SSODiagを使用したKerberos環境のテスト

サブトピック

SSODiagは、Kerberos環境でWebLogic ServerがEPM Systemをサポートする準備が整っているかをテストする診断Webアプリケーションです。

SSODiagのデプロイ

Foundation Servicesのデプロイ時に指定したWebLogic Server管理者の資格証明(デフォルトのユーザー名はepm_admin)を使用して、SSODiagをデプロイします。

SSODiagをデプロイして構成するには:

  1. EPM Systemドメインに対するWebLogic Server管理コンソールにログオンします。

  2. チェンジ・センターで、「ロックして編集」をクリックします。

  3. 「ドメイン構造」「EPMSystem」から、「デプロイメント」をクリックします。

  4. デプロイメントの要約で、「インストール」をクリックします。

  5. 「パス」で、EPM_ORACLE_HOME/products/Foundation/AppServer/InstallableApps/common/SSODiag.warを選択します。

  6. 「次へ」をクリックします。

  7. ターゲット指定スタイルの選択で、このデプロイメントをアプリケーションとしてインストールするが選択されていることを確認し、「次へ」をクリックします。

    SSODiagのデプロイメント: ターゲット・スタイルの選択

  8. 「デプロイ・ターゲットの選択」で、次を選択し、「次へ」をクリックします。

    • EPMServer

    • クラスタのすべてのサーバー

      SSODiagのデプロイメント: ターゲットの選択

  9. 「オプション設定」で、「カスタム・ロールおよびポリシー: 管理コンソール内に定義されたロールとポリシーのみを使用します。」をセキュリティ・モデルとして選択します。

    SSODiagのデプロイメント: セキュリティの選択

  10. 「次へ」をクリックします。

  11. 確認画面で、「いいえ、後で構成を確認します。」を選択します。

  12. 「終了」をクリックします。

  13. チェンジ・センターで、「変更のアクティブ化」を選択します。

SSODiag用のOracle HTTP Serverの構成

mod_wl_ohs.confを更新して、SSODiag URL要求をWebLogic Serverに転送するようOracle HTTP Serverを構成します。

 Oracle HTTP ServerでURL転送を構成するには:

  1. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/mod_wl_ohs.confを開きます。

  2. SSODiagのLocationMatch定義を追加します:

    <LocationMatch /SSODiag/>
    SetHandler weblogic-handler
    WeblogicCluster myServer:28080
</LocationMatch>

    前述の例で、myServerはFoundation Servicesホスト・マシンを表し、28080はShared Servicesが要求をリスニングするポートを表します。

  3. mod_wl_ohs.confを保存して閉じます。

  4. Oracle HTTP Serverを再起動します。

SSODiag用のポリシーの作成

WebLogic Server管理コンソールでポリシーを作成し、次のSSODiag URLを保護します。

http://OHS_HOST_NAME:PORT/SSODiag/krbssodiag

この例では、OHS_HOST_NAMEをホストするサーバーの名前を表し、PORTはOracle HTTP Serverが要求をリスニングするポートを表します。

SSODiagを保護するポリシーを作成するには:

  1. WebLogic Server管理コンソールのチェンジ・センターで、EPM Systemに対して「ロックして編集」を選択します。

  2. 「デプロイメント」「SSODiag」「ロール」「ポリシー」の順に選択します。

  3. 次のURLパターンを作成します:

    • /

    • /index.jsp

  4. 作成した各URLパターンを変更します:

    1. 「スタンドアロンWebアプリケーションのURLパターン」のURLパターンのリストから、作成したパターン(/)をクリックして開きます。

    2. 「条件の追加」を選択します。

    3. 「述部リスト」から「ユーザー」を選択します。

    4. 「次へ」を選択します。

    5. ユーザー引数名で、アカウントがKerberos認証用に構成されているクライアント・デスクトップへのアクセスに使用されるActive Directoryユーザー(krbuser1など)を入力し、「追加」を選択します。krbuser1はActive DirectoryまたはWindowsデスクトップ・ユーザーです。

    6. 「終了」を選択します。

  5. 「保存」を選択します。

SSODiagを使用したKerberos認証用のWebLogic Server構成のテスト

Kerberos認証用のWebLogic Server構成が正しく機能する場合、Oracle Hyperion Kerberos SSO診断ユーティリティV 1.0に次のメッセージが表示されます:

Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved... SOME_USER_NAME

注意!

SSODiagがKerberosプリンシパル名を取得できない場合、Kerberos認証用にEPM Systemコンポーネントを構成しないでください。

Kerberos認証用のWebLogic Server構成をテストするには:

  1. Foundation ServicesとOracle HTTP Serverを起動します。

  2. WebLogic Server管理コンソールを使用して、すべての要求を処理するSSODiag Webアプリケーションを起動します。

  3. 有効なActive Directory資格証明を使用して、Kerberos認証用に構成されているクライアント・マシンにログオンします。

  4. ブラウザを使用して、次のSSODiag URLに接続します:

    http://OHS_HOST_NAME:PORT/SSODiag/krbssodiag

    この例では、OHS_HOST_NAMEをホストするサーバーの名前を表し、PORTはOracle HTTP Serverが要求をリスニングするポートを表します。

    Kerberos認証が適切に機能する場合、SSODiagは次の情報を表示します:

    Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved... SOME_USER_NAME

    Kerberos認証が適切に機能しない場合、SSODiagは次の情報を表示します:

    Retrieving Kerberos User principal name... failed.