| Oracle® Fusion Middleware Oracle HTTP Serverのインストールと構成 12c (12.1.3) E56228-03 |
|
 前 |
この付録では、Oracle HTTP Server 12c WebGate for Oracle Access Managerを構成する手順を説明します。
WebGateはOracle Access Manager (OAM)のWebサーバー・プラグインで、HTTPリクエストを捕捉して、認証と認可を行うためにアクセス・サーバーに転送します。Oracle HTTP Serverをインストールすると、WebGateがインストールされるため、別のインストーラは不要です。
内容は次のとおりです。
Oracle HTTP Server 12c WebGateを構成可能にするには、Oracle Access Managerの次のバージョンの1つをインストールする必要があります。Oracle Fusion Middleware Oracle Identity and Access Managementのインストレーション・ガイド 11gリリース2 (11.1.2.2)が推奨するバージョンです。
|
注意: Oracle Access Managerは固有の環境にインストールし、WebLogic Serverと同じマシンにはインストールしないでください。Oracle Access ManagerおよびWebLogic Serverがどちらも11gバージョンの場合は、同じマシンにインストールできます。たとえば、Oracle Access Manager 11.1.2.2およびWebLogic Server 10.3.6です。 |
Oracle HTTP Serverをインストールした後、Oracle HTTP Server 12c WebGate for Oracle Access Managerを構成するために、次の手順を完了する必要があります。
UNIXの場合
次のコマンドを実行して、Oracle_Home/webgate/ohs/tools/deployWebGateディレクトリに移動します。
cd Oracle_Home/webgate/ohs/tools/deployWebGate
次のコマンドを実行し、エージェントの必要な部分をOracle_HomeディレクトリからOHS_Master_Config_Directoryの場所にコピーします。
./deployWebGateInstance.sh -w OHS_Master_Config_Directory -oh Oracle_Home
コマンドの説明は次のとおりです。
Oracle_Homeは、Oracle HTTP Server WebGateをインストールしたディレクトリです。
例:
/home/oracle
OHS_Master_Config_Directoryは、Oracle HTTP Serverの主な構成ファイルが格納されているディレクトリの場所です。
例:
Oracle_Home/user_projects/domains/base_domain/config/fmwconfig/components/OHS/ohs1
次のコマンドを実行し、LD_LIBRARY_PATH変数にOracle_Home/libが含まれるようにします。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:Oracle_Home/lib
次のディレクトリに移動します。
Oracle_Home/webgate/ohs/tools/setup/InstallTools/
コマンド行で次のコマンドを実行して、Oracle_HomeディレクトリからOracle HTTP Serverの主な構成ディレクトリにapache_webgate.templateファイルをコピーし(名前がwebgate.confに変更されます)、httpd.confファイルを更新してwebgate.confの名前が含まれる1つの行を追加します。
./EditHttpConf -w OHS_Master_Config_Directory [-oh Oracle_Home] [-o output_file]
|
注意: -oh Oracle_Homeパラメータと-o output_fileパラメータはオプションです。 |
コマンドの説明は次のとおりです。
Oracle_Homeは、Oracle HTTP Server WebGate for Oracle Access Managerをインストールしたディレクトリです。
例:
/home/oracle
OHS_Master_Config_Directoryは、Oracle HTTP Serverの主な構成ファイルが格納されているディレクトリの場所です。
例:
Oracle_Home/user_projects/domains/base_domain/config/fmwconfig/components/OHS/ohs1
output_fileは、WebGate構成ファイルの名前で、このツールによって生成されたものです。このオプションを指定しない場合、デフォルトwebgate.confファイルが生成されます。
例:
webgate.conf
Windowsの場合
次のコマンドを実行して、Oracle_Home\webgate\ohs\tools\deployWebGateディレクトリに移動します。
cd Oracle_Home/webgate/ohs/tools/deployWebGate
次のコマンドを実行し、エージェントの必要な部分をOracle_HomeディレクトリからOHS_Master_Config_Directoryの場所にコピーします。
deployWebGateInstance.bat -w OHS_Master_Config_Directory -oh Oracle_Home
コマンドの説明は次のとおりです。
Oracle_Homeは、Oracle HTTP Server WebGateをインストールしたディレクトリです。
例:
\home\oracle
OHS_Master_Config_Directoryは、Oracle HTTP Serverの主な構成ファイルが格納されているディレクトリの場所です。
例:
Oracle_Home\user_projects\domains\base_domain\config\fmwconfig\components\OHS\ohs1
次のコマンドを実行してPATH環境変数を設定します。
set %PATH%=%PATH%;Oracle_Home\webgate\ohs\lib;Oracle_Home\bin
次のディレクトリに移動します。
Oracle_Home\webgate\ohs\tools\EditHttpConf
コマンド行で次のコマンドを実行して、Oracle_HomeディレクトリからOracle HTTP Serverの主な構成ディレクトリにapache_webgate.templateファイルをコピーし(名前がwebgate.confに変更されます)、httpd.confファイルを更新してwebgate.confの名前が含まれる1つの行を追加します。
EditHttpConf -w OHS_Master_Config_Directory [-oh Oracle_Home] [-o output_file]
|
注意: -oh Oracle_Homeパラメータと-o output_fileパラメータはオプションです。 |
コマンドの説明は次のとおりです。
Oracle_Homeは、Oracle HTTP Server WebGate for Oracle Access Managerをインストールしたディレクトリです。
例:
\home\oracle
OHS_Master_Config_Directoryは、Oracle HTTP Serverの主な構成ファイルが格納されているディレクトリの場所です。
例:
Oracle_Home\user_projects\domains\base_domain\config\fmwconfig\components\OHS\ohs1
output_fileは、WebGate構成ファイルの名前で、このツールによって生成されたものです。このオプションを指定しない場合、デフォルトwebgate.confファイルが生成されます。
例:
webgate.conf
Oracle HTTP Server 12c WebGate for Oracle Access Managerをインストールし、構成手順を完了した後で、installDATE-TIME_STAMP.outログ・ファイルを調べてインストールを確認できます。ログのデフォルトの場所は次のとおりです。
UNIXの場合
Oracle_Home/oraInst.loc
Windowsの場合
C:\Program Files\Oracle\Inventory\logs
Oracle Access Manager向けに新規のOracle HTTP Server 12c WebGateエージェントを使用する前に、次のタスクを完了する必要があります。
Oracle Access Manager管理コンソールを使用すると、Oracle Access Managerに新規のWebGateエージェントを登録できます。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
もしくは、RREGコマンド行ツールを使用して、新規WebGateエージェントを登録できます。このツールは、インバンドとアウトオブバンドという2つのモードで実行するように使用できます。
この項には次のトピックが含まれます:
RREGツールを設定するには、次の手順を実行します。
UNIXの場合
Oracle Access Managerをインストールおよび構成した後、次のディレクトリに移動します。
Oracle_IDM2/oam/server/rreg/client
RREG.tar.gzファイルを解凍します。
例:
gunzip RREG.tar.gz
tar -xvf RREG.tar
エージェントを登録するためのツールは次の場所にあります。
RREG_Home/bin/oamreg.sh
|
注意: RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。 |
Windowsの場合
Oracle Access Managerをインストールおよび構成した後、次の場所に移動します。
Oracle_IDM2\oam\server\rreg\client
RREG.tar.zipファイルの内容を、選択した展開先に展開します。
エージェントを登録するためのツールは次の場所にあります。
RREG_Home\bin\oamreg.bat
|
注意: RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。 |
UNIXではoamreg.shスクリプト、Windowsではoamreg.batスクリプトにある、次の環境変数を設定します。
OAM_REG_HOME
この変数を、RREG.tar/rregの内容を展開したディレクトリへの絶対パスに設定します。
JDK_HOME
この変数を、JavaまたはJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。
RREG_Home\inputディレクトリ内(Windowsの場合)のOAM11GRequest.xmlファイルで、agentNameなどのエージェント・パラメータを更新する必要があります。UNIXでは、このファイルはRREG_Home/inputディレクトリ内にあります。
|
注意: OAM11GRequest.xmlファイル、またはショート・バージョンOAM11GRequest_short.xmlは、テンプレートとして使用されます。このテンプレート・ファイルをコピーして使用できます。 |
OAM11GRequest.xmlファイルまたはOAM11GRequest_short.xmlファイル内の次の必須パラメータの値を変更します。
serverAddress
OAM管理サーバーのホストとポートを指定します。
agentName
エージェントのカスタム名を指定します。
agentBaseUrl
Oracle HTTP Server 12c WebGateがインストールされているマシンの、ホストとポートを指定します。
preferredHost
Oracle HTTP Server 12c WebGateがインストールされているマシンの、ホストとポートを指定します。
security
インストールされているWebGateに基づいて、openなどのセキュリティ・モードを指定します。
primaryServerList
Serverコンテナ要素の下にある、Oracle Access Managerプロキシに対する管理対象サーバーのホストとポートを指定します。
このファイルは、変更後に保存して閉じます。
OAM11GRequest.xmlファイルのWebGateパラメータを更新した後、RREGツールを一度実行すると、WebGateが必要とするファイルおよびアーティファクトは、次のディレクトリに生成されます。
UNIXの場合:
RREG_Home/output/agent_name
Windowsの場合:
RREG_Home\output\agent_name
|
注意: RREGは、クライアント・マシンとサーバーのいずれでも実行できます。サーバーで実行する場合、アーティファクトを元のクライアントに手動でコピーする必要があります。 |
手順は次のとおりです。
OAM11GRequest.xmlファイルを開きます。このファイルは、UNIXではRREG_Home/input/、WindowsではRREG_Home\inputにあります。RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。
このXMLファイルを編集して、新規のOracle HTTP Server WebGate for Oracle Access Managerのパラメータを指定します。
次のコマンドを実行します。
UNIXの場合:
./RREG_Home/bin/oamreg.sh inband input/OAM11GRequest.xml
Windowsの場合:
RREG_Home\bin\oamreg.bat inband input\OAM11GRequest.xml
サーバーにアクセスできないエンド・ユーザーの場合、更新したOAM11GRequest.xmlファイルをシステム管理者に電子メールで送信し、アウトオブバンド・モードでRREGを実行してもらうことが可能です。生成されたAgentID_Response.xmlファイルをシステム管理者から受領し、このファイルに対してRREGを実行し、必要なWebGateファイルおよびアーティファクトを取得できます。
生成されたAgentID_Response.xmlファイルを管理者から受領した後、このファイルを手動でマシン上のinputディレクトリにコピーする必要があります。
UNIXの場合
手順は次のとおりです。
サーバーにアクセスできないエンド・ユーザーの場合は、OAM11GRequest.xmlファイルを開きます。このファイルは、RREG_Home/input/にあります。
RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。このXMLファイルを編集して、新規のOracle HTTP Server WebGate for Oracle Access Managerのパラメータを指定します。更新したファイルをシステム管理者に送信します。
管理者は、更新されたOAM11GRequest.xmlファイルをコピーします。このファイルは、RREG_Home/input/ディレクトリにあります。
これは、エンド・ユーザーから受信したファイルです。管理者のRREG_Homeディレクトリに移動し、次のコマンドを実行します。
./RREG_Home/bin/oamreg.sh outofband input/OAM11GRequest.xml
Agent_ID_Response.xmlファイルが管理者のマシンのoutputディレクトリ(RREG_Home/output/ディレクトリ)に生成されます。更新済のOAM11GRequest.xmlファイルを最初に管理者に送信したエンド・ユーザーに、このファイルを送信します。
エンド・ユーザーは、生成されたAgent_ID_Response.xmlファイルをコピーします。このファイルは、RREG_Home/input/にあります。
これは、管理者から受信したファイルです。クライアントのRREGホーム・ディレクトリに移動し、コマンド行で次のコマンドを実行します。
./RREG_Home/bin/oamreg.sh outofband input/Agent_ID_Response.xml
|
注意: Oracle Fusion Middleware Oracle Access Manager管理者ガイドのコンソールを使用したOAMエージェントの登録に関する項で説明されているように、Oracle Access Manager管理コンソールを使用してWebGateエージェントを登録すると、登録後に生成されたファイルおよびアーティファクトを、サーバー(Oracle Access Manager管理コンソールが実行されているマシン)からクライアント・マシンに手動でコピーする必要があります。ファイルおよびアーティファクトはOracle_Home/user_projects/domains/name_of_the_WebLogic_domain_for_OAM/output/Agent_IDディレクトリに生成されます。 |
Windowsの場合
手順は次のとおりです。
サーバーにアクセスできないエンド・ユーザーの場合は、OAM11GRequest.xmlファイルを開きます。このファイルは、RREG_Home\input\ディレクトリにあります。
RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。このXMLファイルを編集して、新規のOracle HTTP Server WebGate for Oracle Access Managerのパラメータを指定し、更新されたファイルをシステム管理者に送信します。
管理者は、更新されたOAM11GRequest.xmlファイルをコピーします。このファイルは、RREG_Home\input\にあります。これは、エンド・ユーザーから受信したファイルです。管理者のRREG_Homeディレクトリに移動し、次のコマンドを実行します。
RREG_Home\bin\oamreg.bat outofband input\OAM11GRequest.xml
Agent_ID_Response.xmlファイルが管理者のマシンのRREG_Home\output\ディレクトリに生成されます。更新済のOAM11GRequest.xmlファイルを最初に管理者に送信したエンド・ユーザーに、このファイルを送信します。
エンド・ユーザーは、生成されたAgent_ID_Response.xmlファイルをコピーします。このファイルは、RREG_Home/input/にあります。これは、管理者から受信したファイルです。クライアントのRREGホーム・ディレクトリに移動し、次のコマンドを実行します。
RREG_Home\bin\oamreg.bat outofband input\Agent_ID_Response.xml
|
注意: Oracle Fusion Middleware Oracle Access Manager管理者ガイドのコンソールを使用したOAMエージェントの登録に関する項で説明されているように、Oracle Access Manager管理コンソールを使用してWebGateエージェントを登録すると、登録後に生成されたファイルおよびアーティファクトを、サーバー(Oracle Access Manager管理コンソールが実行されているマシン)からクライアント・マシンに手動でコピーする必要があります。ファイルおよびアーティファクトはOracle_Home/user_projects/domains/name_of_the_WebLogic_domain_for_OAM/output/Agent_IDディレクトリに生成されます。 |
新規WebGateエージェントの登録に使用する方法またはモードに関係なく、次のファイルおよびアーティファクトがRREG_Home/output/Agent_IDディレクトリに生成されます。
cwallet.sso
ObAccessClient.xml
SIMPLEモードの場合、RREGによって次のものが生成されます。
password.xml。SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと同じものを使用できます。
aaa_key.pem
aaa_cert.pem
CERTモードの場合、RREGによってpassword.xmlが生成されます。これには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
|
注意: RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。 |
RREGがこれらのファイルおよびアーティファクトを生成した後、使用しているセキュリティ・モードに基づき、手動でこれらをRREG_Home/output/Agent_IDディレクトリからOHS_Master_Config_Directoryディレクトリにコピーする必要があります。
使用しているセキュリティ・モードに従って、次の操作を行います。
OPENモードの場合、次のファイルをRREG_Home/output/Agent_IDディレクトリからOHS_Master_Config_Directory/webgate/configディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
SIMPLEモードの場合、次のファイルをRREG_Home/output/Agent_IDディレクトリからOHS_Master_Config_Directory/webgate/configディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
password.xml
また、次のファイルをRREG_Home/output/Agent_IDディレクトリからOHS_Master_Config_Directory/webgate/config/simpleディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
CERTモードの場合、次のファイルをRREG_Home/output/Agent_IDディレクトリからOHS_Master_Config_Directory/webgate/configディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
password.xml
新規証明書の生成
次の手順で、新規証明書を生成します。
Oracle_Home/webgate/ohs/tools/opensslディレクトリに移動します。
次のようにして、証明書リクエストを作成します。
./openssl req -utf8 -new -nodes -config openssl_silent_ohs11g.cnf -keyout aaa_key.pem -out aaa_req.pem -rand Oracle_Home/webgate/ohs/config/random-seed
次のようにして、証明書を自己署名します。
./openssl ca -config openssl_silent_ohs11g.cnf -policy policy_anything -batch -out aaa_cert.pem -infiles aaa_req.pem
次の生成された証明書をOHS_Master_Config_Directory/webgate/configディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
simpleCAディレクトリ内のcacert.pem
|
注意: cacert.pemファイルをコピーした後、ファイルの名前をaaa_chain.pemに変更する必要があります。 |
既存の証明書の移行
既存の証明書(aaa_key.pem、aaa_cert.pemおよびaaa_chain.pem)を移行する場合、aaa_key.pemを暗号化する際に使用したものと同じパスフレーズを使用してください。同じパスフレーズをRREG登録処理中に入力する必要があります。同じパスフレーズを使用しないと、RREGによって生成されたpassword.xmlファイルが、鍵の暗号化に使用されたパスフレーズと一致しません。
同じパスフレーズを入力したら、これらの証明書を次のようにコピーできます。
OHS_Master_Config_Directory/webgate/configディレクトリに移動します。
次の証明書をOHS_Master_Config_Directory/webgate/configディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
aaa_chain.pem
Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle HTTP Serverの管理』のWLSTを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、『Oracle HTTP Serverの管理』のFusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することに関する項を参照してください。
