Oracle® Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース2 (11.1.2.2.0) B69541-08 |
|
前 |
次 |
この章では、Oracle Entitlements Server 11gリリース2 (11.1.2.2.0)をインストールおよび構成する方法を説明します。
ここでは、次の項目について説明します。
Oracle Entitlements Serverのインストールと構成を開始する前に、第I部「概要と準備」に記載されている情報を確認しておいてください。
Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Identity Navigator、Oracle Privileged Account ManagerおよびOracle Access Management Mobile and Socialが含まれるOracleホーム・ディレクトリを指すのに、IAM_HOMEが使用されていることに注意してください。このOracleホーム・ディレクトリには任意の名前を指定できます。
Oracle Entitlements Serverは、アプリケーション・リソースの保護を精密に制御するために使用できる緻密な認可および権限管理ソリューションです。これにより、包括的で再利用可能な完全に監査可能な認可ポリシーと簡素で使用しやすい管理モデルが提供され、エンタープライズ・アプリケーションとSOAのセキュリティが簡略化され集中管理されます。詳細は、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』のOracle Entitlements Serverの導入に関する項を参照してください。
Oracle Entitlements Server 11gには、次の2つの個別コンポーネントがあります。
Oracle Entitlements Server管理サーバー
このコンポーネントは、Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)のインストールに含まれています。管理サーバーは、データベースのポリシー・データの記憶域や、トランザクションによるセキュリティ・モジュールへのポリシー配布を管理します。
Oracle Entitlements Serverクライアント(セキュリティ・モジュール)
このコンポーネントには独自のインストーラが付属しており、それはOracle Identity and Access Management 11gリリース2 (11.1.2.2.0)インストールには含まれていません。Oracle Entitlements Serverクライアントでは、Oracle WebLogic Serverは必要ありません。
表8-1は、Oracle Entitlements Serverのインストールおよび構成のタスクを示します。
表8-1 Oracle Entitlements Serverのインストールおよび構成のフロー
番号 | タスク | 説明 |
---|---|---|
1 |
インストレーション・プランニング・ガイドでインストール概念を確認します。 |
『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』を読みます。このドキュメントには、ユーザーの既存の環境に応じて、様々なユーザーがOracle Fusion Middleware 11g (11.1.2)をインストールまたはアップグレードする手順が記載されています。 |
2 |
システム要件および動作保証のドキュメントを読み、環境がインストールするコンポーネントの最低のインストール要件を満たしていることを確認します。 |
詳細は、第2.1項「システム要件および動作保証の確認」を参照してください。 |
3 |
Oracle Fusion Middlewareソフトウェアを入手します。 |
詳細は、第3.2.1項「Oracle Fusion Middlewareソフトウェアの入手」を参照してください。 |
4 |
データベース要件を確認します。 |
Oracle Databaseのインストールをお薦めします。詳細は、第3.2.2項「データベース要件」を参照してください。 |
5 |
Oracle Entitlements Serverに対する適切なスキーマを作成し、ロードします。 |
Oracle Entitlements Serverに対して選択するポリシー・ストアに応じて、次のいずれかを実行します。
|
6 |
WebLogic Serverおよびミドルウェア・ホームの要件を確認します。 |
詳細は、第3.2.4項「WebLogic Serverおよびミドルウェア・ホーム要件」を参照してください。 |
7 |
Oracle Identity and Access Managementインストーラを起動します。 |
詳細は、第3.2.6項「Oracle Identity and Access Managementインストーラの起動」を参照してください。 |
8 |
Oracle Identity and Access Management 11gソフトウェアをインストールします。 |
Oracle Entitlements Serverは、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management Suiteをインストールするには、Oracle Identity and Access Management 11gインストーラを使用します。 詳細は、第3.2.7項「Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)のインストール」を参照してください。 |
9 |
Oracle Fusion Middleware構成ウィザードを実行して、Oracle Entitlements Server管理サーバーを構成します。 |
詳細は、第8.4項「Oracle Entitlements Server管理サーバーの構成」を参照してください。 |
10 |
Oracle Entitlements Serverクライアント・ソフトウェアのインストール |
詳細は、第8.5項「Oracle Entitlements Serverクライアントのインストール」を参照してください。 |
11 |
Oracle Entitlements Serverクライアントの構成 |
詳細は、第8.6項「Oracle Entitlements Serverクライアントの構成」を参照してください。 |
12 |
Oracle Entitlements Serverの開始 |
詳細は、第8.7項「インストール後のOracle Entitlements Serverのスタート・ガイド」を参照してください。 |
この項では、新しいWebLogicドメインにOracle Entitlements Serverを構成する方法を説明します。次の項が含まれます:
この項の構成を実行すると、次のコンポーネントがデプロイされます。
WebLogic管理サーバー
管理サーバー上のOracle Entitlements Serverアプリケーション
Apache Derbyを使用している場合、oracle.apm_11.1.1.3.0_template_derby.zip
ファイル(格納場所はIAM_HOME/common/templates/applications
)を抽出して、oracle.apm_11.1.1.3.0_template_derby.jar
ファイルを次の場所に格納する必要があります。
IAM_HOME\common\templates\applications
新しいWebLogicドメインでOracle Entitlements Serverを構成するには、次の手順を実行します。
IAM_HOME/common/bin/config.sh
スクリプト(UNIXの場合)またはIAM_HOME\common\bin\config.cmd
(Windowsの場合)を実行します。
Fusion Middleware構成ウィザードが表示されます。
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。
「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。
次のいずれかのオプションを選択します。
Oracle Entitlements Server for Admin Server- 11.1.1.0 [IAM_HOME]
Oracle Entitlements Server for Managed Server- 11.1.1.0 [IAM_HOME]
注意:
|
「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを入力します。デフォルトのユーザー名はweblogic
です。「次へ」をクリックします。
注意: 管理者のユーザー名とパスワードを入力する際には、それを必ず覚えておいてください。これは、WebLogic Server管理コンソールへのログインのために指定する必要があるWebLogic管理者のユーザー名とパスワードです。Oracle WebLogic Server管理コンソールは、WebLogic Serverドメインの管理に使用するWebブラウザベースのグラフィカル・ユーザー・インタフェースです。 |
「サーバーの起動モードおよびJDKの構成」画面が表示されます。
「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。
注意: 選択しているJDKバージョンがJava SE 6 Update 24以上であることを確認してください。 |
「JDBCコンポーネント・スキーマの構成」画面が表示されます。
「JDBCコンポーネント・スキーマの構成」画面で、Oracle Entitlements Serverスキーマを選択して、「スキーマ所有者」、「スキーマ・パスワード」、DBDS/サービス、「ホスト名」および「ポート」を指定します。
注意: スキーマ所有者は、Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用してOracle Entitlements Serverのデータベース・スキーマを作成する際に指定した名前です。 Database関連の情報は、 |
「次へ」をクリックします。「JDBCコンポーネント・スキーマのテスト」画面が表示されます。
テストするコンポーネントのスキーマを選択し、「接続のテスト」をクリックします。テストが成功したら、「次へ」をクリックします。テストに失敗した場合は、「前へ」をクリックして、手順7で入力した値を修正してから再び接続をテストします。
「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、「管理サーバー」、「管理対象サーバー」、「クラスタ」、「マシン」、「デプロイメントとサービス」および「RDBMSセキュリティ・ストア」を構成できます。該当するチェック・ボックスを選択し、「次へ」をクリックします。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
「ドメインの作成中」画面が表示されます。この画面には、ドメイン作成の進行状況が表示されます。ドメイン作成プロセスが完了すると、この画面には、ドメインの場所と管理サーバーのURLが表示されます。
画面に表示された情報を確認した後に、「完了」をクリックして構成ウィザードを閉じます。
Oracle Entitlements Serverをサポートする新しいWebLogicドメインが、<MW_HOME>\user_projects\domains
ディレクトリ(Windowsの場合)に作成されます。UNIXでは、ドメインは<MW_HOME>/user_projects/domains
ディレクトリに作成されます。
第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」のRCUを使用して作成したOracle Platform Security Services (OPSS)スキーマをアップグレードする必要があります。
スキーマをアップグレードするには、次の手順を完了します。
パッチ・セット・アシスタントを起動するには、次を実行します。
UNIXの場合:
コマンド行で次のコマンドを実行して、現在の作業ディレクトリからMW_HOME
/oracle_common/bin
ディレクトリに移動します。
cd <MW_HOME>/oracle_common/bin
次のコマンドを実行します。
./psa
Windowsの場合:
コマンド行で次のコマンドを実行して、現在の作業ディレクトリからMW_HOME
\oracle_common\bin
ディレクトリに移動します。
cd <MW_HOME>\oracle_common\bin
次のコマンドを実行します。
psa.bat
パッチ・セット・アシスタント・インストーラを起動した後は、表8-2の手順に従ってスキーマを更新します。
表8-2 パッチ・セット・アシスタントの画面
画面 | 説明 |
---|---|
ようこそ |
このページがパッチ・セット・アシスタントの最初の画面です。 |
コンポーネントの選択 |
Oracle Platform Security Servicesスキーマを選択します。 注意: 「コンポーネントの選択」画面にリストされている他のコンポーネントを選択しないでください。 |
前提条件 |
データベースの前提条件を満たしていることを確認します。 |
スキーマ |
データベースに接続するためのデータベース資格証明を指定して、更新するスキーマを選択します。 この画面は、「コンポーネントの選択」画面で選択したコンポーネントに応じて、更新が必要なスキーマごとに1回表示されます。 |
調査 |
このページには、各コンポーネント・スキーマを調査する際のパッチ・セット・アシスタントのステータスが表示されます。スキーマの「ステータス」列に「成功」のインジケータが表示されていることを確認します。 |
アップグレード・サマリー |
更新が必要なスキーマであることを確認します。 |
アップグレードの進行状況 |
この画面には、スキーマの更新の進行状況が表示されます。 |
アップグレード成功 |
アップグレードに成功すると、この画面が表示されます。 |
ログ・ファイルをチェックすることでスキーマのアップグレードを確認できます。パッチ・セット・アシスタントでは、次の場所にログ・ファイルが作成されます。
UNIXの場合:
MW_HOME
/oracle_common/upgrade/logs/psa/psatimestamp.log
Windowsの場合:
MW_HOME
\oracle_common\upgrade\logs\psa\psatimestamp.log
コンポーネントによっては、同じ場所にpsatimestamp.out
という2次ログ・ファイルが作成されます。
timestamp
には、パッチ・セット・アシスタントが実行された実際の日時が反映されます。
パッチ・セット・アシスタントの実行時にいずれかの障害が発生した場合は、これらのログ・ファイルを使用して問題を診断し、修正できます。削除しないでください。ログ・ファイルの内容は、コマンド行から別の-logLevel
を指定することで変更できます。
パッチ・セット・アシスタントで実行される処理のいくつかは、他の処理より時間がかかる場合があります。時間のかかるこれらの処理の進行状況を確認するには、ログ・ファイルでこの情報を確認するか、次の問合せを使用できます。
SELECT VERSION, STATUS, UPGRADED FROM SCHEMA_VERSION_REGISTRY WHERE OWNER='schema_name';
問合せ結果のSTATUS
フィールドは、スキーマへのパッチ適用処理中はUPGRADING
またはUPGRADED
に、処理が終了するとVALID
になります。
パッチ・セット・アシスタントを実行すると、Oracle Platform Security Servicesスキーマのバージョンが、11.1.1.7.2になります。
Oracle Entitlements Server管理サーバーのセキュリティ・ストアを構成するには、configureSecurityStore.py
スクリプトを実行する必要があります。セキュリティ・ストアは、システムやアプリケーションに固有のポリシー、証明資格およびキーが格納されるリポジトリです。
configureSecurityStore.py
スクリプトは<IAM_HOME>\common\tools
ディレクトリにあります。スクリプトの使用方法のヘルプ情報は、-h
を使用して参照できます。
次のようにして、Oracle Entitlements Server管理サーバーのセキュリティ・ストアを構成します。
Windowsの場合:
<MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <domaindir> -s <datasource> -f <farmname> -t <servertype> -j <jpsroot> -m <mode> -p <password>
例:
<MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <MW_Home>\user_projects\domains\base_domain -t DB_ORACLE -j cn=jpsroot -m create -p welcome1
join
オプションの例は、「Joinオプションを使用したデータベース・セキュリティ・ストアの構成」を参照してください。
UNIXの場合:
<MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -d <domaindir> -s <datasource> -f <farmname> -t <servertype> -j <jpsroot> -m <mode> -p <password>
例:
<MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -d <MW_Home>/user_projects/domains/base_domain -t DB_ORACLE -j cn=jpsroot -m create -p welcome1
join
オプションの例は、「Joinオプションを使用したデータベース・セキュリティ・ストアの構成」を参照してください。
表8-3では、コマンド行で指定できるパラメータについて説明します。
表8-3 OES管理サーバー・セキュリティ・ストアの構成パラメータ
パラメータ | 説明 |
---|---|
|
Oracle Entitlements Server管理サーバー・ドメインの場所 |
|
ドメイン内に構成されているセキュリティ・ストアのデータ・ソース。 これはオプションであり、デフォルト値は |
|
セキュリティ・ストアのファーム名。 これはオプションであり、デフォルト値はドメイン名です。 |
|
ポリシー・ストア・タイプ。例: これはオプションであり、デフォルト値は |
|
jpsrootの識別名。 これはオプションであり、デフォルト値は |
|
|
|
ドメインの構成モード。例: これはオプションであり、デフォルト値は 注意: 例: その他のOracle Identity and Access Managementコンポーネント(OIM、OAM、OAAM、OPAMまたはOIN)がデプロイされたドメインにOES管理サーバーがデプロイされた場合、ドメインは複合モードで構成されます。この場合、OES管理サーバーは、Oracle Identity and Access Managementポリシーの管理にのみ使用されます。OESセキュリティ・モジュールにより保護されている他のアプリケーションのポリシーの管理に使用できません。
例: OESセキュリティ・モジュールにより保護されているカスタム・アプリケーションの管理にOES管理サーバーを使用する場合、OES管理サーバーは、制御されない配布モードでドメインにデプロイされる必要があります。 |
|
OPSSスキーマ・パスワード。 |
|
暗号化鍵ファイル |
|
ドメインの鍵ファイルが生成された場合に使用されるパスワード。 |
|
OPSSスキーマのユーザー名。 |
Oracle Entitlements Serverをインストールおよび構成したら、Oracle Fusion Middleware構成ウィザードの「ドメイン・ソースの選択」画面で選択したオプションに基づき、管理サーバーおよび管理対象サーバーを起動する必要があります。詳細は、付録C「スタックの起動」を参照してください。
必ず、管理対象サーバーを起動する前にOracle Entitlements Server管理サーバーを起動してください。
Oracle Entitlements Server管理サーバーの構成が成功したことを確認するには、次のURLを使用してOracle Entitlements Server管理コンソールにログインします。
http://hostname:port/apm/
ここで、hostname
は管理サーバーのDNS名またはIPアドレス、port
は管理サーバーがリクエストをリスニングしているポートのアドレスです。これらの値は、AdminServer.log
ファイルから取得できます。
AdminServer.log
ファイルは、MW_HOME/user_projects/domains/domain_name/servers/AdminServer/logs
ディレクトリ(UNIXの場合)またはMW_HOME\user_projects\domains\domain_name\servers\AdminServer\logs
ディレクトリ(Windowsの場合)に存在します。
Oracle Entitlements Server管理対象サーバーの構成が成功したことを確認するには、次のURLを使用します。
http://<oes_server1-hostname>:<oes_server1-port>/apm/
詳細は、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』のユーザーインタフェースに対するログインおよびサインアウトに関する項を参照してください。
この項には次のトピックが含まれます:
Oracle Entitlements Serverクライアント・ソフトウェアをインストールする前に、Oracle Entitlements Server管理サーバーのインストールと構成を完了しておきます。
Oracle Entitlements Server Client 11gソフトウェアの入手に関する詳細は、Oracle Fusion Middlewareのダウンロード、インストールおよび構成のReadMeを参照してください。
Oracle Entitlements Serverクライアントをインストールするには、oesclient.zip
のコンテンツをローカル・ディレクトリに解凍し、次のいずれかのコマンドを実行してインストーラを起動します。
UNIXの場合: <runInstallerディレクトリへのフルパス>/runInstaller -jreLoc <JREディレクトリへのフルパス>
Windowsの場合: <setup.exeディレクトリへのフルパス>\setup.exe -jreLoc <JREディレクトリへのフルパス>
注意: インストーラから、システムにインストールされているJDKへの絶対パスを入力するよう要求されます。Oracle WebLogic Serverのインストール時に、ミドルウェア・ホームの下に
JDKを使用してインストール上の問題を回避する場合には、コマンド行で |
表8-4の手順に従って、Oracle Entitlements Serverクライアントをインストールします。
インストール画面に関して詳細な情報が必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプを参照してください。
表8-4 Oracle Entitlements Serverクライアントのインストール・フロー
番号 | 画面 | 説明および必要なアクション |
---|---|---|
1 |
ようこそ |
「次へ」をクリックして続行します。 |
2 |
前提条件チェック |
すべての前提条件のチェックに合格したら、「次へ」をクリックして続行します。 |
3 |
インストール場所の指定 |
「Oracleホーム・ディレクトリ」フィールドに、Oracle Entitlements Serverクライアントをインストールするディレクトリを入力します。このドキュメントでは、このディレクトリを 注意: 構成するセキュリティ・モジュールでWebLogicドメインの作成または拡張が必要な場合は、WebLogic Serverのインストール時に作成されたミドルウェア・ホームにOracle Entitlements Serverクライアントをインストールする必要があります。これは、次のセキュリティ・モジュール構成に対して適用します。
前述のセキュリティ・モジュール構成の場合は、Oracle Entitlements Server管理サーバーがインストールされているミドルウェア・ホーム内の別のディレクトリに、Oracle Entitlements Serverクライアントをインストールすることをお薦めします。たとえば、 その他のセキュリティ・モジュールの場合は、Oracle Entitlements Serverクライアントをインストールするその他のディレクトリに 「次へ」をクリックして続行します。 |
4 |
インストール・サマリー |
インストール・サマリー・ページ画面には、選択した内容のサマリーが表示されます。このサマリーを確認し、インストールを開始するかどうかを決定します。この段階でいずれかの構成設定を変更する場合は、左のナビゲーション・ページでトピックを選択し、選択内容を変更します。 「保存」をクリックして、インストールのレスポンス・ファイルを保存します。このファイルには、インストーラのプロンプトとフィールドに対するレスポンスが含まれます。 Oracle Entitlements Serverクライアントのインストールを続行するには、「インストール」をクリックします。 |
5 |
インストールの進行状況 |
「インストールの進行状況」画面が表示されます。インストールの進行状況をモニターします。インストール・ログ・ファイルの場所が参照用にリストされます。参照用に、インストール・ログ・ファイルの名前と場所を書き留めます。 インストールの進行状況が100%に達したら、「OK」をクリックします。 UNIXシステムにインストールしている場合、 |
8 |
インストール完了 |
「終了」をクリックしてインストーラを終了します。 このインストール・プロセスでは、OESクライアント・ソフトウェアがシステムにコピーされ、手順3で指定した場所に |
Oracle Entitlements Serverクライアントが正常にインストールされたことを検証するには、インストール時に指定したOES_CLIENT_HOME
ディレクトリに移動し、OES_CLIENT_HOME
ディレクトリが作成されていることと、そこに製品ファイルが移入されていることを確認します。
インストールの完了後に生成されたインストール・ログ・ファイルを検証することもできます。インストール・ログ・ファイルの名前と場所は、Oracle Entitlements Serverクライアント・インストールの「インストールの進行状況」画面(手順5)に表示されます。
Oracle Entitlements Serverクライアント・ソフトウェアをOracle Entitlements Server管理サーバーとは別のミドルウェア・ホームにインストールしている場合は、Oracle Entitlements Serverクライアント・ソフトウェアのインストール後、次の手順に従い、OPatchを使用してoracle_common
ディレクトリにパッチを適用する必要があります。
注意: Oracle Entitlements Serverクライアント・ソフトウェアをOracle Entitlements Server管理サーバーと同じミドルウェア・ホームにインストールしている場合はこのパッチが自動的に適用されているため、この手順をスキップします。 このパッチは、次のセキュリティ・モジュール構成に対してのみ適用します。
|
OPatchを使用してoracle_common
ディレクトリにパッチを適用する方法は、次のとおりです。
OES_CLIENT_HOME/oneoffpatches
ディレクトリに移動します。
ENTSEC_OPSS_p17403853_111170_Generic.zip
ファイルの内容をディレクトリに解凍します。デフォルトでは、このディレクトリの名前はENTSEC_OPSS_p17403853_111170_Generic
です。
OES_CLIENT_HOME/oneoffpatches/ENTSEC_OPSS_p17403853_111170_Generic
ディレクトリに移動して、README.txt
ファイルの説明に従います。
ポリシー・データは、制御された方法または制御されない方法で配布されます。
配布モードは、各セキュリティ・モジュールのjps-config.xml
構成ファイルで定義されています。指定された配布モードは、そのセキュリティ・モジュールにバインドされているすべてのアプリケーション・ポリシー・オブジェクトに適用できます。
注意: 制御された配布モードで、Oracle Entitlements Serverクライアントを構成することをお薦めします。ただし、JRF環境でセキュリティ・モジュールを構成する場合は、制御されない配布モードのみが配布モードとしてサポートされます。 |
この項では、次の構成方法について説明します。
配布モードの導入に関する情報は、『Oracle Fusion Middleware Oracle Entitlements Server開発者ガイド』の配布モードの定義に関する項を参照してください。
次の各項では、配布モードの構成方法について説明します。
制御されたプッシュ配布モードを構成するには、smconfig.prp
ファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool
)をテキスト・エディタで開き、表8-5で説明されている次のパラメータを編集します。
表8-5 smconfig.prpファイルのパラメータ(制御された配布)
パラメータ | 説明 |
---|---|
|
デフォルト値の |
|
Oracle Entitlements Server管理サーバーのアドレスを入力します。 |
|
Oracle Entitlements Server管理サーバーのSSLポート番号を入力します。SSLポート番号は、WebLogic管理コンソールで検出できます。 |
smconfig.prp
ファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool
)をテキスト・エディタで開き、表8-6で説明されている次のパラメータを編集します。
表8-6 smconfig.prpファイルのパラメータ(制御されない配布)
パラメータ | 説明 |
---|---|
|
配布モードには、 |
|
ポリシー・ストア・タイプを指定します。たとえば、Oracle Databaseでは |
|
ポリシー・ストアとしてデータベースを使用している場合は、データベース・ポリシー・ストアのJDBC URLを指定します。 たとえば、 |
|
ポリシー・ストアとしてLDAPを使用している場合は、LDAP URLを指定します。 たとえば、 |
|
ドメイン名を指定します。デフォルト値は |
|
jpsコンテキストのルート名を指定します。デフォルト値は |
制御されない配布モードおよび制御されたプル配布モードを構成するには、Oracle Databaseへの接続を設定する必要があります。Oracle Databaseに異なる接続を設定する手順は、構成するセキュリティ・モジュールの種類によって異なります。
この項には次のトピックが含まれます:
JRFではない環境に構成されたセキュリティ・モジュールのOracle Databaseへの接続の設定
JRFではない環境にセキュリティ・モジュールを構成するには、Oracle Databaseへの接続を設定する次の手順を完了する必要があります。
WebLogic Server管理コンソールを使用して、JDBCデータ・ソースを作成します。このデータ・ソースは、OES管理サーバーのポリシー・ストアへの接続に使用されます。詳細は、次のリンクから入手できるOracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドキュメントでJDBC汎用データ・ソースの作成に関する項を参照してください。
前述のリンクの手順に従う場合は、手順7において、「データベース・ユーザー名」の値を入力するように要求されます。このパラメータの値は、Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用してOracle Entitlements Serverのスキーマを作成する際に使用した値と同じにする必要があります。たとえば、prefix
_OPSSです。
MW_HOME
/user_projects/domains/
Domain_Name
/config/fmwconfig/AdminServer
ディレクトリ(UNIXの場合)またはMW_HOME
\user_projects\domains\
Domain_Name
\config\fmwconfig\AdminServer
ディレクトリ(Windowsの場合)にあるjps-config.xml
ファイルを開きます。
pdp.service
を見つけて、既存のjdbc.url
プロパティを次のプロパティと置き換えます。
<property value="jdbc/OPSSDBDS" name="datasource.jndi.name"/>
注意:
|
次のプロパティを削除します。
jdbc.driver
jdbc.url
bootstrap.security.principal.key
bootstrap.security.principal.map
jps-config.xml
ファイルを保存します。
JRF環境に構成されたセキュリティ・モジュールのOracle Databaseへの接続の設定
JRF環境にセキュリティ・モジュールを構成するには、Oracle Databaseへの接続を設定する次の手順を完了する必要があります。
WebLogic Server管理コンソールを使用して、JDBCデータ・ソースを作成します。このデータ・ソースは、OES管理サーバーのポリシー・ストアへの接続に使用されます。詳細は、次のリンクから入手できるOracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドキュメントでJDBC汎用データ・ソースの作成に関する項を参照してください。
前述のリンクの手順に従う場合は、手順7において、「データベース・ユーザー名」の値を入力するように要求されます。このパラメータの値は、Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用してOracle Entitlements Serverのスキーマを作成する際に使用した値と同じにする必要があります。たとえば、prefix
_OPSSです。
Oracle Entitlements Serverのドメインを起動します。詳細は、付録C「スタックの起動」を参照してください。
WLST reassociateSecurityStore
コマンドを使用して次のようにポリシーを再度関連付けます。
WLSTシェルを起動します。
cd ORACLE_HOME
/common/bin
./wlst.sh
WLST connectコマンドを使用して、WebLogic管理サーバーに接続します。
connect ("AdminUser", "AdminPassword", "hostname:port")
例:
connect ("weblogic", "welcome1", "ADMINHOST:7001")
reassociateSecurityStore
コマンドを実行します。
reassociateSecurityStore(domain="OESDomain", servertype="DB_ORACLE", datasourcename="Datasource_Name", jpsroot="cn=reassociatedb", join="true")
注意:
|
コマンドが正しく実行されたら、Oracle Entitlement Server Clientのドメインを再起動します。詳細は、付録C「スタックの起動」を参照してください。
次の項で、既存のsmconfig.prp
ファイルを使用してセキュリティ・モジュールを短時間で構成する方法を説明します。
注意: セキュリティ・モジュールは、 管理サーバーの構成で顧客のデジタル証明書を使用する場合は、セキュリティ・モジュールを構成する |
Javaセキュリティ・モジュールのインスタンスを制御された配布モードで構成するには、次の手順を実行します。
smconfig.java.controlled.prp
ファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool
)をテキスト・エディタで開き、表8-5で説明されているパラメータを指定します。
config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行します。
config.sh –smConfigId <SM_NAME> -prpFileName OES_CLIENT_HOME/oessm/SMConfigTool/smcon fig.java.controlled.prp
入力が要求されたら、次の各項目を指定します。
登録用の新規キーストアのパスワード
Oracle Entitlements Serverのユーザー名(管理サーバーのユーザー名)
Oracle Entitlements Serverのパスワード(管理サーバーのパスワード)
RMIセキュリティ・モジュールのインスタンスを制御された配布モードで構成するには、次の手順を実行します。
smconfig.rmi.controlled.prp
ファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool
)をテキスト・エディタで開き、表8-5で説明されているパラメータを指定します。
config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行します。
config.sh –smConfigId <SM_NAME> -RMIListeningPort <RMISM_PORT> -prpFileName OES_CLIENT_HOME/oessm/SMConfigTool/smconfig.rmi.controlled.prp
入力が要求されたら、次の各項目を指定します。
登録用の新規キーストアのパスワード
Oracle Entitlements Serverのユーザー名(管理サーバーのユーザー名)
Oracle Entitlements Serverのパスワード(管理サーバーのパスワード)
Webサービス・セキュリティ・モジュールのインスタンスを制御された配布モードで構成するには、次の手順を実行します。
smconfig.ws.controlled.prp
ファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool
)をテキスト・エディタで開き、表8-5で説明されているパラメータを指定します。
config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行します。
config.sh –smConfigId <SM_NAME> -WSListeningPort <WSSM_PORT> -prpFileName OES_CLIENT_HOME/oessm/SMConfigTool/smconfig.ws.controlled.prp
入力が要求されたら、次の各項目を指定します。
登録用の新規キーストアのパスワード
Oracle Entitlements Serverのユーザー名(管理サーバーのユーザー名)
Oracle Entitlements Serverのパスワード(管理サーバーのパスワード)
Oracle WebLogic Serverセキュリティ・モジュールのインスタンスを制御された配布モードで構成するには、次の手順を実行します。
smconfig.wls.controlled.prp
ファイル(格納場所はOES_CLIENT_HOME/oessm/SMConfigTool
)をテキスト・エディタで開き、表8-5で説明されているパラメータを指定します。
config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行します。
config.sh –smConfigId <SM_NAME> -prpFileName $OES_CLIENT_HOME/oessm/SMConfigTool/smconfig.wls.controlled.prp –serverLocation <Location of Web Logic Server Home
「JRFではない環境でのOESクライアント・ドメインの構成」または「JRF環境でのOESクライアント・ドメインの構成」の説明に従って、Oracle Entitlements Serverクライアント・ドメインを作成します。
Oracle Entitlements Serverクライアントには、次のセキュリティ・モジュールがあります。
WebLogicセキュリティ・モジュールとは、ポリシー決定ポイントとポリシー施行ポイントの両方を備えたカスタムJavaセキュリティ・モジュールです。これは、明示的認可のAPIコールなしで、WebLogic Serverから直接リクエストを受信できます。これは、WebLogic Serverコンテナ上でのみ稼働します。
WebLogic Serverセキュリティ・モジュールのインスタンスを構成するには、config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行します。
UNIXの場合:
config.sh -onJRF -smType wls -smConfigId mySM_WLS -serverLocation MW_HOME/wlserver_10.3/
Windowsの場合:
config.sh -onJRF -smType wls -smConfigId mySM_WLS -serverLocation MW_HOME\wlserver_10.3\
注意: JRFではない環境を使用している場合は、 |
制御されない配布モードや制御されるプル配布モードでは、入力を求められたらOracle Entitlements Serverスキーマの所有者とパスワードを指定します。
表8-7では、コマンド行で指定するパラメータについて説明します。
表8-7 Oracle WebLogic Serverセキュリティ・モジュールのパラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
Oracle WebLogic Serverの場所です。 |
注意: JRF環境でのOracle WebLogic Serverセキュリティ・モジュールのデフォルトの配布モードは、制御されないモードです。これは、 JRFではない環境でのOracle WebLogic Serverセキュリティ・モジュールの場合、デフォルトの配布モードは JRFではない環境でのOracle WebLogic Serverセキュリティ・モジュールでは、制御されたプッシュ・モードはサポートされていません。 |
構成ウィザードが表示されます。JRF環境およびJRFではない環境で、Oracle Entitlements Serverクライアント・ドメインを作成できます。選択したオプションに応じて、次のいずれかを実行してください。
Oracle Entitlements Serverクライアント・ドメインをJRFなしで作成するには、次の手順を実行します。
セキュリティ・モジュール構成ツールを起動すると、「Fusion Middleware構成ウィザード」が表示されます。
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。
注意: 既存のWebLogicドメインを拡張する場合は、次の手順に従う必要があります。
|
「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。
Oracle Entitlements Server WebLogic Security Module - 11.1.1.0 [oesclient]オプションを選択します。「次へ」をクリックします。
注意: Oracle Entitlements Server管理サーバーに関連するドメインのテンプレートOracle Entitlements Server for Admin Server - 11.1.1.0 [IAM_HOME]を選択していないことを確認します。 |
「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを入力します。デフォルトのユーザー名はweblogic
です。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。
注意: 管理者のユーザー名とパスワードを入力する際には、それを必ず覚えておいてください。 |
「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。
注意: 選択しているJDKバージョンがJava SE 6 Update 24以上であることを確認してください。 |
「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、「管理サーバー」、「管理対象サーバー、クラスタ、およびマシン」、「デプロイメントとサービス」および「RDBMSセキュリティ・ストア」の各オプションを構成できます。「次へ」をクリックします。
オプション: 次の管理サーバー・パラメータを構成します。
名前: 有効なサーバー名は、文字列(英数字)です。この名前はドメイン内で一意にする必要があります。たとえば、AdminServer
です。
リスニング・アドレス: ドロップダウン・リストからリスニング・アドレスの値を選択します。使用可能な値の情報は、「リスニング・アドレス」の指定に関する項を参照してください。
Listen port: 通常の非セキュア・リクエスト(HTTPやT3などのプロトコル経由)で使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、7001
です。
注意: リスニング・ポートの値が、その他のOracle Identity and Access Managementコンポーネントのリスニング・ポートと異なっていることを確認します。詳細は、『Oracle Fusion Middleware管理者ガイド』のポートの管理に関する項を参照してください。 |
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: セキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、7002
です。
注意: SSLリスニング・ポート値を指定したら、 |
オプション: 必要に応じて、管理対象サーバーを構成します。
「管理対象サーバーの構成」画面で、「追加」をクリックして2つの管理対象サーバーを作成します。次の情報を入力します。
名前: OES_ManagedServer_1
およびOES_ManagedServer_2
を入力します。
Listen address: ドロップダウン・リストから、OES_ManagedServer_1
およびOES_ManagedServer_2
のリスニング・アドレスの値を選択します。
Listen port: OES_ManagedServer_1
およびOES_ManagedServer_2
に使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: OES_ManagedServer_1
およびOES_ManagedServer_2
のセキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、『Oracle Fusion Middleware高可用性ガイド』のOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
ヒント: マシンを構成する前に、 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
ドメインが正常に作成されたら、WebLogic Server Security Moduleインスタンスのフォルダ構造とファイルを確認できます。WebLogic Serverセキュリティ・モジュール・インスタンス構成のjps-config.xml
構成ファイルは、$DOMAIN_HOME/config/oeswlssmconfig/AdminServer
にあります。
Oracle Databaseへの接続の設定
配布されない配布モードまたは制御されたプル配布モードでOESクライアント・ドメインを構成した後、「JRFではない環境に構成されたセキュリティ・モジュールのOracle Databaseへの接続の設定」の説明のとおりにOracle Databaseへの接続を設定する必要があります。
OESクライアント・ドメインをJRF付きで作成するには、次の手順を実行します。
セキュリティ・モジュール構成ツールを起動すると、「Fusion Middleware構成ウィザード」が表示されます。
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。
注意: 既存のWebLogicドメインを拡張する場合は、次の手順に従う必要があります。
|
「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。
Oracle Entitlements Server WebLogic Security Module On JRF - 11.1.1.0 [oesclient]オプションを選択します。「次へ」をクリックします。
注意: Oracle Entitlements Server管理サーバーに関連するドメインのテンプレートOracle Entitlements Server for Admin Server - 11.1.1.0 [IAM_HOME]を選択していないことを確認します。 |
「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを入力します。デフォルトのユーザー名はweblogic
です。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。
注意: 管理者のユーザー名とパスワードを入力する際には、それを必ず覚えておいてください。 |
「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。
注意: 選択しているJDKバージョンがJava SE 6 Update 24以上であることを確認してください。 |
「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、「管理サーバー」、「管理対象サーバー、クラスタ、およびマシン」、「デプロイメントとサービス」および「RDBMSセキュリティ・ストア」の各オプションを構成できます。「次へ」をクリックします。
オプション: 次の管理サーバー・パラメータを構成します。
名前: 有効なサーバー名は、文字列(英数字)です。この名前はドメイン内で一意にする必要があります。たとえば、AdminServer
です。
リスニング・アドレス: ドロップダウン・リストからリスニング・アドレスの値を選択します。使用可能な値の情報は、「リスニング・アドレス」の指定に関する項を参照してください。
Listen port: 通常の非セキュア・リクエスト(HTTPやT3などのプロトコル経由)で使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、7001
です。
注意: リスニング・ポートの値が、その他のOracle Identity and Access Managementコンポーネントのリスニング・ポートと異なっていることを確認します。詳細は、『Oracle Fusion Middleware管理者ガイド』のポートの管理に関する項を参照してください。 |
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: セキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、7002
です。
注意: SSLリスニング・ポート値を指定したら、 |
オプション: 必要に応じて、管理対象サーバーを構成します。
「管理対象サーバーの構成」画面で、「追加」をクリックして2つの管理対象サーバーを作成します。次の情報を入力します。
名前: OES_ManagedServer_1
およびOES_ManagedServer_2
を入力します。
Listen address: ドロップダウン・リストから、OES_ManagedServer_1
およびOES_ManagedServer_2
のリスニング・アドレスの値を選択します。
Listen port: OES_ManagedServer_1
およびOES_ManagedServer_2
に使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: OES_ManagedServer_1
およびOES_ManagedServer_2
のセキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、『Oracle Fusion Middleware高可用性ガイド』のOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
ヒント: マシンを構成する前に、 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
Oracle Databaseへの接続の設定
配布されない配布モードまたは制御されたプル配布モードでOESクライアント・ドメインを構成した後、「JRF環境に構成されたセキュリティ・モジュールのOracle Databaseへの接続の設定」の説明のとおりにOracle Databaseへの接続を設定する必要があります。
Webサービス・セキュリティ・モジュールのインスタンスを作成するには、config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行します。
config.sh -smType ws -smConfigId mySM_Ws -serverPort 9410
制御されたプッシュ・モードでは、Oracle Entitlements Server管理サーバーのユーザー名とパスワード、および登録用の新規キーストアのパスワードの入力を求められたら、それらを指定します。
制御されない配布モードや制御されたプル配布モードでは、入力を求められたらOracle Entitlements Serverスキーマのユーザー名とパスワードを指定します。
表8-8では、コマンド行で指定するパラメータについて説明します。
表8-8 Webサービス・セキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。Webサービス・セキュリティ・モジュールでは、このパラメータの値は |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
Web Serviceリスニング・ポートです。たとえば、 |
注意: Webサービス・セキュリティ・モジュールの場合、デフォルトの配布モードは |
このコマンドは、Webserviceセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
Webサービス・セキュリティ・モジュールのインスタンスを、Oracle WebLogic Serverに作成するには、config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行します。
config.sh -onJRF -smType ws -onWLS -smConfigId mySM_WsOnWLS -serverLocation <WebLogic_server_Home> -serverPort <WebLogic_server_port> -pdServer <oes_server_address> -pdPort <oes_server_ssl_port> -serverUserName <username> -serverPassword <password>
注意: JRFではない環境を使用している場合は、 |
制御されたプッシュ・モードでは、Oracle Entitlements Server管理サーバーのユーザー名とパスワード、および登録用の新規キーストアのパスワードの入力を求められたら、それらを指定します。
制御されない配布モードや制御されたプル配布モードでは、入力を求められたらOracle Entitlements Serverスキーマのユーザー名とパスワードを指定します。
表8-9では、コマンド行で指定するパラメータについて説明します。
表8-9 Oracle WebLogic ServerのWebサービス・セキュリティ・モジュールのパラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。Webサービス・セキュリティ・モジュールでは、このパラメータの値は |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
Oracle Entitlements Server管理サーバーのアドレスです。 |
|
Oracle Entitlements Server管理サーバーのSSLポートです。たとえば、7002です。 |
|
Oracle WebLogic Serverの場所です。 |
|
たとえば、7001などです。 |
|
Oracle WebLogic Serverの管理ユーザー名を指定します。例: |
|
Oracle WebLogic Serverの管理パスワードを指定します。 |
注意: JRFではない環境でのOracle WebLogic ServerのWebサービス・セキュリティ・モジュールの場合、デフォルトの配布モードは JRF環境でのOracle WebLogic ServerのWebサービス・セキュリティ・モジュールのデフォルトの配布モードは、制御されない配布です。これは、 |
このコマンドは、Oracle WebLogic ServerのWeb Serviceセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
構成ウィザードが表示されます。JRF環境のOracle WebLogic ServerにWebサービスとともにOESクライアント・ドメインを作成でき、またJRFではない環境のOracle WebLogic ServerにWebサービスとともにOESクライアント・ドメインを作成できます。選択したオプションに応じて、次のいずれかを実行してください。
JRFではない環境のOracle WebLogic ServerドメインでWebサービスを作成するには、次の手順を実行します。
セキュリティ・モジュール構成ツールを起動すると、「Fusion Middleware構成ウィザード」が表示されます。
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。
注意: 既存のWebLogicドメインを拡張する場合は、次の手順に従う必要があります。
|
「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。
Oracle Entitlements Server Web Service Security Module on Weblogic- 11.1.1.0 [oesclient]オプションを選択します。「次へ」をクリックします。
注意: Oracle Entitlements Server管理サーバーに関連するドメインのテンプレートOracle Entitlements Server for Admin Server - 11.1.1.0 [IAM_HOME]を選択していないことを確認します。 |
「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを入力します。デフォルトのユーザー名はweblogic
です。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。
注意: 管理者のユーザー名とパスワードを入力する際には、それを必ず覚えておいてください。 |
「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。
注意: 選択しているJDKバージョンがJava SE 6 Update 24以上であることを確認してください。 |
「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、「管理サーバー」、「管理対象サーバー、クラスタ、およびマシン」、「デプロイメントとサービス」および「RDBMSセキュリティ・ストア」の各オプションを構成できます。「次へ」をクリックします。
オプション: 次の管理サーバー・パラメータを構成します。
名前: 有効なサーバー名は、文字列(英数字)です。この名前はドメイン内で一意にする必要があります。たとえば、AdminServer
です。
リスニング・アドレス: ドロップダウン・リストからリスニング・アドレスの値を選択します。使用可能な値の情報は、「リスニング・アドレス」の指定に関する項を参照してください。
Listen port: 通常の非セキュア・リクエスト(HTTPやT3などのプロトコル経由)で使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、7001
です。
注意: リスニング・ポートの値が、その他のOracle Identity and Access Managementコンポーネントのリスニング・ポートと異なっていることを確認します。詳細は、『Oracle Fusion Middleware管理者ガイド』のポートの管理に関する項を参照してください。 |
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: セキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、7002
です。
注意: SSLリスニング・ポート値を指定したら、 |
オプション: 必要に応じて、管理対象サーバーを構成します。
「管理対象サーバーの構成」画面で、「追加」をクリックして2つの管理対象サーバーを作成します。次の情報を入力します。
名前: OES_ManagedServer_1
およびOES_ManagedServer_2
を入力します。
Listen address: ドロップダウン・リストから、OES_ManagedServer_1
およびOES_ManagedServer_2
のリスニング・アドレスの値を選択します。
Listen port: OES_ManagedServer_1
およびOES_ManagedServer_2
に使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: OES_ManagedServer_1
およびOES_ManagedServer_2
のセキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、『Oracle Fusion Middleware高可用性ガイド』のOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
ヒント: マシンを構成する前に、 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
ドメインが正常に作成されたら、Oracle WebLogic ServerでWebサービス・セキュリティ・モジュール・インスタンスのフォルダ構造とファイルを確認できます。Oracle WebLogic ServerのWebLogic Serverセキュリティ・モジュール・インスタンス構成のjps-config.xml
構成ファイルは、$DOMAIN_HOME/config/oeswlssmconfig/AdminServer
にあります。
Oracle Databaseへの接続の設定
配布されない配布モードまたは制御されたプル配布モードでOracle WebLogic ServerドメインにWebサービスを構成した後、「JRFではない環境に構成されたセキュリティ・モジュールのOracle Databaseへの接続の設定」の説明のとおりにOracle Databaseへの接続を設定する必要があります。
JRF環境のOracle WebLogic ServerドメインでWebサービスを作成するには、次の手順を実行します。
セキュリティ・モジュール構成ツールを起動すると、「Fusion Middleware構成ウィザード」が表示されます。
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。
注意: 既存のWebLogicドメインを拡張する場合は、次の手順に従う必要があります。
|
「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。
Oracle Entitlements Server Web Service Security Module on Weblogic and JRF- 11.1.1.0 [oesclient]オプションを選択します。「次へ」をクリックします。
注意: Oracle Entitlements Server管理サーバーに関連するドメインのテンプレートOracle Entitlements Server for Admin Server - 11.1.1.0 [IAM_HOME]を選択していないことを確認します。 |
「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを入力します。デフォルトのユーザー名はweblogic
です。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。
注意: 管理者のユーザー名とパスワードを入力する際には、それを必ず覚えておいてください。 |
「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。
注意: 選択しているJDKバージョンがJava SE 6 Update 24以上であることを確認してください。 |
「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、「管理サーバー」、「管理対象サーバー、クラスタ、およびマシン」、「デプロイメントとサービス」および「RDBMSセキュリティ・ストア」の各オプションを構成できます。「次へ」をクリックします。
オプション: 次の管理サーバー・パラメータを構成します。
名前: 有効なサーバー名は、文字列(英数字)です。この名前はドメイン内で一意にする必要があります。たとえば、AdminServer
です。
リスニング・アドレス: ドロップダウン・リストからリスニング・アドレスの値を選択します。使用可能な値の情報は、「リスニング・アドレス」の指定に関する項を参照してください。
Listen port: 通常の非セキュア・リクエスト(HTTPやT3などのプロトコル経由)で使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、7001
です。
注意: リスニング・ポートの値が、その他のOracle Identity and Access Managementコンポーネントのリスニング・ポートと異なっていることを確認します。詳細は、『Oracle Fusion Middleware管理者ガイド』のポートの管理に関する項を参照してください。 |
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: セキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、7002
です。
注意: SSLリスニング・ポート値を指定したら、 |
オプション: 必要に応じて、管理対象サーバーを構成します。
「管理対象サーバーの構成」画面で、「追加」をクリックして2つの管理対象サーバーを作成します。次の情報を入力します。
名前: OES_ManagedServer_1
およびOES_ManagedServer_2
を入力します。
Listen address: ドロップダウン・リストから、OES_ManagedServer_1
およびOES_ManagedServer_2
のリスニング・アドレスの値を選択します。
Listen port: OES_ManagedServer_1
およびOES_ManagedServer_2
に使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: OES_ManagedServer_1
およびOES_ManagedServer_2
のセキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、『Oracle Fusion Middleware高可用性ガイド』のOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
ヒント: マシンを構成する前に、 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
Oracle Databaseへの接続の設定
配布されない配布モードまたは制御されたプル配布モードでOracle WebLogic ServerドメインにWebサービスを構成した後、「JRF環境に構成されたセキュリティ・モジュールのOracle Databaseへの接続の設定」の説明のとおりにOracle Databaseへの接続を設定する必要があります。
Oracle Service Busセキュリティ・モジュールのインスタンスを作成するには、config.sh
(UNIXの場合、格納場所は OES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行する必要があります。
config.sh -onJRF -smType wls -smConfigId myosb_WLS -serverLocation <server_location>
表8-10 Oracle Service Busセキュリティ・モジュールのパラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
Oracle WebLogic Serverの場所です。 |
注意: Oracle Service Busセキュリティ・モジュールのデフォルトの配布モードは、制御されない配布です。これは、 |
構成ウィザードが表示されます。Oracle Service Bus環境とともにOESクライアント・ドメインを、次のように作成できます。
セキュリティ・モジュール構成ツールを起動すると、「Fusion Middleware構成ウィザード」が表示されます。
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。
「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。
Oracle Entitlements Server Security Module On Service Bus - 11.1.1.0 [OESCLIENT]オプションを選択します。「次へ」をクリックします。
注意: Oracle Entitlements Server管理サーバーに関連するドメインのテンプレートOracle Entitlements Server for Admin Server - 11.1.1.0 [IAM_HOME]を選択していないことを確認します。 |
「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを入力します。デフォルトのユーザー名はweblogic
です。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。
注意: 管理者のユーザー名とパスワードを入力する際には、それを必ず覚えておいてください。 |
「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。
注意: 選択しているJDKバージョンがJava SE 6 Update 24以上であることを確認してください。 |
「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、「管理サーバー」、「管理対象サーバー、クラスタ、およびマシン」、「デプロイメントとサービス」および「RDBMSセキュリティ・ストア」の各オプションを構成できます。「次へ」をクリックします。
オプション: 次の管理サーバー・パラメータを構成します。
名前: 有効なサーバー名は、文字列(英数字)です。この名前はドメイン内で一意にする必要があります。たとえば、AdminServer
です。
リスニング・アドレス: ドロップダウン・リストからリスニング・アドレスの値を選択します。使用可能な値の情報は、「リスニング・アドレス」の指定に関する項を参照してください。
Listen port: 通常の非セキュア・リクエスト(HTTPやT3などのプロトコル経由)で使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、7001
です。
注意: リスニング・ポートの値が、その他のOracle Identity and Access Managementコンポーネントのリスニング・ポートと異なっていることを確認します。詳細は、『Oracle Fusion Middleware管理者ガイド』のポートの管理に関する項を参照してください。 |
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: セキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。たとえば、7002
です。
注意: SSLリスニング・ポート値を指定したら、 |
オプション: 必要に応じて、管理対象サーバーを構成します。
「管理対象サーバーの構成」画面で、「追加」をクリックして2つの管理対象サーバーを作成します。次の情報を入力します。
名前: OES_ManagedServer_1
およびOES_ManagedServer_2
を入力します。
Listen address: ドロップダウン・リストから、OES_ManagedServer_1
およびOES_ManagedServer_2
のリスニング・アドレスの値を選択します。
Listen port: OES_ManagedServer_1
およびOES_ManagedServer_2
に使用するリスニング・ポートの有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
SSL有効: このチェック・ボックスを選択し、SSLリスニング・ポートを有効にします。デフォルトでは、SSLはすべての新規サーバーで無効になっています。
SSLリスニング・ポート: OES_ManagedServer_1
およびOES_ManagedServer_2
のセキュアなリクエスト(HTTPSやT3Sなどのプロトコル経由)に使用する有効な値を入力します。デフォルト値は、次に使用できるリスニング・ポートです。このフィールドをブランクにすると、デフォルトのポートが使用されます。有効なリスニング・ポートの範囲は1から65535までです。
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、『Oracle Fusion Middleware高可用性ガイド』のOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
ヒント: マシンを構成する前に、 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
Oracle Databaseへの接続の設定
配布されない配布モードまたは制御されたプル配布モードでOracle Service Busセキュリティ・モジュールを構成した後、「JRF環境に構成されたセキュリティ・モジュールのOracle Databaseへの接続の設定」の説明のとおりにOracle Databaseへの接続を設定する必要があります。
認可プロバイダの構成
認可プロバイダを構成する必要があります。認可プロバイダの構成の詳細は、次のリンクから入手できるOracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドキュメントで認可プロバイダの構成に関する項を参照してください。
ロール・マッピング・プロバイダの構成
ロール・マッピング・プロバイダを構成する必要があります。ロール・マッピング・プロバイダの構成の詳細は、次のリンクから入手できるOracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドキュメントでロール・マッピング・プロバイダの構成に関する項を参照してください。
IBM WebSphereセキュリティ・モジュールの構成の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』のIBM WebSphereセキュリティ・モジュールの構成に関する説明を参照してください。
JBossセキュリティ・モジュールのインスタンスを作成するには、 config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行する必要があります。
config.sh -smType jboss -smConfigId mySM_JBOSS -serverLocation <middleware>/jbosslocation/
表8-11 JBossセキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
JBossアプリケーション・サーバーの場所です。 |
注意: JBossセキュリティ・モジュールのデフォルトの配布モードは、制御されたプッシュ配布です。配布モードを変更する場合は、8.6.1.2項「制御されない配布モードおよび制御されたプル配布モードの構成」を参照してください。 制御されたプッシュ・モードを動作させるために、WebLogic管理コンソールにログインし、「環境」→「サーバー」→「管理サーバー」→「SSL」に移動する必要があります。「管理サーバーの設定」ページが表示されます。「詳細」タブをクリックし、「サーバーの証明書を使用」を選択します。 |
Apache Tomcatセキュリティ・モジュールのインスタンスを作成するには、config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行する必要があります。
config.sh -smType tomcat -smConfigId my_tomcat_sm_push pdServer <oes_server_address> -pdPort <oes_server_port> -sslPort <oes_server_ssl_port> -serverLocation <apache-tomcat Home> -jaxwsRIHome <jaxwsRI_Home> -serverUserName <username> -serverPassword <password>
表8-12 Apache Tomcatセキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
Oracle Entitlements Server管理サーバーのアドレスです。 |
|
Oracle Entitlements Server管理サーバーのポート番号です。たとえば、 |
|
Oracle Entitlements Server管理サーバーのSSLポート番号です。たとえば、 |
|
Apache Tomcatサーバーの場所です。 |
|
JAXWS-RIの場所です。 注意: 制御されたプッシュ・モードでは、JAXWSサポートが必要です。Apache Tomcatは、デフォルトではJAXWSをサポートしていません。JAXWS-RIは次の場所からダウンロードできます。 |
|
Oracle WebLogic Serverの管理ユーザー名を指定します。例: |
|
Oracle WebLogic Serverの管理パスワードを指定します。 |
注意: Apache Tomcatセキュリティ・モジュールのデフォルトの配布モードは、制御されたプッシュ配布です。配布モードを変更する場合は、8.6.1.2項「制御されない配布モードおよび制御されたプル配布モードの構成」を参照してください。 制御されたプッシュ・モードを動作させるために、WebLogic管理コンソールにログインし、「環境」→「サーバー」→「管理サーバー」→「SSL」に移動する必要があります。「管理サーバーの設定」ページが表示されます。「詳細」タブをクリックし、「サーバーの証明書を使用」を選択します。 |
Javaセキュリティ・モジュールのインスタンスを作成するには、config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行する必要があります。
注意: Javaセキュリティ・モジュールをWebサービス・セキュリティ・モジュールやRMIセキュリティ・モジュールとともにプロキシ・モードで使用する場合は、 |
config.sh -smType java -smConfigId mySM_Java
制御されたプッシュ・モードでは、Oracle Entitlements Server管理サーバーのユーザー名とパスワード、および登録用の新規キーストアのパスワードの入力を求められます。
制御されないモードや制御されたプル・モードでは、Oracle Entitlements Serverスキーマのユーザー名とパスワードの入力を求められます。
表8-13では、コマンド行で指定するパラメータについて説明します。
表8-13 JSEセキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
注意: JSEセキュリティ・モジュールのデフォルトの配布モードは、制御されたプッシュ配布です。配布モードを変更する場合は、8.6.1.2項「制御されない配布モードおよび制御されたプル配布モードの構成」を参照してください。 |
Javaセキュリティ・モジュール・インスタンスは、OES_CLIENT_HOME/oes_sm_instances/mySM_java
で作成されます(表8-13で説明されているデフォルト値を使用した場合)。
RMIセキュリティ・モジュールのインスタンスを構成するには、config.sh
(UNIXの場合、格納場所は OES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行する必要があります。
config.sh -smType rmi -smConfigId mySM_Rmi -serverPort 9405
制御されたプッシュ・モードでは、Oracle Entitlements Server管理サーバーのユーザー名とパスワード、および登録用の新規キーストアのパスワードの入力を求められたら、それらを指定します。
制御されない配布モードや制御されたプル配布モードでは、入力を求められたらOracle Entitlements Serverスキーマのユーザー名とパスワードを指定します。
表8-14では、コマンド行で指定するパラメータについて説明します。
表8-14 RMIセキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
RMIリスニング・ポートたとえば、 |
注意: RMIセキュリティ・モジュールのデフォルトの配布モードは、制御されたプッシュ配布です。配布モードを変更する場合は、8.6.1.2項「制御されない配布モードおよび制御されたプル配布モードの構成」を参照してください。 |
このコマンドは、RMIセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
この項には次のトピックが含まれます:
.NETセキュリティ・モジュールを構成する前に、次の手順を実行する必要があります。
dotnetsm_config.properties
ファイル(格納場所は<MW_Home>\as_1\oessm\dotnetsm\configtool
)を開き、次の情報を更新します。
application.config.file: .Netアプリケーションのタイプに基づいて構成ファイルのパスを指定します。例: app.config
またはweb.config
application.log4NetXmlfile: log4net.xml
構成ファイルの場所を指定します。既存のロギング構成ファイルがない場合、デフォルトの場所を指定します(OES_CLIENT_HOME/oessm/dotnetsm/logging/log4Net.xml
)。
wssm.smurl: 次のフォーマットで、WSSM経由で公開されたOES WebサービスURIを指定します。
http://<host>:<port>/Ssmws
gac.utility: Microsoft .NET Framework Global Assembly Cache (GAC)ユーティリティの場所を指定します。次の操作を定義できます。
config
: このオプションを選択する場合、SMconfigツールは、GACユーティリティのOES-PEP.dll
およびlog4NET.dll
を登録します。
remove
: このオプションを選択する場合、SMconfigツールは、DLLをGACユーティリティから削除し、application.config.file
から構成パラメータを削除します。
次のシナリオで、.NETセキュリティ・モジュールを構成できます。
シナリオ1: .NETおよびWebサービスが1つのマシンの場合
.NETおよびWebサービスが1つのマシンにインストールされている場合、次の構成が可能です。
.NETセキュリティ・モジュールおよびWebサービス・セキュリティ・モジュールの構成
.NETおよびWebサービスが1つのマシンにインストールされており、.NETセキュリティ・モジュールおよびWebサービス・セキュリティ・モジュールを構成する場合、このシナリオの構成を実行します。
OES_CLIENT_HOME\oessm\bin
ディレクトリにあるconfig.cmd
(Windowsの場合)を次のように実行します。
config.cmd -smType dotnetws -prpFileName <ws_config> –dotnetprpFileName <dotnetsm_config> -smConfigId myDotnet –pdServer <oes_server_address> -pdPort <oes_server_ssl_port> -WSListeningPort 9410
表8-15では、コマンド行で指定するパラメータについて説明します。
表8-15 .NETセキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
|
|
|
Oracle Entitlements Server管理サーバーのアドレスです。 |
|
Oracle Entitlements Server管理サーバーのポート番号です。たとえば、 |
|
Web Serviceリスニング・ポートです。たとえば、 |
このコマンドは、.NETセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
.NETセキュリティ・モジュールの構成
.NETおよびWebサービスが1つのマシンにインストールされており、Webサービス・セキュリティ・モジュールがすでに構成されている場合、このシナリオの構成を実行します。
次のコマンドを使用して.NETセキュリティ・モジュールのインスタンスを構成する前に、「Oracle WebLogic ServerのWebサービス・セキュリティ・モジュールの構成」の説明に従って、Webサービス・セキュリティ・モジュールを構成していることを確認します。
Windowsの場合config.cmd
(格納場所はOES_CLIENT_HOME\oessm\bin)
を次のように実行します。
config.cmd -smType dotnet -smConfigId myDotnet -prpFileName <ws_config> –dotnetprpFileName <dotnetsm_config>
表8-17では、コマンド行で指定するパラメータについて説明します。
表8-16 .NETセキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
|
|
このコマンドは、.NETセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
使用している.NETアプリケーションのapplication.config
ファイルに、appSettings
セクションのSsmUrl
、SsmId
およびlog4NetXml
の値が含まれていることを確認します。
例:
<appSettings> <add key="SsmUrl" value="<wssm.smurl>" <add key="SsmId" value="<smConfigId>"/> <add key="FailureRetryCount" value="3"/> <add key="FailbackTimeoutMilliSecs" value="180000"/> <add key="RequestTimeoutMilliSecs" value="10000"/> <add key="SynchronizationIntervalMilliSecs" value="60000"/> <add key="log4NetXmlfile" value="<application.log4NetXmlfile> "/> </appSettings>
シナリオ2: .NETおよびWebサービスが別のマシンの場合
.NETおよびWebサービスが別のマシンにインストールされている場合、このシナリオの構成を実行します。
次のコマンドを使用して.NETセキュリティ・モジュールのインスタンスを構成する前に、「Oracle WebLogic ServerのWebサービス・セキュリティ・モジュールの構成」の説明に従って、Webサービス・セキュリティ・モジュールを構成していることを確認します。
Windowsの場合config.cmd
(格納場所はOES_CLIENT_HOME\oessm\bin)
を次のように実行します。
config.cmd -smType dotnet -smConfigId myDotnet -prpFileName <ws_config> –dotnetprpFileName <dotnetsm_config>
表8-17では、コマンド行で指定するパラメータについて説明します。
表8-17 .NETセキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
|
|
このコマンドは、.NETセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
使用している.NETアプリケーションのapplication.config
ファイルに、appSettings
セクションのSsmUrl
、SsmId
およびlog4NetXml
の値が含まれていることを確認します。
例:
<appSettings> <add key="SsmUrl" value="<wssm.smurl>" <add key="SsmId" value="<smConfigId>"/> <add key="FailureRetryCount" value="3"/> <add key="FailbackTimeoutMilliSecs" value="180000"/> <add key="RequestTimeoutMilliSecs" value="10000"/> <add key="SynchronizationIntervalMilliSecs" value="60000"/> <add key="log4NetXmlfile" value="<application.log4NetXmlfile> "/> </appSettings>
この項には次のトピックが含まれます:
MOSSセキュリティ・モジュールのインスタンスを構成する前に、次を確認する必要があります。
Microsoft SharePoint Server (MOSS)がマシンにインストールされていること。
OES MOSSセキュリティ・モジュールによって保護されているサイト・コレクションおよびその他のリソースに関連するMOSS Webアプリケーションが作成されていること。
次のシナリオで、MOSSセキュリティ・モジュールを構成できます。
シナリオ1: MOSSおよびWebサービスが1つのマシンの場合
MOSSおよびWebサービスが1つのマシンにインストールされている場合、次の構成が可能です。
MOSSセキュリティ・モジュールおよびWebサービス・セキュリティ・モジュールの構成
MOSSおよびWebサービスが1つのマシンにインストールされており、MOSSセキュリティ・モジュールおよびWebサービス・セキュリティ・モジュールを構成する場合、このシナリオの構成を実行します。
OES_CLIENT_HOME\oessm\bin
ディレクトリにあるconfig.cmd
ファイル(Windowsの場合)を次のように実行します。
config.cmd -smType mossws –prpFileName <ws_config> –mossprpFileName <moss_config> -smConfigId myMoss –pdServer <oes_server_address> -pdPort <oes_server_ssl_port> -WSListeningPort 9410
表8-18では、コマンド行で指定するパラメータについて説明します。
表8-18 MOSSセキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
|
|
|
Oracle Entitlements Server管理サーバーのアドレスです。 |
|
Oracle Entitlements Server管理サーバーのポート番号です。たとえば、 |
|
Web Serviceリスニング・ポートです。たとえば、 |
このコマンドは、MOSSセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
MOSSセキュリティ・モジュールの構成
MOSSおよびWebサービスが1つのマシンにインストールされており、Webサービス・セキュリティ・モジュールがすでに構成されている場合、このシナリオの構成を実行します。
次のコマンドを使用してMOSSセキュリティ・モジュールのインスタンスを構成する前に、「Oracle WebLogic ServerのWebサービス・セキュリティ・モジュールの構成」の説明に従って、Webサービス・セキュリティ・モジュールを構成していることを確認します。
OES_CLIENT_HOME\oessm\bin
ディレクトリにあるconfig.cmd
ファイル(Windowsの場合)を次のように実行します。
config.cmd -smType moss -smConfigId myMoss -prpFileName <ws_config> –mossprpFileName <moss_config>
表8-20では、コマンド行で指定するパラメータについて説明します。
表8-19 MOSSセキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
|
|
このコマンドは、MOSSセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
シナリオ2: MOSSおよびWebサービスが別のマシンの場合
MOSSおよびWebサービスが別のマシンにインストールされている場合、このシナリオの構成を実行します。
次のコマンドを使用してMOSSセキュリティ・モジュールのインスタンスを構成する前に、「Oracle WebLogic ServerのWebサービス・セキュリティ・モジュールの構成」の説明に従って、Webサービス・セキュリティ・モジュールを構成していることを確認します。
OES_CLIENT_HOME\oessm\bin
ディレクトリにあるconfig.cmd
ファイル(Windowsの場合)を次のように実行します。
config.cmd -smType moss -smConfigId myMoss -prpFileName <ws_config> –mossprpFileName <moss_config>
表8-20では、コマンド行で指定するパラメータについて説明します。
表8-20 MOSSセキュリティ・モジュール・パラメータ
パラメータ | 説明 |
---|---|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
|
|
このコマンドは、MOSSセキュリティ・モジュール・インスタンス向けのクライアント構成も作成します。
MOSSリソースを検索するには、リソース検出ツールを実行する必要があります。
<OES_CLIENT_HOME/oessm/mosssm/lib
ディレクトリ(Windowsの場合)にあるMOSSResourceDiscovery.exe
ファイルを実行します。次のパラメータの入力を求められます。
Enter the folder path where you want to create OES policy file - リソース・ファイルが作成されるフォルダのパスを指定します。エクスポート済リソースの格納に使用されるディレクトリは、事前に作成されている必要があることに注意してください。
Enter Path where Admin Url file is located - <OES_CLIENT_HOME/oessm/mosssm/adm/discovery/AdmUrls.txt
ファイルへのパスを指定します。このファイルは、管理URLの抽出に使用されます。
Enter SharePoint site URL and DONOT append url with /. e.g. http://sharepoint01 - OESにより保護するMOSSサイトの最上位レベルのURLを指定します。
Enter Application Name of the MOSS application to be protected by OES e.g. MossApp - OESにより保護するMOSSアプリケーションの名前を指定します。
注意: 入力するMOSSアプリケーション名が、 |
Enter Resource Type of all the MOSS resources e.g. MossResourceType - OESにより保護するすべてのMOSSリソースのリソース・タイプを指定します。
注意: 入力するMOSSリソース・タイプが、 |
次に、MOSSResourceDiscovery.exe
ファイルの実行例を示します。
C:\Oracle\Middleware\Oracle_OESClient\oessm\mosssm\lib>MOSSResourceDiscovery.exe ---------------------------------------------------------- Welcome to the MOSS Resource Discovery ---------------------------------------------------------- Enter the folder path where you want to create OES policy file c:\inetpub\wwwroot\wss\VirtualDirectories\9581\policy Enter Path where Admin Url file is located C:\Oracle\Middleware\Oracle_OESClient\oessm\mosssm\adm\Discovery\AdmUrls.txt Enter SharePoint site URL and DONOT append url with /. e.g. http://sharepoint01 http://alesw2k8:9581 Enter Application Name of the MOSS application to be protected by OES e.g. MossApp MossApp Enter Resource Type of all the MOSS resources e.g. MossResourceType MossResourceType Resource Discovery starts.... SpSitePath is http://alesw2k8:9581
OESポリシー・ストアへMOSSリソース・ポリシーを移行するには、次の手順を実行します。
OES_CLIENT_HOME/oessm/bin
ディレクトリ(Windowsの場合)またはOES_CLIENT_HOME\oessm\bin
ディレクトリ(UNIXの場合)に移動します。
manage-policy.cmd
ファイル(Windowsの場合)またはmanage-policy.sh
ファイル(UNIXの場合)を実行します。
次に、manage-policy.cmd
ファイルの実行例を示します。
C:\Oracle\Middleware\Oracle_OESClient\oessm\bin>manage-policy.cmd Please input the application name for the protected MOSS application e.g MossApp: MossApp Input the resource type for the MOSS resources e.g MossResourceType: MossResourceType Input the Moss resource file: c:\inetpub\wwwroot\wss\VirtualDirectories\9581\policy\object Creating resource: /_layouts
Oracle Entitlements Serverセキュリティ・モジュール・インスタンスは、OES_CLIENT_HOME/oes_sm_instances
ディレクトリに作成されます。
Oracle WebLogic Serverセキュリティ・モジュールの場合、ドメイン構成はDOMAIN_HOME/config/fmwconfig
に格納されています。
必要に応じて、セキュリティ・モジュール・インスタンスを作成、削除、または変更できます。
ご使用のプログラムのJavaセキュリティ・モジュールを構成したら、次の手順に従ってそのプログラムのJavaセキュリティ・モジュールを起動する必要があります。
新しいJavaシステム・プロパティ(-Doracle.security.jps.config
)を設定し、jps-config.xml
ファイル(格納場所はOES_CLIENT_HOME/oes_sm_instances/<SM_NAME>/config
)の場所を値に指定します。
プログラムのクラスパスにoes-client.jar
(格納場所はOES_CLIENT_HOME/modules/oracle.oes_sm.1.1.1
)を入力します。
セキュリティ・モジュールがプロキシ・クライアントとして構成されている場合は、authentic.identity.cache.enabled
システム・プロパティをtrueに設定します。この構成は、WebサービスまたはRMIセキュリティ・モジュールのリモート・プロキシが実行されるJVMで使用され、実行されるセキュリティ・モジュールのタイプに基づいています。
具体的には次のとおりです。
セキュリティ・モジュールがWebLogic Serverセキュリティ・モジュールの場合、UNIXのsetDomainEnv.shスクリプト、またはWindowsのsetDomainEnv.cmdスクリプトで、JAVA_OPTIONS環境変数にシステム・プロパティ-Dauthentic.identity.cache.enabled=true
を追加する必要があります。
セキュリティ・モジュールがJavaセキュリティ・モジュールの場合、Javaセキュリティ・モジュールで保護されているプログラムにシステム・プロパティ-Dauthentic.identity.cache.enabled=true
を追加する必要があります。
Webサービス・セキュリティ・モジュールまたはRMIセキュリティ・モジュール向けのPDPプロキシ・クライアントを、表8-21の説明に従って構成できます。
表8-21 PDPプロキシ・クライアントのセキュリティ・モジュールのパラメータ
パラメータ | 説明 |
---|---|
o |
値に |
|
Web Service ( |
|
|
config.sh
(UNIXの場合、格納場所はOES_CLIENT_HOME/oessm/bin
)またはconfig.cmd
(Windowsの場合、格納場所はOES_CLIENT_HOME\oessm\bin
)を次のように実行する必要があります。
Javaセキュリティ・モジュールの場合:
OES_CLIENT_HOME/oessm/bin/config.sh -smType <SM_TYPE> -smConfigId <SM_NAME>
SM_TYPE
にはjava
、wls
、またはwas
と入力し、SM_NAME
には適切な名前を入力します。
Oracle Entitlements Serverのインストール後、次のドキュメントを参照してください。
Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド
Oracle Fusion Middleware Oracle Entitlements Server開発者ガイド