソールのURLについて」に記載されています。
すでに設定されているはずのWebgate_IDMおよびWebgate_IDM_11g以外の、Webゲート・プロファイルのAccess Managerセキュリティ・モデルを更新します。さらにIAMSuiteAgentプロファイルのパスワードを、統合用のOAAMに使用できるように設定します。(IAMSuiteAgentはAccess Managerがインストールされたときに作成されています。)
これらのWebゲート・エージェントを更新する手順:
8.9項「ユーザー名およびパスワードの設定」のエントリで特定されたAccess Management管理者ユーザーとしてAccess Managementコンソールにログインします。
「Access Manager」ボックスの「SSOエージェント」をクリックします。
「Webゲート」タブが選択されていることを確認します。
「検索」をクリックします。
たとえば、「IAMSuiteAgent」などのエージェントをクリックします。
第8.15項「Oracle Access Managerの構成」の「Access Manager構成」画面の「OAM転送モード」に定義した値と同じセキュリティ値を設定します。
「適用」をクリックします。
「プライマリ・サーバー」リストで、「+」をクリックし、不足しているAccess Managerサーバーを追加します。
まだパスワードを割り当てていない場合には、アクセス・クライアント・パスワード・フィールドにパスワードを入力し、「適用」をクリックします。
アクセス・クライアント・パスワードを設定した場合には、第8.9項「ユーザー名およびパスワードの設定」で使用した共通のIAMパスワード(COMMON_IDM_PASSWORD)、またはAccess Manager独自のパスワードなどを割り当てます。
プライマリ・サーバーのリストに表示されているすべてのAccess Managerサーバーについて、「接続の最大数」を20に設定します。(これはプライマリ・サーバーの合計の最大接続数で、10 x WLS_OAM1接続プラス10 x WLS_OAM2接続となります。)
「ユーザー定義パラメータ」に次のように表示されている場合、
logoutRedirectUrl=http://OAMHOST1.mycompany.com:14100/oam/server/logout
これを次のように変更します。
logoutRedirectUrl=https://sso.mycompany.com/oam/server/logout
「適用」をクリックします。
Webゲートごとに手順を繰り返します。
セキュリティ設定が、使用しているAccess Managerサーバーの設定と一致していることを確認します。
Oracle Privileged Account Manager (OPAM)では、ロード・バランサで使用されるSSL証明書を、OPAMで使用されるJDK内の信頼できる証明書に追加する必要があります。
証明書を追加する手順:
ロード・バランサから証明書を取得します。
ロード・バランサの証明書は、Firefoxなどのブラウザを使用して取得できます。ただし、証明書を取得する最も簡単な方法は、opensslコマンドを使用します。コマンドの構文は、次のとおりです。
openssl s_client -connect LOADBALANCER -showcerts </dev/null 2>/dev/null|openssl x509 -outform PEM > SHARED_CONFIG_DIR/keystores/sso.mycompany.com.pem
例:
openssl s_client -connect sso.mycompany.com:443 -showcerts </dev/null 2>/dev/null|openssl x509 -outform PEM > SHARED_CONFIG_DIR/keystores/sso.mycompany.com.pem
このコマンドでは、次のディレクトリ内のsso.mycompany.com.pemの名前のファイルに証明書が保存されます。
SHARED_CONFIG_DIR/keystores
次のコマンドを実行して、CA証明書ファイルsso.mycompany.com.pemをIGD_MW_HOME Java、およびノード・マネージャのトラスト・ストアにインポートし、証明書をJDKおよびノード・マネージャのトラスト・ストアにロードします。
set JAVA_HOME to IGD_MW_HOME/jdk6 set PATH to include JAVA_HOME/bin keytool -importcert -file SHARED_CONFIG_DIR/keystores/sso.mycompany.com.pem -trustcacerts -keystore $JAVA_HOME/jre/lib/security/cacerts keytool -importcert -file SHARED_CONFIG_DIR/keystores/sso.mycompany.com.pem -trustcacerts -keystore SHARED_CONFIG_DIR/keystores/appTrustKeyStore-oimhost1vhn.mycompany.com.jks keytool -importcert -file SHARED_CONFIG_DIR/keystores/sso.mycompany.com.pem -trustcacerts -keystore SHARED_CONFIG_DIR/keystores/appTrustKeyStore-oimhost2vhn.mycompany.com.jks keytool -importcert -file SHARED_CONFIG_DIR/keystores/sso.mycompany.com.pem -trustcacerts -keystore SHARED_CONFIG_DIR/keystores/appTrustKeyStore-oimhost1.mycompany.com.jks keytool -importcert -file SHARED_CONFIG_DIR/keystores/sso.mycompany.com.pem -trustcacerts -keystore SHARED_CONFIG_DIR/keystores/appTrustKeyStore-oimhost2.mycompany.com.jks
ここで、JAVA_HOMEはIGD_MW_HOME/jdk6に設定されます。
キーストアのパスワードを入力するように求められます。JDKのデフォルトのパスワードはchangeitで、ノード・マネージャのキーストアのデフォルトのパスワードはCOMMON_IAM_PASSWORDです。証明書が有効であることを確認するようにも求められます。
|
注意: OIMサーバーに割り当てた仮想ホストの名前は、 |
第15.1項「コンポーネントの起動と停止」の説明に従い、すべてのコンポーネントを再起動します。
