| Oracle® Fusion Middleware Oracle Identity and Access Management高可用性ガイド 11g リリース2 (11.1.2.3) E61957-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Management高可用性ガイド 11g リリース2 (11.1.2.3) E61957-01 |
|
前 |
次 |
この章では、Oracle Mobile Security Suiteサーバー・コンポーネントの高可用性の構成方法について説明します。
この章の内容は次のとおりです。
Oracle Mobile Security Suiteの詳細は、次のドキュメントを参照してください。
表13-1 Oracle Mobile Security Suite
| 製品 | リソース |
|---|---|
|
Oracle Mobile Security Suite |
Oracle Mobile Security Access Serverのインストール Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド |
|
モバイル・セキュリティ・マネージャ |
Oracle Mobile Security Suiteの管理 |
|
モバイル・セキュリティ・アクセス・サーバー |
モバイル・セキュリティ・アクセス・サーバーの管理 |
高可用性のために構成するOracle Mobile Security Suiteの2つのサーバー・コンポーネントがあります。
WLSで実行されているモバイル・セキュリティ・マネージャ(OMSM)
スタンドアロン・アプリケーションとして実行されているモバイル・セキュリティ・アクセス・サーバー(MSAS)
OMSSでは、ユーザー認証およびSSOサポートにOracle Access Manager (OAM)が必要です。OMSSでは、ポリシー・マネージャ・コンソールも必要です。詳細は、第6章「Oracle Access Management Access Managerコンポーネントの高可用性の構成」を参照してください。
OMSSの詳細は、「Oracle Mobile Securityの管理」のOracle Mobile Security Suiteの理解に関する項を参照してください。
高可用性の詳細は、第1.1項「高可用性とは」を参照してください。
次の図は、高可用性アーキテクチャのOracle Mobile Security Suiteを示しています。
モバイル・セキュリティ・アクセス・サーバー
このアーキテクチャでは、複数の物理MSASインスタンスを含む1つの論理モバイル・セキュリティ・アクセス・サーバー(MSAS)インスタンスがWeb層に配置されます。物理インスタンスは、複数の異なるホスト上、または1つのホストの異なるポート上で実行できます。複数のインスタンスを同期できるように、各物理インスタンスは同じMSAS IDを使用します。MSASの同期化はHTTP(S)経由で行われます。
Oracleモバイル・セキュリティ・マネージャ
この構成で、モバイル・セキュリティ・マネージャ(OMSM)・サーバーは、同じドメインの一部であり、同じRACデータベースを使用します。
この構成では、モバイル・セキュリティ・マネージャ(OMSM)がデプロイされている2つの管理対象サーバーを使用します。どちらの管理対象サーバーもmsm_clusterの一部であり、同じRACデータベースに接続します。
OAMHOST1には、次のインストールがあります。
OAM管理対象サーバー・インスタンス(WLS_OAM1)。
Oracleモバイル・セキュリティ・マネージャ・インスタンス(WLS_MSM1)。
OAMポリシー・マネージャ・インスタンス(WLS_AMA1)。
Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにJDBCマルチ・データ・ソースまたはGridLinkデータ・ソース内に構成されています。
管理サーバー。通常の運用時は、これがアクティブ管理サーバーになります。
OAMHOST2には、次のインストールがあります。
OAM管理対象サーバー・インスタンス(WLS_OAM2)。
管理対象サーバーのWLS_OAM1とWLS_OAM2はクラスタとして構成されています。
MSM管理対象サーバー・インスタンス(WLS_MSM2)。
管理対象サーバーのWLS_MSM1とWLS_MSM2はクラスタとして構成されています。
OAMポリシー・マネージャ・インスタンス(WLS_AMA2)。
管理対象サーバーのWLS_AMA1とWLS_AMA2はクラスタとして構成されています。
Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するために、JDBCマルチ・データ・ソースまたはGridLinkデータ・ソース内に構成されています。
WebLogic Serverの管理サーバー。通常の運用時は、これがパッシブ管理サーバーになります。OAMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。
OMSSを構成する前にホスト・システムに次のコンポーネントをインストールする必要があります。
Oracle WebLogic Server
Oracle Access Manager
Oracleモバイル・セキュリティ・マネージャ
Oracleモバイル・セキュリティ・アクセス・サーバー
|
注意: MW_HOMEとORACLE_HOMEは、OAMHOST1とOAMHOST2の両方で同じ場所に存在する必要があります。 |
| 製品のインストール | このリソースを参照 |
|---|---|
| WebLogic Server | 『Oracle Identity and Access Managementインストレーション・ガイド』のOracle WebLogic ServerのインストールとMiddlewareホームの構成に関する項 |
| Oracle Access Manager | Oracle Identity and Access Managementインストレーション・ガイド |
| Oracleモバイル・セキュリティ・マネージャ | Oracle Identity and Access Managementインストレーション・ガイド |
| Oracleモバイル・セキュリティ・アクセス・サーバー | モバイル・セキュリティ・アクセス・サーバー(MSAS)のインストール |
この項には、Oracleモバイル・セキュリティ・マネージャ(OMSM)の高可用性を構成するための次の手順が含まれています。
この手順では、Oracleモバイル・セキュリティ・マネージャ(OMSM)の管理対象サーバー、クラスタおよびマシンを作成します。
OAMHOST1でOMSMを構成するには、次の手順を実行します。
Oracle WebLogic Serverをインストールし、Middlewareホームを作成します。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のWebLogic ServerおよびMiddlewareホームの要件に関する説明を参照してください。
Oracleモバイル・セキュリティ・マネージャ・ソフトウェアをインストールします。詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
このコマンドを実行して、構成ウィザードを起動します。
ORACLE_HOME/oracle_common/common/bin/config.sh
|
注意: Access Managerを含むOracle Identity and Access Managementホーム・ディレクトリからconfig.shスクリプトを実行する必要があります。 |
「ようこそ」画面で、「新しいWebLogicドメインの作成」を選択します。「次へ」をクリックします。
「ドメイン・ソースの選択」ページで、「次の製品をサポートするために、自動的に構成されたドメインを生成する」が選択されていることを確認します。Oracle Access ManagementおよびMobile Security Suite - 11.1.2.3.0を選択して、「次へ」をクリックします。
|
注意: Oracle Access ManagementおよびMobile Security Suite - 11.1.2.3.0オプションを選択すると、次のオプションがデフォルトで選択されます。
|
「次へ」をクリックします。
ドメイン名(MSM_Domainなど)を入力します。「ドメインの場所」および「アプリケーション・ディレクトリ」は、デフォルトのままにします。「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面で、管理者のユーザー名およびパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面でJRE/JDKと「本番モード」を選択します。
「JDBCコンポーネント・スキーマの構成」画面で、OMSM、OAMインフラストラクチャおよびOPSSスキーマのデータベース・スキーマ詳細を入力します。
(オプション)コンポーネント・スキーマのRAC構成に関するオプションを選択します。
「次へ」をクリックします。
「コンポーネント・スキーマのテスト」画面で、構成ウィザードによりデータ・ソースを検証します。すべてのスキーマに対するテストが正常に完了したことを確認します。
データ・ソースの検証が成功したら、「次へ」をクリックします。
データ・ソースの検証に失敗した場合は、「前へ」をクリックして問題を修正し、もう一度実行します。
「オプションの構成を選択」画面で、次を選択します。
管理サーバー
管理対象サーバー、クラスタ、およびマシン
デプロイメントとサービス
RDBMSセキュリティ・ストア (オプション)
「次へ」をクリックします。
「サーバーおよびクラスタ構成のカスタマイズ」画面で、「はい」を選択して「次へ」をクリックします。
「管理サーバーの構成」画面で、次の値を入力します。
名前: AdminServer
リスニング・アドレス: HOST1.example.com
リスニング・ポート: 7001
次のパラメータは設定または変更しないでください。
SSLリスニング・ポート: 適用なし
SSL有効または無効
「次へ」をクリックします。
「管理対象サーバーの構成」画面で、トポロジ内のホストごとに次のエントリを作成します。
WLS_MSM1エントリを選択し、それを次の値に変更します。
名前: WLS_MSM1
リスニング・アドレス: HOST1.example.com
リスニング・ポート: 14180
SSLポート: 14181
2つ目のサーバーWLS_MSM2では、「追加」をクリックして、次の値を入力します。
名前: WLS_MSM2
リスニング・アドレス: HOST2.example.com
リスニング・ポート: 14180
SSLリスニング・ポート: 14181
WLS_OAM1エントリを選択し、そのエントリを次の値に変更します。
名前: WLS_OAM1
リスニング・アドレス: HOST1.example.com
リスニング・ポート: 14100
2つ目のサーバーWLS_OAM2では、「追加」をクリックして、次の値を入力します。
名前: WLS_OAM2
リスニング・アドレス: HOST2.example.com
リスニング・ポート: 14100
WLS_ama1エントリを選択し、そのエントリを次の値に変更します。
名前: WLS_AMA1
リスニング・アドレス: HOST1.example.com
リスニング・ポート: 14150
2つ目のサーバーWLS_AMA2では、「追加」をクリックして、次の値を入力します。
名前: WLS_AMA2
リスニング・アドレス: HOST2.example.com
リスニング・ポート: 14150
「次へ」をクリックします。
「クラスタの構成」画面で、「追加」をクリックしてクラスタを作成します。
各クラスタの名前(msm_cluster、oam_cluster、ama_clusterなど)を入力します。その他すべてのフィールドはデフォルト設定のままにします。
「次へ」をクリックします。
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。
右のウィンドウで、クラスタ名「msm_cluster」をクリックします。
MSM管理対象サーバーごとに、管理対象サーバー名をクリックして、矢印をクリックしてクラスタに割り当てます。
oam_clusterおよびama_clusterについて、前述の手順を繰り返し、各クラスタに適切な管理対象サーバーを割り当てます。
「次へ」をクリックします。
「マシンの構成」画面で、トポロジにある各ホストに対してマシンを作成します。
ホストでUnixオペレーティング・システムを使用する場合は、「Unix」タブを、それ以外の場合は、「マシン」をクリックします。
次の情報を指定します。
名前: ホスト名。DNS名を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: HOST1.example.com
ノード・マネージャ・ポート: ノード・マネージャが使用するポート。
OAMHOST2について前述の手順を繰り返し、次の値を入力します。
名前: ホスト名。DNS名HOST2を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのDNS名(HOST2.example.com)
ノード・マネージャ・ポート: ノード・マネージャが使用するポート。
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、作成したマシン上で実行する管理対象サーバーを次の手順で割り当てます。
右側のウィンドウでマシンを選択します。
左側のウィンドウで、そのマシン上で実行する管理対象サーバーを選択します。
矢印をクリックし、管理対象サーバーをそのマシンに割り当てます。
次を割り当てるまで、この手順を繰り返します。
AdminServerをマシン1
管理対象サーバーWLS_OAM1、WLS_MSM1およびWLS_AMA1をマシン1に
管理対象サーバーWLS_OAM2、WLS_MSM2およびWLS_AMA2をマシン2に
「次へ」をクリックします。
「構成のサマリー」画面の選択内容を確認して、「作成」をクリックします。
セキュリティ・ストアを構成します。『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成に関する項を参照してください。
管理サーバーを起動します。
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のIDM構成ツールを実行してOracle Access Managerを構成する方法に関する項の説明に従って、IAM_HOME/idmtools/binにあるidmConfigTool構成コマンドを実行します
|
注意: idmConfigToolの詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』の「idmConfigToolコマンドの使用方法」を参照してください。 |
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のIDM構成ツールを使用したOracleモバイル・セキュリティ・マネージャの構成に関する項の説明に従って、IdmConfigToolのOMSM configOMSSコマンドを実行します。高可用性設定では次のプロパティを入力する必要があります。configOMSSの構文とプロパティの詳細は、「configOMSSコマンド」を参照してください。
| プロパティ | 値 |
|---|---|
| OMSS_OMSM_FRONT_END_URL | OHSのURL (例: http://host:port/) |
| OMSS_MANAGED_SERVER_NAME | カンマ区切り形式の、すべてのMSM管理対象サーバーの名前(例: WLS_MSM1,WLS_MSM2) |
| OMSS_OAM_POLICY_MGR_SERVER_NAME | カンマ区切り形式の、すべてのポリシー・マネージャ管理対象サーバーの名前(例: WLS_AMA1,WLS_AMA2) |
管理サーバーを停止します。
OAMHOST2にWebLogic ServerとOAMがインストールされていること、およびMW_HOMEとORACLE_HOMEのディレクトリ構造がOAMHOST1のディレクトリ構造と同一であることを確認します。詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』の環境ヘルス・チェック・ユーティリティを実行してOracle Access Managerを検証する方法に関する項を参照してください。
OAMHOST1で作成したドメインをOAMHOST2にコピーします。OAMHOST1でpackコマンドを実行して、ドメイン・ディレクトリをパックします。たとえば、次のコマンドを実行すると、omsm_packed.jarにドメインがパックされます。
ORACLE_HOMEはIdentity Management製品がインストールされているホーム・ディレクトリです。
$ORACLE_HOME/common/bin/pack.sh -domain=$MW_HOME/user_projects/domains/new_domain -template=/scratch/omsm_packed.jar -template_name="Oracle Mobile Security Manager" -managed=true
sftpまたはscpコマンドを使用して、ドメインがパックされたテンプレート・ファイルをOAMHOST1からOAMHOST2にコピーします。
OAMHOST2で、OAMHOST1からコピーしたテンプレート・ファイルを使用して、ドメインを作成します。これはOAMHOST2上で解凍したファイルです。unpackコマンドを実行して、テンプレートJARをOAMHOST (/scratch/omsm_packed.jarディレクトリなど)にコピーします。次の例では、unpackコマンドを実行してOAMHOST2上にドメインを作成します。
$ORACLE_HOME/common/bin/unpack.sh -domain=$MW_HOME/user_projects/domains/new_domain -template=/scratch/omsm_packed.jar
OAMHOST1を起動するには、次のようにします。
コンソールから管理対象サーバーを起動する前に、ノード・マネージャのプロパティ・ファイルを作成しておく必要があります。MW_HOME/oracle_common/common/binディレクトリにあるsetNMProps.shスクリプトを実行します。
コマンドMW_HOME/wlserver_10.3/server/bin/startNodeManager.shを使用して、ノード・マネージャを起動します。
OAMHOST1でOracleモバイル・セキュリティ・マネージャを起動するには、次の手順を実行します。
ノード・マネージャまたはstartWebLogic.shスクリプトを使用して管理サーバーを起動します。
DOMAIN_HOME/bin/startWebLogic.sh
管理サーバーの詳細は、『管理者ガイド』の管理サーバーの起動と停止に関する項を参照してください。
次のURLを使用して、管理コンソールにログインします。
http://host1.example.com:7001/console
WebLogic管理者のユーザー名とパスワードを入力します。
「ドメイン構造」メニューから「環境」→「サーバー」を選択します。
「制御」タブをクリックします。
サーバーWLS_MSM1をクリックします。
「起動」をクリックして、「OK」をクリックします。
|
注意: WLS_MSMを起動した後、管理対象サーバーのWLS_OAMとWLS_AMAも起動する必要があります。 |
Oracle HTTP Serverは、クラスタのフロントエンド処理を行います。プロキシ・サーバーを使用するかわりにOHSを構成します。
Oracle HTTP Serverがインストールされる各Web層ホスト(たとえば、WEBHOST1およびWEBHOST2)にこれらの手順を実行します。
Oracle HTTP Serverを構成するには、次の手順に従います。
OHSがシステムにインストールされていることを確認します。
コマンドを使用してOHSを停止します。
OHS_INSTANCE_HOME/bin/opmnctl stopall
ORACLE_HOME/omss/omsm/config/omss.confをOHS_INSTANCE_HOME/config/OHS/ohs instance name/module.confにコピーします。
OHS_INSTANCE_HOME/config/ohs/config/OHS/instance name/moduleconf/omss.confファイルを開きます。
次のように、WebLogicCluster HOST1:port,HOST2:port行のすべてのインスタンスを実際のインストールにあわせて変更します。
WeblogicCluster host1.example.com:14180,host2.example.com:14180
|
注意: Oracle HTTP ServerではOAM WebGateを実行できません。 |
次の例は、OMSSのファイルに追加する必要のある行を示しています。
<Location /msm>
SetHandler weblogic-handler
WebLogicCluster host1.example.com:14180,host2.example.com:14180
WLLogFile "$ORACLE_INSTANCE/diagnostics/logs/mod_wl/msm_component.log"
</Location>
# MSM runtime services for MAM
<Location /ecp>
SetHandler weblogic-handler
WebLogicCluster host1.example.com:14180,host2.example.com:14180
WLLogFile "$ORACLE_INSTANCE/diagnostics/logs/mod_wl/msm_component.log"
</Location>
# Mobile File Manager
<Location /mfm>
SetHandler weblogic-handler
WebLogicCluster host1.example.com:14180,host2.example.com:14180
WLLogFile "$ORACLE_INSTANCE/diagnostics/logs/mod_wl/msm_component.log"
</Location>
# MSAS management services
<Location /gms-rest>
SetHandler weblogic-handler
WebLogicCluster host1.example.com:14180,host2.example.com:14180
WLLogFile "$ORACLE_INSTANCE/diagnostics/logs/mod_wl/msm_component.log"
</Location>
# MSAS management rest services
<Location /msm-mgmt>
SetHandler weblogic-handler
WebLogicCluster host1.example.com:14180,host2.example.com:14180
WLLogFile "$ORACLE_INSTANCE/diagnostics/logs/mod_wl/msm_component.log"
</Location>
# MSM console
<Location /msmconsole>
SetHandler weblogic-handler
WebLogicCluster host1.example.com:14180,host2.example.com:14180
WLLogFile "$ORACLE_INSTANCE/diagnostics/logs/mod_wl/msm_component.log"
</Location>
<Location /ms_oauth>
SetHandler weblogic-handler
Debug ON
WLLogFile /tmp/weblogic.log
WLProxySSL ON
WLProxySSLPassThrough ON
# WLCookieName OAM_JSESSIONID
WLCookieName OAMSESSIONID
WebLogicCluster host1:14100,host2:14100
</Location>
ファイルを保存します。
両方のホストでOHSを起動します。
OHS_INSTANCE_HOME/bin/opmnctl startall
OAMHOST2で管理対象サーバーおよびノード・マネージャを起動するには、次の手順を実行します。
OAMHOST2でノード・マネージャを起動します。
WL_HOME/server/bin/startNodeManager.sh
ノード・マネージャまたはstartWebLogic.shスクリプトを使用して管理サーバーを起動します。
DOMAIN_HOME/bin/startWebLogic.sh
管理サーバーの詳細は、『管理者ガイド』の管理サーバーの起動と停止に関する項を参照してください。
次のURLを使用して、管理コンソールにログインします。
http://host2.example.com:7001/console
WebLogic管理者のユーザー名とパスワードを入力します。
「ドメイン構造」メニューから「環境」→「サーバー」を選択します。
「制御」タブをクリックします。
サーバー「msm_server2」をクリックします。
「起動」をクリックして、「OK」をクリックします。
Oracle Mobile Security Suiteのコンポーネントであるモバイル・セキュリティ・アクセス・サーバー(MSAS)は、モバイル・デバイスからイントラネット・リソースへのトラフィックを保護する集中アクセス・ポイントを提供します。MSASは、Web層内で独自のサーバー・プロセスを実行するアプリケーションです。OMSMを使用して管理します。
MSASはMSMが停止しても処理を継続します。MSMが停止している場合、MSASは、MSMのユーザー・インタフェースまたはWLSTを使用して完了した管理/アーティファクトの変更を取得しません。ただし、MSASはセキュリティの強制を継続します。
|
注意: MSASが初期アーティファクトを取得できるように、MSMはMSASの初回起動時に稼働している必要があります。 |
MSASには、削除して戻した場合に実行を継続できるように永続ローカル・ファイル・ベースのキャッシュがあります。
MSASの高可用性を構成するには、次のトピックを参照してください。
高可用性の構成を開始する前に、2つ以上のMSASインスタンスをWeb層にインストールしておく必要があります。これらのインスタンスは、複数の異なるホスト上、または同じホストの異なるポート上に配置できます。MSASでは両方の構成がサポートされています。
MSASをインストールするには、『Oracle Fusion Middleware Oracle Mobile Security Access Serverのインストール』を参照してください。
MSASの管理およびツールの詳細は、Oracle Fusion Middlewareモバイル・セキュリティ・アクセス・サーバーの管理のMSASの管理ツールに関する項を参照してください。
新しいインスタンスを作成する場合、MSASはOMSMに少なくとも一度接続する必要があるため、MSASを構成するにはOMSMを起動する必要があります。
OMSM管理対象サーバーを起動するには、次のコマンドを実行するか、第13.4.3項「OAMHOST1でのOracleモバイル・セキュリティ・マネージャの起動」を参照して管理コンソールを使用してください。
DOMAIN_HOME/bin/startManagedWebLogic.shWLS_MSM1 t3://admin:adminport
高可用性を設定するには、1つの論理インスタンスに含まれる複数の物理MSASインスタンスを作成します。これは複数の管理対象サーバーを含む1つのクラスタの作成に類似しています。
MSASインスタンスを高可用性に構成するには、『Oracle Mobile Security Access Serverのインストール』のMSASインスタンスの構成に関する項を参照してください。これらの物理MSASインスタンスは、同一のパラメータを使用して構成する必要があります。
|
注意: 高可用性のためには、物理MSASインスタンスがすべてのインスタンスで同一であることが必要です。MSASがMSMから抽出するすべてのアーティファクトが同じであり、両方のMSASインスタンスが同様に動作できるようにするには、MSASインスタンスIDを同一にする必要があります。次のようなアーティファクトがあります。
|
高可用性設定を構成するには、物理MSASインスタンスを起動する必要があります。
物理MSASインスタンスを起動するには、次の手順を実行します。
MW_HOME/instances/instance_name/binディレクトリに変更します(MW_HOMEはMSASをインストールしたミドルウェア・ホーム・ディレクトリ、instance_nameは起動するMSASインスタンスの名前)
インスタンスを起動するには、次のコマンドを入力します。
./startServer.sh
モバイル・セキュリティ・アクセス・サーバー(MSAS)は、複数のモバイル・セキュリティ・アクセス・サーバーのクラスタ全体でのロード・バランシングをサポートしています。クラスタリングによって複数のMSASインスタンスが認証状態を共有できるので、どのMSASインスタンスでも(認証プロセスの完了時に)他のMSASによって生成されたセキュア・トークを検証できます。
この項の内容は次のとおりです。
ロード・バランシングには、次の要件があります。
認証プロセス中はすべてのクライアント・リクエストが同じMSASにヒットするよう、ロード・バランサにソースまたはSSLセッションの持続性が構成されていること。認証プロセス後、後続のリクエストは任意のMSASインスタンスにヒットできます。
SSL通信がMSASインスタンスで終端するように、ロード・バランサではSSL接続をパススルーすること(推奨)。
すべてのロード・バランシング・アルゴリズム(ラウンド・ロビン、最もビジーでない箇所など)がサポートされていること。
MSASの高可用性を準備するには、MSAS SSL証明書をロード・バランサの別名を使用して更新する必要があります。
SSL証明書をロード・バランサの別名を使用して更新するには、次の手順を実行します。
現在の構成がロード・バランサなしで正しく機能することを確認します。
次のコマンドを実行し、既存のキーストア・エントリをエクスポートします。
msas-idはMSASインスタンスIDです。
MW_HOME/common/bin/wlst.sh connect(username='username', password='password', url='http://host.example.com:7001') svc = getOpssService(name='KeyStoreService') svc.exportKeyStore(appStripe='msas-id', name='sslkeystore', password='password', aliases='msas-id_msasidentity', keypasswords='keypasswords', type='JKS',filepath='/tmp/msas-id_keystore.jks')
次のコマンドで、新しい証明書リクエストを生成します。
keytool -keystore /tmp/msas-id_keystore.jks -storepass password -alias msas-id_msasidentity -certreq -file /tmp/msasidentity.csr -keypass password
新しい証明書リクエストに認証局(CA)鍵で署名し、ロード・バランサのホスト名を証明書のサブジェクト代替名(SAN)に追加します。ロード・バランサの完全修飾ドメイン名(lbrhost.example.comなど)を使用します。
次のコマンドを入力します。
keytool -gencert -keystore MSM_DOMAIN/config/fmwconfig/server-identity.jks -storepass password -alias ca -ext san=dns:lbrhost.example.com -infile/tmp/msasidentity.csr -outfile /tmp/msasidentity.crt
MSASアイデンティティ証明書を更新します。最初に、手順2でエクスポートしたJKSキーストアを更新します。次に、更新したJKSキーストアをKSSキーストアにインポートします。
次のコマンドを実行してルートCAをエクスポートします。
keytool -export -alias ca -file /tmp/ca.crt -keystore MSM_DOMAIN/config/fmwconfig/server-identity.jks
次のコマンドを使用して、(手順2で)エクスポートしたキーストア(/tmp/msas_id_keystore.jks)に証明書をインポートします。
keytool -keystore /tmp/msas_id_keystore.jks -import -file /tmp/ca.crt -alias ca -storepass password keytool -keystore /tmp/msas_id_keystore.jks -import -file /tmp/msasidentity.crt -alias msas-id_msasidentity -storepass password
次を実行して、MSAS SSLキーストア(KSSキーストア)に新しい証明書をインポートします。
MW_HOME/common/bin/wlst.sh
connect(username='username', password='password', url='t3://host.example.com:7001') svc = getOpssService(name='KeyStoreService') svc.deleteKeyStoreEntry(appStripe='msas-id',name='sslkeystore',password='', alias='msas-id_msasidentity', keypassword='') svc.importKeyStore(appStripe='msas-id',name='sslkeystore',password='password',aliases='msas-id_msasidentity',keypasswords="password", type='JKS',permission=true,filepath='/tmp/msas-id_keystore.jks')
ロード・バランシングを構成するには、次の手順を実行します。
次の手順のいずれかを実行して、同じセキュア・トークンの公開鍵インフラストラクチャ(PKI)証明書を共有するようにMSASを構成します。
個別のPKI証明書をプロビジョニングして、共有のセキュア・トークン用PKI証明書として使用します。
クラスタ内のいずれかのモバイル・セキュリティ・アクセス・サーバーの既存のSSL証明書を、共有のセキュア・トークン用PKI証明書として使用します。
|
注意: 複数のモバイル・セキュリティ・アクセス・サーバーが同じ認証済リクエストを処理する場合は、同じセキュア・トークン用PKI証明書を共有する必要があります。セキュア・トークン用PKI証明書は、インストール時に、SSL証明書と同一に設定されます。ただし、セキュア・トークン機能にはSSL用とは別のPKI証明書を使用するようにMSASを構成することもできます。PKI証明書に対しては、署名と暗号化の両方の鍵使用方法を有効にすることをお薦めします。 |
クラスタ内のすべてのモバイル・セキュリティ・アクセス・サーバーが各自のIPアドレスでSSLを介して相互に通信できることを確認します。
MSASインスタンスのロード・バランサのSSL URLをhttp://lbrhost.example.com:portに更新します。
アクセス・コンソールにログインします。
「モバイル・セキュリティ」に移動します。「モバイル・セキュリティ・アクセス・サーバー」の下で、「環境」をクリックします。
MSAS、MSASゲートウェイIDの順にクリックします。
「システム設定」に移動し、「サーバー設定」を開きます。
ロード・バランサのSSL URLを次のように更新します。
https://lbrhost.example.com:port
「構成」に移動します。「設定」の下で、「表示」、「モバイル・セキュリティ・マネージャ設定」の順にクリックします。
「サーバー設定」をクリックします。
MSASホストをロード・バランサのホストに更新します。
MSASポートをロード・バランサのポートに更新します。
MSASインスタンスを再起動します。
