| Oracle® Fusion Middleware Oracle Identity and Access Management高可用性ガイド 11g リリース2 (11.1.2.3) E61957-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Management高可用性ガイド 11g リリース2 (11.1.2.3) E61957-01 |
|
前 |
次 |
この章では、Oracle Entitlements Serverの概要、およびOracle Entitlements Serverコンポーネントの高可用性環境の設定方法について説明します。
Oracle Entitlements Serverはきめ細やかな認可製品で、これにより組織はリソースへのアクセスと使用を制御するポリシーを定義して管理することで、そのリソースを保護することができます。ポリシーでは、誰が、どのリソースに、いつ、どのように行うことができるかを指定することによって、アクセス権限を定義します。ポリシーでは、ソフトウェア・コンポーネントやビジネス・オブジェクトを含む、すべてのタイプのリソースを制御できます。
Oracle Entitlements Serverコンポーネント・アーキテクチャの図および説明は、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』のOracle Entitlements Serverアーキテクチャの概要に関する説明を参照してください。
Oracle Entitlements Server機能の詳細は、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』のOracle Entitlements Server 11gR2の機能に関する説明を参照してください。
この章の内容は、次のとおりです。
この項では、Oracle Entitlements Serverを2ノードのクラスタ構成による高可用性で使用する場合の概要について説明します。
この項には次のトピックが含まれます:
この項では、Oracle Entitlements Serverコンポーネントの次のような高可用性アーキテクチャのシナリオについて説明します。
この項には次のトピックが含まれます:
第10.1.1.3項「Webサービスに対するプロキシ・モードでのセキュリティ・モジュール/制御プッシュ・モードの高可用性でのRMIセキュリティ・モジュール」
第10.1.1.4項「Webサービスに対するプロキシ・モードでのセキュリティ・モジュール/制御プル・モードの高可用性でのRMIセキュリティ・モジュール」
第10.1.1.5項「Oracle Entitlements Server WebLogic Serverのセキュリティ・モジュールの高可用性」
図10-1は、アクティブ/アクティブ構成で高可用性アーキテクチャにデプロイされたOracle Entitlements Serverの管理サーバーを示しています。
図10-1 Oracle Entitlements Serverの管理サーバーの高可用性アーキテクチャ
OESHOST1には、次のインストールがあります。
Oracle Entitlements ServerインスタンスはWLS_OES1管理対象サーバーにインストールされており、APMインスタンスはWLS_OES1管理対象サーバーにインストールされています。
Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソースまたはGridLinkデータ・ソース内に構成されています。
WebLogic Serverの管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。
OESHOST2には、次のインストールがあります。
Oracle Entitlements ServerインスタンスはWLS_OES2管理対象サーバーにインストールされており、APMインスタンスはWLS_OES2管理対象サーバーにインストールされています。
Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソース内に構成されています。
OESHOST1およびOESHOST2上のWLS_OES1およびWLS_OES2管理対象サーバーのインスタンスは、OES_CLUSTERクラスタとして構成されています。
WebLogic Serverの管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。OESHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。
2つのOracle Entitlements Serverの管理サーバーが登録サーバーとバックアップ登録サーバーとして機能するように、Oracle Entitlements Serverのセキュリティ・モジュールを制御プッシュ・モードで構成できます。登録サーバーが停止した場合、Oracle Entitlements Serverのセキュリティ・モジュールをバックアップ・サーバーに切り替えることができ、Oracle Entitlements Serverの管理サーバーから分散ポリシーを取得できます。フェイルオーバー・シナリオおよび動作の詳細は、第10.1.4項「フェイルオーバーに関する考慮事項」を参照してください。
セキュリティ・モジュールが埋め込まれ、異なるポリシー情報ポイント(PIP)間でフェイルオーバーするよう構成できるように、セキュリティ・モジュールをデプロイできます。PIPはデータ・リポジトリであり、認可の決定用にポリシーを評価するときに使用するために取得できる情報のソースです。PIPの詳細は、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドのポリシー情報ポイントに関する説明を参照してください。
デプロイメント・オプションについては次の項目を参照してください。
複数のLDAP/JDBC URLを使用するOracle Entitlements Server PIP
図10-2は、高可用性デプロイメントでの埋込みセキュリティ・モジュール・インスタンスを示しています。LDAPおよびDBベースのPIPの両方を使用して、外部リソース間でフェイルオーバーするために、外部リソースの複数のエンドポイントを構成できます。DBベースのPIPでは、マルチソースのデータ・ソースも構成できます。
図10-2では、セキュリティ・モジュール(PDP)は、LDAP 1またはDatabase 1をプライマリPIPとして使用しています。フェイルオーバー時には、セキュリティ・モジュールはLDAP2およびDatabase 2にフェイルオーバーされます。
RACおよびロード・バランサを使用するOracle Entitlements Server PIP
Oracle Entitlements Serverの高可用性デプロイメントのもう1つのオプションでは、セキュリティ・モジュール(PDP)はロード・バランサとともにRACデータベースまたはLDAPサーバーを使用します。フェイルオーバー時には、図10-3に示すとおり、セキュリティ・モジュールはRACにフェイルオーバーされます。
図10-3 RACおよびロード・バランサを使用するOracle Entitlements Server PIP
Oracle Entitlements Serverでは、クライアントが認可サービスをリモートで起動できるプロキシ・モードがサポートされます。Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドのセキュリティ・モジュールのプロキシ・モードの使用を参照してください。セキュリティ・モジュールのプロキシ・モードでのデプロイには、次の3つのデプロイメント・オプションがあります。
WebLogic Serverデプロイメント上のWebサービスのセキュリティ・モジュール
図10-4は、WebLogic Server上のWebサービスのセキュリティ・モジュールを示します。
図10-4 WebLogic Serverデプロイメント上のWebサービスのセキュリティ・モジュール
スタンドアロンのWebサービスのセキュリティ・モジュールのデプロイメント
図10-5は、スタンドアロンのWebサービスのセキュリティ・モジュールのデプロイメントを示します。
RMIのセキュリティ・モジュールのデプロイメント
図10-6は、RMIのセキュリティ・モジュールのデプロイメントを示します。
Webサービスに対するプロキシ・モードでのセキュリティ・モジュールおよび制御プル・モードでのRMIセキュリティ・モジュールをデプロイするためのオプションは、次のとおりです。
WebLogic Server上のWebサービスのセキュリティ・モジュール
図10-7は、WebLogic Server上のWebサービスのセキュリティ・モジュールを示します。
スタンドアロンのWebサービスのセキュリティ・モジュール
図10-8は、スタンドアロンのWebサービスのセキュリティ・モジュールのデプロイメントを示します。
RMIのセキュリティ・モジュール
図10-9は、RMIのセキュリティ・モジュールのデプロイメントを示します。
Webサービスのセキュリティ・モジュールのプロキシ・クライアントおよびRMIのセキュリティ・モジュールのプロキシ・クライアントの構成の詳細は、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドのPDPプロキシに関する説明を参照してください。
OES WebLogic Serverの高可用性には、次の2つのデプロイメント・オプションがあります。
「Oracle Entitlements Server WebLogic Serverのセキュリティ・モジュール、制御プッシュ・モード」
「Oracle Entitlements Server WebLogic Serverのセキュリティ・モジュールの高可用性、制御プル・モードまたは非制御モード」
Oracle Entitlements Server WebLogic Serverのセキュリティ・モジュール、制御プッシュ・モード
次の図は、制御プッシュ・モードのOracle Entitlements Server WebLogic Serverのセキュリティ・モジュールを示します。
図10-10 Oracle Entitlements Server WebLogic Serverのセキュリティ・モジュール、制御プッシュ・モード
Oracle Entitlements Server WebLogic Serverのセキュリティ・モジュールの高可用性、制御プル・モードまたは非制御モード
次の図は、制御プル・モードまたは非制御モードのWebLogic Serverのセキュリティ・モジュールを使用したOracle Entitlements Server を示します。
図10-11 Oracle Entitlements Server WebLogic Serverのセキュリティ・モジュールの制御プル・モード/非制御モード
セキュリティ・モジュールが制御プルまたは非制御分散のOPSSセキュリティ・ストアからポリシーを読み取る場合、アプリケーションによるデータベースへのアクセスでは、Oracleが推奨する高可用性方法を使用してください。
すべての高可用性のシナリオで、ロード・バランサをデプロイできます。
ユーザー対APM通信に対するAuthorization Policy Manager (APM)の前面。ポリシー・ストアに永続化されないデータの損失を防ぐためにスティッキーな接続をお薦めします。
クライアント対セキュリティ・モジュール通信に対するWebサービスのセキュリティ・モジュールの前面。キャッシュを最大限に使用するためにスティッキーな接続をお薦めします。
|
注意: Oracle Entitlements Serverには、ロード・バランサに対するタイムアウト要件はありません。 |
この項では、Oracle Entitlements Serverのフェイルオーバーに関する考慮事項について説明します。
表10-1 Oracle Entitlements Serverのフェイルオーバーのシナリオと動作
| フェイルオーバーのシナリオ | フェイルオーバーの動作 |
|---|---|
|
OESポリシー・ストアの障害 |
マルチソースのデータ・ソースが使用されている場合、制御プルおよび非制御モードのAPMおよびセキュリティ・モジュールは、作業インスタンスに切り替わります。ポリシー・ストアのインスタンスが失われた場合も、トランザクションは処理されます。
|
|
OES管理サーバーの障害 |
|
|
Webサービスのセキュリティ・モジュールまたはRMIのセキュリティ・モジュールの障害 |
セキュリティ・モジュールのプロキシは、構成されているリトライ数に達するまでリクエストをリトライします。 |
|
DBまたはLDAP属性ソースの障害 |
セキュリティ・モジュール(OESクライアント)は、構成されているリトライ数に達するまでデータの読取りを継続します。 |
この項では、Oracle Entitlements Serverのアクティブ/アクティブ・クラスタにおける様々な障害からの保護について説明します。
Oracle Entitlements Serverのフェイルオーバーは透過的ではありません。WebLogic Serverインスタンスのフェイルオーバー時は、Oracle Entitlements Serverを使用して接続を再確立する必要があります。
ノード障害は、WebLogic Serverのクラッシュと同じ方法で処理されます。
Oracle Entitlements Serverは、システムの初期設定時に構成したマルチ・データ・ソースの使用によって、データベースの障害から保護されます。マルチ・データ・ソースによって、Oracle RACデータベース・インスタンスで障害が発生した場合に、使用可能なデータベース・インスタンスとの接続が再確立されることが保証されるようになります。マルチ・データ・ソースを使用すると、Oracle RACデータベース内の複数のインスタンスへの接続を構成できます。
高可用性アーキテクチャでは、Oracle Entitlements ServerをOracle WebLogicクラスタにデプロイしますが、このクラスタには、その一部として少なくとも2つのサーバーが存在します。
デフォルトでは、WebLogic Serverによって、このアプリケーションに対する様々なライフサイクル・イベントの起動、停止、監視および管理が行われます。Oracle Identity Managerアプリケーションは、基盤となるOracle WebLogicクラスタの高可用性機能を利用します。ハードウェアなどの障害が発生した場合は、障害発生ノードの処理の再開が可能な他のクラスタ・ノードがこのセッション状態を使用できます。
Oracle Entitlements Serverのライフサイクル・イベントは、次に示すコマンド行ツールおよびコンソールを1つ以上使用して管理できます。
WebLogic Server管理コンソール
Oracle Enterprise Manager Fusion Middleware Control
Oracle WebLogic Scripting Tool (WLST)
高可用性環境では、すべてのOracle Entitlements Serverインスタンスが同じ構成リポジトリを共有するため、Oracle Entitlements Serverの1つのインスタンスの構成を変更するとその他すべてのインスタンスの構成も変更されます。ほぼすべてのOracle Entitlements Serverデプロイメントで、クラスタ構成が使用されます。唯一の例外はOracle Entitlements Serverの管理サーバーで、通常、これはクラスタ化されません。
LDAPとOracle Entitlements Serverデータベース間の同期は、調整と呼ばれるプロセスによって処理されますが、このプロセスは、主にバックグラウンドで実行されるスケジュール済プロセスです。このプロセスは手動で実行することもできます。
同期プロセス中にLDAPが停止した場合、Oracle Entitlements Serverによって取得されていないデータは、調整タスクの次回の実行時に取得されます。
この項では、Oracle Entitlements Serverで高可用性を得るためのデプロイメントを設定する高度な手順について説明します。
Oracle Entitlements Server管理サーバーの高可用性デプロイメントは、一般的なOracleアプリケーションと同じです。
Oracle Entitlements Serverの管理サーバー・ユーザー・インタフェースにアクセスするユーザーに対して高可用性を設定するには、WebLogicクラスタを使用します。
管理サーバー・ユーザー・インタフェースに対して高可用性データベースを設定するには、マルチ・ソース・データベース、Oracle RACおよびその他の一般的な要素を使用します。
この項には次のトピックが含まれます:
第10.2.4項「制御プッシュ・モードのOESのセキュリティ・モジュールをOracle Entitlements Server管理サーバーを使用して高可用性に構成」
第10.2.5項「プロキシ・モードのOracle Entitlements Serverのセキュリティ・モジュールをPDPを使用して高可用性に構成」
第10.2.7項「WebLogicでのOracle Entitlements Server Webサービスのセキュリティ・モジュールの高可用性の構成」
第10.2.8項「Oracle Entitlements Server WebLogicセキュリティ・モジュールの高可用性の構成」
Oracle Entitlements Serverの高可用性を構成する前に、次の手順を完了します。
リポジトリ作成ユーティリティを使用して、Oracle Entitlements ServerスキーマをOracle RACデータベースに作成します。スキーマの作成の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Entitlements Serverのインストールと構成ロードマップに関する説明を参照してください。
OESHOST1およびOESHOST2にWebLogic Serverをインストールします。詳細は、第5.4.1.2項「Oracle WebLogic Serverのインストール」を参照してください。
OESHOST1およびOESHOST2にOracle Entitlements Serverの管理ソフトウェアをインストールします。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Entitlements Server管理サーバーのインストールに関する説明を参照してください。
Oracle Entitlements Serverクライアントをインストールします。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Entitlementsクライアントのインストールに関する説明を参照してください。
OESHOST1でOES管理サーバー用WebLogicドメインを構成するには、次の手順を実行します。
MW_HOME/oracle_common/common/bin/config.shスクリプトを実行します。
「ようこそ」画面で「新しいWebLogicドメインの作成」を選択し、「次へ」をクリックします。「拡張ソースの選択」画面が表示されます。
「拡張ソースの選択」画面で、「管理対象サーバーのOracle Entitlements Server - 11.1.1.0[Oracle_IDM1」を選択します。構成ウィザードによって、「Oracle JRF」、「Oracle Platform Security Service」および「Basic WebLogic Server Domain」が自動的に選択されます。
「次へ」をクリックします。
「ドメイン名と場所の指定」画面で、作成しているドメインのドメイン名と場所を入力します。「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面で、WebLogicドメインの起動モードとJDKを選択します。
「JDBCコンポーネント・スキーマの構成」画面で、すべてのスキーマのJDBCプロパティを構成し、「次へ」をクリックします。
「JDBCコンポーネント・スキーマのテスト」画面で、「すべて選択」をクリックして「接続のテスト」をクリックします。「次」をクリックします。
データ・ソースの検証が成功したら、「次へ」をクリックします。
データ・ソースの検証に失敗した場合は、「前へ」をクリックして問題を修正し、もう一度実行します。
「オプションの構成を選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択します。「次へ」をクリックします。
「管理サーバーの構成」画面で、次の値を入力します。
名前: AdminServer
リスニング・アドレス: All Local Addresses
リスニング・ポート: 7001
SSLリスニング・ポート: 7002
「SSL有効」を選択
「次へ」をクリックします。
「管理対象サーバーの構成」画面では、この画面を初めて表示したときに、oes_server1という管理対象サーバーが自動的に作成されます。oes_server1の名前を変更し、このエントリに対する属性を更新できます。
例:
名前: oes_server1
リスニング・アドレス: OESHOST1.example.com
リスニング・ポート: 14600
SSLポート: 14601
2つ目のOES_SERVERでは、「追加」をクリックして、次の値を入力します。
名前: oes_server2
リスニング・アドレス: OESHOST2.example.com
リスニング・ポート: 14600
SSLポート: 14601
「SSL有効」を選択
「次へ」をクリックします。
「クラスタの構成」画面で、「追加」をクリックしてクラスタを作成します。
名前oes_clusterを入力します。「クラスタのメッセージング・モード」に「ユニキャスト」を選択し、「クラスタ・アドレス」をoes_server1:portのリスニング・アドレスまたはDNS名,oes_server2:portmanaged server1:portのリスニング・アドレスまたはDNS名,managed server2: portの形式で入力します。
「次へ」をクリックします。
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。
右のウィンドウで、クラスタ名「oes_cluster」をクリックします。
管理対象サーバー「oes_server1」をクリックしてから、矢印をクリックして、その管理対象サーバーをクラスタに割り当てます。
管理サーバーoes_server2について、前述の手順を繰り返します。
「次へ」をクリックします。
「マシンの構成」画面で、トポロジにある各ホストに対してマシンを作成します。
「Unix」タブをクリックします。
管理サーバー・ホストの場合:
名前: ホストの名前。ここではDNS名を使用します。
ノード・マネージャ・リスニング・アドレス: マシンのIPアドレスは、マシンのDNS名と同じにすることをお薦めします。
ノード・マネージャ・リスニング・ポート: ノード・マネージャが使用するポートを入力します。
その他すべての値はデフォルト設定のままにします。
OESHOST1およびOESHOST2について前述の手順を繰り返し、次の値を入力します。その他すべての値はデフォルト設定のままにします。
名前: ホスト名です。DNS名を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのIPアドレスは、マシンのDNS名と同じにすることをお薦めします。
ノード・マネージャ・リスニング・ポート: ノード・マネージャが使用するポートを入力します。
Unixオペレーティング・システムでは、「マシン」タブの下にあるデフォルト・ローカル・マシンのエントリを削除します。
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、作成したマシン上で実行する管理対象サーバーを割り当てます。次の手順を実行します。
右側のウィンドウでマシンをクリックします。
左側のウィンドウで、そのマシン上で実行する管理対象サーバーをクリックします。
矢印をクリックし、その管理対象サーバーをそのマシンに割り当てます。
すべての管理対象サーバーを適切なマシンに割り当てるまで、この手順を繰り返します。
次のように、サーバーをマシンに割り当てます。
ADMINHOST: 管理サーバー
OESHOST1: oes_server1
OESHOST2: oes_server2
「次へ」をクリックします。
「構成のサマリー」画面で、「作成」をクリックします。
OPSSセキュリティ・ストア構成の最初のRACデータベース・インスタンスが動作していることを確認します。
OPSSセキュリティ・ストアを構成します。『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOES管理サーバーのセキュリティ・ストアの構成に関する説明を参照してください。
この項には次のトピックが含まれます:
管理ホスト(OESHOST1など)でノード・マネージャを起動するには、次の手順を実行します。
MW_HOME/wlserver_10.3/server/bin/ディレクトリにあるstartNodeManager.shスクリプトを実行します。
setNMProps.shスクリプトを実行して、StartScriptEnabledプロパティをtrueに設定します。
cd MW_HOME/oracle_common/common/bin
ノード・マネージャ・プロセスを強制終了してノード・マネージャを停止します。
ノード・マネージャを起動します。
次の手順を実行して、管理サーバーが適切に構成されていることを確認します。
新しいドメインで./startWeblogic.shを使用して、WebLogic管理サーバーを起動します。
ブラウザで、次のようなOracle WebLogic Server管理コンソールのURLを入力します。
http://<OESHOST1>:7001/console
WebLogic管理者(たとえば、weblogic)としてログインします。
packおよびunpackコマンドを使用し、管理サーバーが使用するドメイン・ディレクトリをOESHOST1の管理対象サーバーが使用するドメイン・ディレクトリから分離します。
OESHOST1で独立ドメイン・ディレクトリを作成する手順は次のとおりです。
次のようにpackコマンドを実行し、テンプレート・パックを作成します。
cd MW_HOME/oracle_common/common/bin
./pack.sh -managed=true -domain=ORACLE_BASE/admin/domain_name/aserver/domain_name -template=domaintemplate.jar -template_name=domain_template
次のようにunpackコマンドを実行して、管理対象サーバー・ドメイン・ディレクトリ内のテンプレートを解凍します。
cd MW_HOME/oracle_common/common/bin
./unpack.sh -domain=ORACLE_BASE/admin/domain_name/mserver/domain_name -template=domaintemplate.jar
リモート・ホストの管理対象サーバー(OESHOST2など)を起動する前に、リモート・ホストでunpackを実行します。
第10.2.3.3項「管理サーバーと同じノードでの管理対象サーバー用独立ドメイン・ディレクトリの作成」で作成したファイルdomaintemplate.jarをOESHOST2にコピーします。
次のコマンドを使用して、OESHOST2のホストでunpackを実行します。
cd MW_HOME/oracle_common/common/bin
./unpack.sh -domain=ORACLE_BASE/admin/domain_name/mserver/domain_name -template=domaintemplate.jar
リモート・ホストでノード・マネージャを起動するには、次の手順を実行します。
OESHOST2でノード・マネージャを起動して、MW_HOME/wlserver_10.3/server/binディレクトリにあるstartNodemanager.shスクリプトを使用してnodemanager.propertiesファイルを作成します。
setNMProps.shスクリプトを実行して、StartScriptEnabledプロパティをtrueに設定します。
cd MW_HOME/oracle_common/common/bin
./setNMProps.sh
ノード・マネージャを停止および起動します。
WebLogic管理サーバーを再起動します。
ブラウザで、次のようなOracle WebLogic Server管理コンソールのURLを入力します。
http://<OESHOST1>:7001/console
WebLogic管理者(たとえば、weblogic)としてログインします。
WebLogic Serverの管理コンソールからoes_server1およびoes_server2管理対象サーバーを起動します。
|
注意: また、ドメイン・ディレクトリのサブフォルダbinでstartManagedWebLogic.shスクリプトを使用しても、管理対象サーバーを起動できます。例:
|
URL (http://<OESHOST1>:14600/apm)でAPMコンソールを開いて、OESHOST1のOES管理サーバー・インスタンスを検証します。
WebLogicユーザー名およびパスワードを使用してログインします。
http://<OESHOST2>:14600/apmをWebブラウザで指定してAPMコンソールを開き、OESHOST2のOES管理サーバー・インスタンスを検証します。
制御プッシュ・モードのOracle Entitlements Serverのセキュリティ・モジュールを高可用性で構成するには、OESセキュリティ・モジュールの構成ユーザー・インタフェースを使用して高可用性パラメータを設定します。
適切なセキュリティ・モジュール・インスタンスのディレクトリのbinディレクトリに変更して、コマンド行から次のスクリプトを実行します。
cd $OES_CLIENT_HOME/oes_sm_instances/SM_Name/bin
oessmconfig.shを実行して、SMConfig UIを起動します。
詳細は、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドのSMConfig UIの開始に関する説明を参照してください。
jps-config.xmlファイルに次のパラメータを設定します。
oracle.security.jps.runtime.pd.client.backupRegistrationServerURL
oracle.security.jps.runtime.pd.client.registrationRetryInterval
次の例は、RegistrationServerURLに障害が発生した場合にバックアップとして使用されるbackupRegistrationServerURLを示します。
<property name="oracle.security.jps.runtime.pd.client.backupRegistrationServerURL" value="https://slc00bqz:14601/pd-server"/>
詳細は、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドのJavaセキュリティ・モジュールの構成に関する説明を参照してください。
プロキシ・モードのセキュリティ・モジュールをPDPを使用して高可用性に構成するには、次の手順を実行します。
プロキシ・モードのセキュリティ・モジュールを構成するには、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドのセキュリティ・モジュールのプロキシ・モードの使用を参照してください。
PDPアドレス(例: oracle.security.jps.pdp.proxy.PDPAddress)に、カンマ区切りの値を追加することで変更します。
例:
oracle.security.jps.pdp.proxy.PDPAddress=http://ws1:9410,http://ws2:9410
詳細は、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドのPDPプロキシ・クライアントの構成に関する説明を参照してください。
ポリシー情報ポイントの高可用性を構成するには、次の手順を実行します。
適切なセキュリティ・モジュール・インスタンスのディレクトリのbinディレクトリに変更して、コマンド行から次のスクリプトを実行します。
cd $OES_CLIENT_HOME/oes_sm_instances/SM_Name/bin
oessmconfig.shを実行して、SMConfig UIを起動します。
詳細は、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドのSMConfig UIの開始に関する説明を参照してください。
ポリシー情報ポイントの高可用性用に次の属性リトリーバ・パラメータを設定します。詳細は、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドの属性リトリーバの構成に関する説明を参照してください。
|
注意: ldap.urlまたはjdbc.url属性リトリーバ・パラメータには、複数の値を設定できます。値はカンマで区切り、最初の値は1次値として処理されます。詳細は、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドのLDAPリポジトリの属性リトリーバ・パラメータの構成に関する説明を参照してください。 |
WebLogicのOracle Entitlements Server Webサービスのセキュリティ・モジュールを、WebLogicクラスタを使用して高可用性に構成できます。
WebLogicのOracle Entitlements Server Webサービスのセキュリティ・モジュールを構成するには、次の手順を実行します。
OESHOST1で、次の手順を実行します。
OESCLIENT_HOME/oessm/bin/config.shを実行して、Webサービスのセキュリティ・モジュールとWebLogic Serverドメインを作成します。
例:
./config.sh -smType ws -onWLS -smConfigId <ws_name> -serverLocation <wls_home> -pdServer <oes_admin_server> -pdPort <oes_admin_ssl_port>
「ようこそ」画面で「WebLogicドメインの作成」を選択し、「次へ」をクリックします。
「ドメイン・ソースの選択」画面で「以下の製品をサポートするために、自動的に構成されたドメインを生成する」を選択します。リストから「WebLogic上の管理対象サーバー用のOracle Entitlements Server Webサービスのセキュリティ・モジュール」を選択します。
「次へ」をクリックします。
「ドメイン名と場所の指定」画面で、ドメインおよびそのすべてのアプリケーションの名前と場所を入力します。
ドメイン名: <domain name>
ドメインの場所: デフォルトのエントリを受け入れます。
「管理サーバーのユーザー名とパスワードの構成」画面で、次のように入力します。
名前: weblogic
ユーザー・パスワード: WebLogicユーザーのパスワード
ユーザー・パスワードの確認: WebLogicユーザーのパスワード
説明: WebLogicユーザーの説明
「サーバーの起動モードおよびJDKの構成」画面で、「本番モード」および「JDK」を選択します。
「オプションの構成を選択」画面で、「AdminServer」および「管理対象サーバー」を選択します。「次へ」をクリックします。
「管理サーバーの構成」画面で、次の値を入力します。
名前: AdminServer
リスニング・アドレス: All Local Addresses
リスニング・ポート: 7001
SSLリスニング・ポート: 7002
「SSL有効」を選択して「次へ」をクリックします。
「管理対象サーバーの構成」画面で、デフォルトの管理対象サーバーwsonwls_server1が作成されます。wsonwls_server1の詳細を変更し、2つ目の管理対象サーバーを追加します。
wsonwls_server1では、次の値を入力します。
名前: wsonwls_server1
リスニング・アドレス: WSSMHOST1
リスニング・ポート: 14610
SSLリスニング・ポート: 14611
2つ目の管理対象サーバーでは、「追加」をクリックして、次の値を入力します。
名前: wsonwls_server2
リスニング・アドレス: WSSMHOST2
リスニング・ポート: 14610
SSLリスニング・ポート: 14611
「クラスタの構成」画面で、「追加」をクリックしてwssm_clusterを入力します。「クラスタのメッセージング・モード」に「unicast」を選択し、クラスタ・アドレスをmanaged_ server1:port,managed_server2: portのように入力します。
「次へ」をクリックします。
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。
右のウィンドウで、クラスタ「wssm_cluster」をクリックします。
管理対象サーバー「wsonwls_server1」をクリックしてから、矢印をクリックして、その管理対象サーバーをクラスタに割り当てます。
管理サーバーwsonwls_server2について、前述の手順を繰り返します。
「次へ」をクリックします。
「マシンの構成」画面で、トポロジにある各ホストに対してマシンを作成します。
オペレーティング・システムがUnixの場合は、「Unix」タブをクリックします。
管理サーバー・ホストの場合:
名前: ホストの名前。ここでは、DNS名を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのIPアドレスは、マシンのDNS名と同じにすることをお薦めします。
ノード・マネージャ・リスニング・ポート: ノード・マネージャが使用するポートを入力します。
その他すべての値はデフォルト設定のままにします。
WSSMHOST1およびWSSMOESHOST2について前述の手順を繰り返し、次の値を入力します。その他すべての値はデフォルト設定のままにします。
名前: ホスト名です。DNS名を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのIPアドレスは、マシンのDNS名と同じにすることをお薦めします。
ノード・マネージャ・リスニング・ポート: ノード・マネージャが使用するポートを入力します。
Unixオペレーティング・システムでは、「マシン」タブの下にあるデフォルト・ローカル・マシンのエントリを削除します。
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、作成したマシン上で実行する管理対象サーバーを次の手順で割り当てます。
右側のウィンドウでマシンをクリックします。
左側のウィンドウで、そのマシン上で実行する管理対象サーバーをクリックします。
矢印をクリックし、その管理対象サーバーをそのマシンに割り当てます。
すべての管理対象サーバーを適切なマシンに割り当てるまで、この手順を繰り返します。
次のように、サーバーをマシンに割り当てます。
ADMINHOST: 管理サーバー
WSSMHOST1: wsonwls_server1
WSSMHOST2: wsonwls_server2
「次へ」をクリックします。
「構成のサマリー」画面で、「作成」をクリックします。
新しいドメインで./startWeblogic.shを使用して、WebLogic管理サーバーを起動します。
管理対象サーバーを起動します。作成したドメイン・ディレクトリのサブフォルダbinに切り替え、./startManagedWebLogic.sh 管理対象サーバー名 http://wlsadminserver host:wls_adminserver_portを入力します。
例:
./startManagedWeblogic.sh wsonwls_server1 http://localhost:7001
OESHOST2で、次の手順を実行します。
packおよびunpackコマンドを使用し、OES WebサービスSMが使用するドメイン・ディレクトリをOESHOST1の管理対象サーバーが使用するドメイン・ディレクトリから分離します。
ドメイン・ディレクトリの分離手順は、第10.1.1.5項「Oracle Entitlements Server WebLogic Serverのセキュリティ・モジュールの高可用性」を参照してください。
Oracle Entitlements Server WebLogicセキュリティ・モジュールを、WebLogicクラスタを使用して高可用性に構成できます。
Oracle Entitlements Server WebLogicセキュリティ・モジュールを構成するには、次の手順を実行します。
OESHOST1で、次の手順を実行します。
OESCLIENT_HOME/oessm/bin/config.shを実行して、WebLogicセキュリティ・モジュールとWebLogic Serverドメインを作成します。
例:
./config.sh -smType wls -smConfigId <wls_name> -serverLocation <wls_home> -pdServer <oes_admin_server> -pdPort <oes_admin_ssl_port>
「ようこそ」画面で「WebLogicドメインの作成」を選択し、「次へ」をクリックします。
「ドメイン・ソースの選択」画面で「以下の製品をサポートするために、自動的に構成されたドメインを生成する」を選択します。リストから「WebLogic上の管理対象サーバー用のOracle Entitlements Server WebLogicのセキュリティ・モジュール」を選択します。
「次へ」をクリックします。
「ドメイン名と場所の指定」画面で、ドメインおよびそのすべてのアプリケーションの名前と場所を入力します。
ドメイン名: <domain name>
ドメインの場所: デフォルトのエントリを受け入れます。
「管理サーバーのユーザー名とパスワードの構成」画面で、次のように入力します。
名前: weblogic
ユーザー・パスワード: WebLogicユーザーのパスワード
ユーザー・パスワードの確認: WebLogicユーザーのパスワード
説明: WebLogicユーザーの説明
「サーバーの起動モードおよびJDKの構成」画面で、「本番モード」および「JDK」を選択します。
「オプションの構成を選択」画面で、「AdminServer」および「管理対象サーバー」を選択します。「次へ」をクリックします。
「管理サーバーの構成」画面で、次の値を入力します。
名前: AdminServer
リスニング・アドレス: All Local Addresses
リスニング・ポート: 7001
SSLリスニング・ポート: 7002
「SSL有効」を選択して「次へ」をクリックします。
「管理対象サーバーの構成」画面で、デフォルトの管理対象サーバーwlssm_server1が作成されます。デフォルトの管理対象サーバーの詳細を変更し、2つ目の管理対象サーバーを追加します。
デフォルトの管理対象サーバーでは、次の値を入力します。
名前: wlssm_server1
リスニング・アドレス: WLSSMHOST1
リスニング・ポート: 14610
SSLリスニング・ポート: 14611
2つ目の管理対象サーバーでは、「追加」をクリックして、次の値を入力します。
名前: wlssm_server2
リスニング・アドレス: WLSSMHOST2
リスニング・ポート: 14610
SSLリスニング・ポート: 14611
「クラスタの構成」画面で、「追加」をクリックしてwlssm_clusterを入力します。「クラスタのメッセージング・モード」に「unicast」を選択し、クラスタ・アドレスをmanaged_ server1:port,managed_server2: portのように入力します。
「次へ」をクリックします。
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。
右のウィンドウで、クラスタ「wlssm_cluster」をクリックします。
管理対象サーバー「wlssm_server1」をクリックしてから、矢印をクリックして、その管理対象サーバーをクラスタに割り当てます。
管理サーバーwlssm_server2について、前述の手順を繰り返します。
「次へ」をクリックします。
「マシンの構成」画面で、トポロジにある各ホストに対してマシンを作成します。
オペレーティング・システムにUnixを使用しているホストの場合は、「Unix」タブをクリックします。
管理サーバー・ホストの場合:
名前: ホストの名前。ここでは、DNS名を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのIPアドレスは、マシンのDNS名と同じにすることをお薦めします。
ノード・マネージャ・リスニング・ポート: ノード・マネージャが使用するポートを入力します。
その他すべての値はデフォルト設定のままにします。
WLSSHOST1およびWLSSMOESHOST2について前述の手順を繰り返し、次の値を入力します。その他すべての値はデフォルト設定のままにします。
名前: ホスト名です。DNS名を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのIPアドレスは、マシンのDNS名と同じにすることをお薦めします。
ノード・マネージャ・リスニング・ポート: ノード・マネージャが使用するポートを入力します。
Unixオペレーティング・システムでは、「マシン」タブの下にあるデフォルト・ローカル・マシンのエントリを削除します。
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、作成したマシン上で実行する管理対象サーバーを割り当てます。次の手順を実行します。
右側のウィンドウでマシンをクリックします。
左側のウィンドウで、そのマシン上で実行する管理対象サーバーをクリックします。
矢印をクリックし、その管理対象サーバーをそのマシンに割り当てます。
すべての管理対象サーバーを適切なマシンに割り当てるまで、この手順を繰り返します。
次のように、サーバーをマシンに割り当てます。
ADMINHOST: 管理サーバー
WLSSMHOST1: wlssm_server1
W:SSMHOST2: wlssm_server2
「次へ」をクリックします。
「構成のサマリー」画面で、「作成」をクリックします。
新しいドメインで./startWeblogic.shを使用して、WebLogic管理サーバーを起動します。
管理対象サーバーを起動します。作成したドメイン・ディレクトリのサブフォルダbinに切り替え、./startManagedWebLogic.sh 管理対象サーバー名 http://wlsadminserver host:wls_adminserver_portを入力します。
次に例を示します。
./startManagedWeblogic.sh wlssm_server1 http://localhost:7001
packおよびunpackコマンドを使用し、WebLogic Serverセキュリティ・モジュールが使用するドメイン・ディレクトリをOESHOST1の管理対象サーバーが使用するドメイン・ディレクトリから分離します。
OESHOST1で独立ドメイン・ディレクトリを作成する手順は次のとおりです。
次のようにpackコマンドを実行し、テンプレート・パックを作成します。
cd MW_HOME/oracle_common/common/bin
./pack.sh -managed=true -domain=domain_path -template==domaintemplate.jar -template_name=domain_template
次のようにunpackコマンドを実行して、管理対象サーバー・ドメイン・ディレクトリ内のテンプレートを解凍します。
cd MW_HOME/oracle_common/common/bin
./unpack.sh -domain=new_domain_path -template=domaintemplate.jar
たとえば管理対象サーバー(OESHOST2など)を起動する前に、リモート・ホストでunpackを実行します。
手順1のファイルdomaintemplate.jarをOESHOST2にコピーします。
次のコマンドを使用して、OESHOST2のホストでunpackを実行します。
cd MW_HOME/oracle_common/common/bin
./unpack.sh -domain=domain_path -template==domaintemplate.jar
管理対象サーバーの起動後、作成したドメイン・ディレクトリのサブフォルダbinに切り替えます。./startManagedWebLogic.sh 管理対象サーバー名 http://wlsadminserver host:wls_adminserver_portを入力します。
例:
./startManagedWeblogic.sh wlssm_server2 http://localhost:7001
ポリシー・ストアへの接続は、制御プル・モードおよび非制御モードのOracle Entitlements Serverセキュリティ・モジュールで使用されます。SMConfig UIの制限によって、セキュリティ・モジュール・インスタンスの作成時にJDBCプロパティを構成する必要があります。
RACデータ・ソースをWebLogic Serverセキュリティ・モジュールまたはWebLogic Server上のWebサービスのセキュリティ・モジュールで使用するには、セキュリティ・モジュール・インスタンスの作成後に、次の手順を実行します。
セキュリティ・モジュールがデプロイされているドメインのWebLogic管理コンソールにログインします。Oracle Entitlements Serverの管理サーバーと同じデータベース情報を使用して、RACデータ・ソースを構成します。
SMConfig UIで、セキュリティ・モジュール構成を編集します。
OES_CLIENT_HOME/oes_sm_instances/SM_Name/binを実行します。
oessmconfig.shを実行します。
「JNDI名によるデータベース構成」を選択して、「* データソースJNDI名」フィールドにRACデータ・ソースJNDI名を入力します。「保存して閉じる」をクリックします。
この項では、Oracle Web Tierと連携するためのOracle Entitlements Serverの構成方法について、次の項目について説明します。
次のタスクが実行済であることを確認します。
Oracle Web TierをWEBHOST1とWEBHOST2にインストールしました。
WEBHOST1およびWEBHOST2にOracle HTTP Serverをインストールする手順は、第8.5.3.5.1項「Web Tier用のOracle HTTP Serverのインストール」を参照してください。
Oracle Entitlements Serverを、OESHOST1およびOESHOST2上にインストールし、構成しました。
ロード・バランサをWEBHOST1およびWEBHOST2上のWebサーバーを指す仮想ホスト名(sso.example.com)で構成しました。
ロード・バランサをWEBHOST1およびWEBHOST2上のWebサーバーを指す仮想ホスト名(oesinternal.example.com)で構成しました。
WEBHOST1とWEBHOST2上の各Webサーバーで、oes.confと呼ばれるファイルをORACLE_INSTANCE/config/OHS/component/moduleconfディレクトリに作成します。このファイルには次の情報が記載されている必要があります。
NameVirtualHost *:7777 <VirtualHost *:7777> ServerName http://sso.example.com:7777 RewriteEngine On RewriteOptions inherit UseCanonicalName On # OES admin console <Location /apm> SetHandler weblogic-handler WebLogicCluster oeshost1.example.com:14600, oeshost2.example.com:14600 </Location>
このファイルをWEBHOST1とWEBHOST2の両方に保存します。
WEBHOST1およびWEBHOST2の両方で、Oracle HTTP Serverインスタンスを停止および起動します。
Oracle HTTP Serverが適切に構成されていることを検証する手順は次のとおりです。
Webブラウザで、Oracle Identity Managerコンソール用の次のURLを入力します。
http://sso.example.com:7777/apm
APMのログイン・ページで、weblogicユーザーの資格証明を使用してログインします。
