Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
前 |
次 |
この章では、Oracleモバイル・セキュリティ・サービス(OMSS)を構成する方法について説明します。この項の手順を実行する前に、最新のMobile Security Suiteおよびモバイル・セキュリティ・アクセス・サーバーのバンドル・パッチが適用されていることを確認します。
Oracleモバイル・セキュリティ・サービス(OMSS)は、Oracle Access Managementの構成時にデプロイされます。ただし、その機能を使用するには、OMSSを構成する必要があります。
この章の内容は次のとおりです。
2つのプロパティ・ファイル(msm.props
およびmsas.props
)を作成します。これらのファイルの内容は、次の追加プロパティとともに、第13.2項「構成ファイルの作成」で作成したファイルの内容と同じである必要があります。
注意: Exalogicに対するデプロイメントの場合は、IDSTORE_HOST パラメータのOTDフェイルオーバー・グループ名を指定する必要があります。Exalogic以外の設定の場合は、IDSTORE_HOST のLBRエントリ・ポイントを指定します。 |
msm.props
ファイルの場合:
# OMSS Properties
OMSS_OMSM_IDSTORE_PROFILENAME: MSSProfile
OMSS_DOMAIN_LOCATION: /u01/oracle/config/domains/IAMAccessDomain
WLSHOST: iadadminvhn.example.com
WLSPORT: 7001
WLSADMIN: weblogic
WLSPASSWD: password
OMSS_SCEP_DYNAMIC_CHALLENGE_USER: msmadmin
OMSS_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
OMSS_IDSTORE_ROLE_SECURITY_HELPDESK: MSMHelpDesk
OMSS_MSAS_SERVER_HOST: msas.example.com
OMSS_MSAS_SERVER_PORT: 9002
OAM_SERVER_URL: http://iadinternal.example.com:7777
OMSS_OMSM_SERVER_NAME: wls_msm1,wls_msm2
OMSS_OAM_POLICY_MGR_SERVER_NAME: wls_ama1,wls_ama2
OMSS_OMSM_SERVER_HOST:OAMHOST1.example.com,OAMHOST2.example.com
OMSS_OMSM_FRONT_END_URL: http://iadinternal.example.com:7777
OMSS_JDBC_URL: jdbc:oracle:thin:@(DESCRIPTION = (ADDRESS=(PROTOCOL=TCP)(HOST=iaddb-scan.example.com)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=iadedg.example.com)))
OMSS_OMSM_SCHEMA_USER: EDGIAD_OMSM
OMSS_GATEWAY_INSTANCE_ID: EDGMSAS
msas.props
ファイルの場合:
# OMSS Properties
OMSS_OMSM_IDSTORE_PROFILENAME: MSSProfile
WLSHOST: iadadminvhn.example.com
WLSPORT: 7001
WLSADMIN: weblogic
WLSPASSWD: password
OMSS_DOMAIN_LOCATION: /u01/oracle/config/domains/IAMAccessDomain
OMSS_SCEP_DYNAMIC_CHALLENGE_USER: msmadmin
OMSS_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
OMSS_IDSTORE_ROLE_SECURITY_HELPDESK: MSMHelpDesk
OMSS_MSAS_SERVER_HOST: msas.example.com
OMSS_MSAS_SERVER_PORT: 9002
OAM_SERVER_URL=http://iadinternal.example.com:7777
OMSS_OMSM_SERVER_NAME: wls_msm1,wls_msm2
OMSS_OAM_POLICY_MGR_SERVER_NAME: wls_ama1,wls_ama2
OMSS_OMSM_FRONT_END_URL: http://iadinternal.example.com:7777
OMSS_JDBC_URL: jdbc:oracle:thin:@(DESCRIPTION = (ADDRESS=(PROTOCOL=TCP)(HOST=iaddb-scan.example.com)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=iadedg.example.com)))
OMSS_OMSM_SCHEMA_USER: EDGIAD_OMSM
OMSS_OMSAS_IDSTORE_PROFILENAME: msas-profile
OMSS_GATEWAY_INSTANCE_ID: EDGMSAS
プロパティの説明:
表18-1では、Oracle Mobile Security Suiteの構成に使用するプロパティについて説明しています。
注意: プロパティIDSTORE_DIRECTORYTYPE の値は大文字で指定する必要があります。
プロパティ |
表18-1 Oracle Mobile Security Suite構成プロパティ
プロパティ | 説明 |
---|---|
|
Oracleモバイル・セキュリティ・マネージャのアイデンティティ・ストア・プロファイルの名前。 |
|
Oracle Mobile Security Suiteのドメインへの絶対パス。これは、ワークシートのIAD_ASERVER_HOMEの値です。 |
|
認証で使用されるユーザー・アカウント。 |
|
Oracleモバイル・セキュリティ・マネージャの操作に対する管理権限を持つメンバーで構成される管理者グループの名前。このグループは、ポリシー・マネージャ・コンソールでOracleモバイル・セキュリティ・マネージャ機能へのアクセスを許可するために使用されます。 これは、Oracle Access Manager構成プロパティ・ファイルで |
|
Oracleモバイル・セキュリティ・マネージャの操作に対するヘルプデスク権限を持つメンバーで構成される、Oracleモバイル・セキュリティ・マネージャ・ヘルプデスク・グループの名前。 このグループは、ポリシー・マネージャ・コンソールでセキュリティ・ヘルプ・デスクへのアクセスを許可するために使用されます。 |
|
Oracle Mobile Security Access Serverのホスト名。 たとえば、 Mobile Security Access Serverのインスタンスがロード・バランサの背後にある場合は、そのロード・バランサのホスト名を入力します。 |
|
Oracle Mobile Security Access Serverインスタンスが実行するSSLポートこれは、ワークシートのMSAS_PORTの値です。 Mobile Security Access Serverのインスタンスがロード・バランサの背後にある場合は、そのロード・バランサのポート番号を入力します。 |
|
これは、OAM内部コール用の内部リンクです。次に例を示します。 http://iadinternal.example.com:7777 |
|
モバイル・セキュリティ・マネージャ管理対象サーバー名のカンマ区切りリスト。 たとえば、 |
|
ポリシー・マネージャ管理対象サーバー名のカンマ区切りリスト。 たとえば、 |
|
Oracleモバイル・セキュリティ・マネージャ管理対象サーバーをホストするホスト名のカンマ区切りリスト。 たとえば、 |
|
モバイル・セキュリティ・マネージャ管理対象サーバーにリクエストをルーティングするロード・バランサのURL。 次に例を示します。
|
|
次の形式のOracleモバイル・セキュリティ・マネージャ・データベース・リポジトリのJDBC URL (
|
|
RCUでリポジトリについて構成された接頭辞の後に たとえば、 |
|
Oracle Mobile Security Access Serverのゲートウェイ・インスタンスの名前。ゲートウェイ・インスタンスIDは、Oracleモバイル・セキュリティ・アクセス・サーバーを構成するときに使用するインスタンスIDと同じである必要があります。 このプロパティは、Oracleモバイル・セキュリティ・アクセス・サーバー・インスタンスの構成後に Oracleモバイル・セキュリティ・マネージャを構成するために |
|
Oracle Mobile Security Access Serverのアイデンティティ・ストア・プロファイルの名前。 このプロパティは、Oracleモバイル・セキュリティ・アクセス・サーバー・インスタンスの構成後に Oracleモバイル・セキュリティ・マネージャを構成するために |
Oracleモバイル・セキュリティ・マネージャでは、未読の電子メール数などの通知を送信できます。これを可能にするには、表18-2に示すプロパティを使用して、Exchange Serverおよび電子メール・サーバーの詳細を指定する必要があります。これらのプロパティはオプションで、必要に応じて構成後に指定できます。
表18-2 Oracle Mobile Security Suite構成用のオプションのプロパティ
プロパティ | 説明 |
---|---|
|
Oracle Mobile Security Suiteが接続するExchange ServerのURL。 |
|
Oracle Mobile Security Suiteが接続するExchange ServerのリスナーURL。 |
|
Oracle Mobile Security Suiteが接続するExchangeサーバーのドメイン名。 |
|
Oracle Mobile Security Suiteが接続するExchangeサーバーの管理ユーザー名。 |
|
Exchange Server管理者のパスワード。 |
|
Oracle Mobile Security Suiteが接続するExchange Serverのバージョン番号。 |
|
Oracle Mobile Security Suite管理者の電子メール・アドレス。 |
|
Oracle Mobile Security Suite管理者の電子メール・アドレスのパスワード。 |
|
Oracleモバイル・セキュリティ・マネージャがユーザーに招待電子メールを送信するために使用するSMTPサーバーのホスト名。 |
|
Oracleモバイル・セキュリティ・マネージャがユーザーに招待電子メールを送信するために使用するSMTPサーバーのポート番号。 |
|
AppleのルートCAの場所。iOSデバイスをOracle Mobile Security Suiteに登録するときに必要です。 |
|
Appleサーバーへのセキュアな接続を確立し、通知を送信するために使用されるApple Push Notificationサービス(APNs)のキーストア・ファイルのフルパスとファイル名。 すべてのホストで同じ場所にする必要があります。 たとえば、 |
|
Apple Push Notification Service (APNs)キーストア・ファイル( 有効なキーストア・タイプは |
|
Google Cloud Messaging (GCM)通知のAPIキー値。 |
|
Google Cloud Messaging (GCM)通知の送信者ID。 |
idmConfig
ツールを使用してOracleモバイル・セキュリティ・マネージャ (MSM)を構成します。これを行うには、OAMHOST1で次の手順を実行します。
次の環境変数を設定します。
MW_HOME
をIAD_MW_HOME
に設定します。
JAVA_HOME
をJAVA_HOME
に設定します。
ORACLE_HOME
をIAD_ORACLE_HOME
に設定します。
WL_HOME
をIAD_MW_HOME
/wlserver_10.3
に設定します。
次のコマンドを使用して、ディレクトリをIAD_ORACLE_HOME
/idmtools/bin
に変更します。
cd
IAD_ORACLE_HOME
/idmtools/bin
次のコマンドを実行します。
idmConfigTool.sh -configOMSS mode=OMSM input_file=
configfile
このコマンドで、configfile
は、「構成ファイルの作成」で作成したプロパティ・ファイル(msm.props
)の絶対パスです。
次に例を示します。
idmConfigTool.sh -configOMSS mode=OMSM input_file=msm.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。次のパスワードの入力も求められます。
OMSS Keystore
: OMSSのキーストアの作成時に割り当てられるパスワードを入力します。
SCEP Dynamic Challenge Password
: SCEP動的チャレンジ・ユーザーのパスワードを入力します。
OMSM Schema User Password
: RCUを使用して作成したOracleモバイル・セキュリティ・マネージャ・スキーマ(prefix
_OMSM
)のパスワードを入力します。
次に、サンプル・コマンド出力を示します。
(1/8) MSM Configurations Success (2/8) Seeding User Notification Templates Success (3/8) Seeding CSF Credentials Success (4/8) Configuring IDS Profile Success (5/8) Configuring OMSS Authentication Provider Success (6/8) Creating MSM Keystores Success (7/8) Configuring MSM Server's SSL Success (8/8) OAM Console Integration Success
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.log
というファイルが作成されます。
このプロセスによって複数のオブジェクトがドメインに作成されます。これらのオブジェクトを表示するには、管理サーバーを再起動する必要があります。
OAMHOST1でIAMAccessDomain
を圧縮し、OAMHOST1およびOAMHOST2でそれを解凍します。
IAMAccessDomain
を圧縮するには、OAMHOST1で、次のコマンドをIAD_MW_HOME
/oracle_common/common/bin
から実行します。
./pack.sh -managed=true -domain=
IAD_ASERVER_HOME
-template=domaintemplateMSM.jar -template_name=domain_template_MSM
注意: pack コマンドは既存のファイルを上書きしません。指定したファイル名が指定フォルダの既存ファイルと一致する場合、pack コマンドは失敗します。pack コマンドではテンプレート・ファイルに異なる名前を使用し、unpack コマンドではoverwrite_domain=true オプションを使用する必要があります。
|
IAMAccessDomain
を解凍するには、OAMHOST1とOAMHOST2の両方で、次のコマンドをIAD_MW_HOME
/oracle_common/common/bin
から実行します。
./unpack.sh -domain=
IAD_MSERVER_HOME
-template=domaintemplateMSM.jar -app_dir=
IAD_MSERVER_HOME
/applications -overwrite_domain=true
unpack
コマンドを実行する前に、LOCAL_CONFIG_DIR
/domains/
ディレクトリに対する書込み権限があることを確認してください。
WebLogic管理コンソールを再起動し、次のサーバーを起動します。
Oracle Access Manager管理対象サーバー(wls_oam1、wls_oam2)
Oracle Access Managerポリシー・マネージャ管理対象サーバー(wls_ama1、wls_ama2)
Oracleモバイル・セキュリティ・マネージャ管理対象サーバー(wls_msm1、wls_msm2)
注意: OUDを使用している場合は、この段階で管理サーバーを起動します。 |
Oracle Unified Directory (OUD)をLDAPアイデンティティ・ストアとして使用しており、グループ・オブジェクト・クラスがgroupOfUniqueNamesの場合、次の追加手順を実行してください。
IAD_ORACLE_HOME
/common/bin
から次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
./wlst.sh
次のコマンドを使用して、WebLogic管理サーバーに接続します。
connect(username='
weblogic
', password='
wls_admin_password
', url='t3://
IADADMINVHN
:
IAD_WLS_PORT
')
次に例を示します。
connect(username='weblogic', password='wls_admin_password', url='t3://iadadminvhn.example.com:7001')
次のWLSTコマンドを同じ順序で実行します。
edit()
startEdit()
cd('/SecurityConfiguration/IAMAccessDomain/Realms/myrealm/AuthenticationProviders/OUDAuthenticator')
cmo.setStaticMemberDNAttribute('uniquemember')
cmo.setStaticGroupDNsfromMemberDNFilter('(&(uniquemember=%M)(objectclass=groupOfUniqueNames))')
cmo.setStaticGroupObjectClass('groupOfUniqueNames')
activate()
WebLogic管理サーバーとすべての管理対象サーバーを再起動します。
次の手順を完了して、Oracleモバイル・セキュリティ・マネージャおよびAccess Managerの構成を確認します。
次のサーバーが起動しており、稼働中であることを確認します。
Oracle WebLogic管理サーバー
Oracle Access Manager管理対象サーバー(例: wls_oam1)
Oracle Access Managerポリシー・マネージャ管理対象サーバー(例: wls_ama1)
Oracleモバイル・セキュリティ・マネージャ管理対象サーバー(例: wls_msm1)
次のURLを使用してOracle Access Managementの管理コンソールにログインします。
http://
iadadmin.example.com
/oamconsole
次のURLを使用してアクセス・コンソールにログインします。
http://
iadadmin.example.com
/access
ポリシー・マネージャ・コンソール(http://
iadadmin.example.com
/access
)で、「構成」タブに移動します。
構成起動パッドが開きます。
構成起動パッドで「使用可能なサービス」をクリックします。
「使用可能なサービス」ページが開きます。
「モバイル・セキュリティ・サービス」に緑色のチェックマークが付いていることを確認します。チェックマークが付いていない場合は、「モバイル・セキュリティ・サービス」の横にある「サービスの有効化」をクリックして、「モバイル・セキュリティ・サービス」のステータスを有効にします。
モバイル・セキュリティ・サービスを有効にした後、ポリシー・マネージャ・コンソールからログアウトして、再度ログインします。
モバイル・セキュリティ・マネージャ・コンソールのページにアクセスするには、画面の上部にある「モバイル・セキュリティ」をクリックします。モバイル・セキュリティ起動パッドが開きます。
「モバイル・セキュリティ・マネージャ」で「表示」をクリックし、メニューからモバイル・セキュリティ・マネージャ・コンソールのページを選択します。
リソースhttp://
iadinternal.example.com
:7777/msm-mgmt/scim/v1/endpoints
にアクセスします。
ユーザー名とパスワードの入力を求められます。oamadminのユーザー名およびパスワードを使用します。ページがエラーなしで表示されます。
第11.2.3項「Oracleモバイル・セキュリティ・アクセス・サーバーのインストール」に従って、Oracleモバイル・セキュリティ・アクセス・サーバー(MSAS)がインストールされている必要があります。
Oracleモバイル・セキュリティ・マネージャの構成後は、Oracleモバイル・セキュリティ・アクセス・サーバーのゲートウェイ・インスタンスを構成する必要があります。各インスタンスは、クラスタとして機能できるように、同じインスタンスIDを使用して正確に同じに構成する必要があります。これは対話形式で実行できますが、各インスタンスの構成に使用できるプロパティ・ファイルを使用して実行することをお薦めします。
MSASゲートウェイ・インスタンスを構成するには、次の手順を実行します。
次のプロパティを含むmsas_instance.props
という名前のプロパティ・ファイルを作成します。
MSM_URL
: http://
iadinternal.example.com
:7777
MSM_USER_NAME
: weblogic
MSAS_INSTANCE_ID
: EDGMSAS
MSAS_INSTANCE_ROOT_DIR
: LOCAL_CONFIG_DIR
/instances/
MSAS_INSTANCE_SSL_PORT
: 9002
MSAS_LBR_URL: https://
msas.example.com
:9002
OAM_HOST
: iadadminvhn.example.com
OAM_PORT
: 7001
OAM_USER_NAME
: oamadmin
OAM_PROTECT
: /
OAUTH_HOST
: login.example.com
OAUTH_PORT
: 443
OAUTH_IS_SSL
: true
OAUTH_SP_ENDPOINT
: /oauthservice
OAM_COOKIE_DOMAIN
: .example.com
表18-3では、MSASゲートウェイ・インスタンスの構成に使用するプロパティについて説明しています。
表18-3 MSASゲートウェイ・インスタンスを構成するためのプロパティ
プロパティ | 説明 |
---|---|
|
このMSASインスタンスを登録するMSMサーバーのURL。MSMサーバーのURLを次の形式で入力します(hostはMSMサーバーのホスト名またはIPアドレスです。また、ポート番号はMSMサーバーのリスニング・ポートです)。
次に例を示します。
|
|
MSMドメインのWebLogic Server管理者ユーザー名。 |
|
MSASインスタンスを識別するための一意の名前。任意の文字列を指定できますが、インスタンス全体で一貫している必要があります。これは、 |
|
インスタンスの構成ファイルが作成される場所。 次に例を示します。
|
|
MSASがリクエストをリスニングするポート。このポートはSSL対応です。 これは、ワークシートのMSAS_PORTの値です。 |
|
モバイル・セキュリティ・アクセス・サーバーに対するロード・バランサ・エントリ・ポイントです。 次に例を示します。
|
|
次に例を示します。
|
|
|
|
作成した前述のOAMAdminアカウント。 |
|
保護された各アプリケーションのリソース・パターン。次に例を示します。
入力するパターンは、Access Managerゲートウェイのホストおよびポートに対する相対パスです。このエントリは「 「 |
|
エンタープライズ・デプロイメントのOAUTHエントリ・ポイント。これは、ロード・バランサの名前となります。 次に例を示します。
|
|
エンタープライズ・デプロイメントでOAM管理対象サーバーが使用するポート。これは、ロード・バランサのポートとなります。 次に例を示します。
|
|
このプロパティには、oauthがSSLまたは非SSLポートのいずれを使用しているかを指定します。有効な値は |
|
これは、OAuthサーバーからクライアントにアクセスするエンドポイント。 次に例を示します。
|
WEBHOST1
で、次のコマンドをMSAS_ORACLE_HOME
/omsas/bin
から実行して、MSASゲートウェイ・インスタンスを構成します。
./configMSAS.sh -properties msas_instance.props
コマンドを実行すると、次のパスワードが要求されます。
モバイル・セキュリティ・マネージャ・パスワード: IAMAccessDomainのWebLogic管理者のパスワードです。
OAM管理者パスワード: Access Manager管理者のパスワードです。
構成が完了すると、MSASインスタンスがLOCAL_CONFIG_DIR
/instances/
gateway-id
ディレクトリに作成されます(gateway-idはプロパティ・ファイルに指定した値です)。このディレクトリが存在していることを確認してください。
WEBHOST2でもこの手順を繰り返します。
次の手順を実行して、MSASゲートウェイ・インスタンスがMSMに登録されていることを確認します。
oamadminユーザーでアクセス・コンソールにログインします。
起動パッドで「モバイル・セキュリティ」をクリックします。
「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。MSASインスタンスが表示されます。
MSASをアイデンティティ・ストアと統合するには、OAMHOST1で次の手順を実行します。
次の環境変数を設定します。
MW_HOME
をIAD_MW_HOME
に設定します。
JAVA_HOME
をJAVA_HOME
に設定します。
ORACLE_HOME
をIAD_ORACLE_HOME
に設定します。
WL_HOME
をIAD_MW_HOME
/wlserver_10.3
に設定します。
次のコマンドを使用して、ディレクトリをIAD_ORACLE_HOME
/idmtools/bin
に変更します。
cd
IAD_ORACLE_HOME
/idmtools/bin
次のコマンドを実行します。
idmConfigTool.sh -configOMSS mode=OMSAS input_file=
configfile
このコマンドで、configfile
は、「構成ファイルの作成」で作成したプロパティ・ファイル(msas.props
)の絶対パスです。
次に例を示します。
idmConfigTool.sh -configOMSS mode=OMSAS input_file=msas.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。次のパスワードの入力も求められます。
OMSS Keystore
: OMSSのキーストアの作成時に割り当てられるパスワードを入力します。
SCEP Dynamic Challenge Password
: SCEP動的チャレンジ・ユーザーのパスワードを入力します。
OMSM Schema User Password
: RCUを使用して作成したOracleモバイル・セキュリティ・マネージャ・スキーマ(prefix
_OMSM
)のパスワードを入力します。
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.log
というファイルが作成されます。
このプロセスによって複数のオブジェクトがドメインに作成されます。これらのオブジェクトを表示するには、管理サーバーを再起動する必要があります。
OAMHOST1でIAMAccessDomain
を圧縮し、OAMHOST1およびOAMHOST2でそれを解凍します。
IAMAccessDomain
を圧縮するには、OAMHOST1で、次のコマンドをIAD_MW_HOME
/oracle_common/common/bin
から実行します。
./pack.sh -managed=true -domain=
IAD_ASERVER_HOME
-template=domaintemplateMSAS.jar -template_name=domain_template_MSAS
注意: pack コマンドは既存のファイルを上書きしません。指定したファイル名が指定フォルダの既存ファイルと一致する場合、pack コマンドは失敗します。pack コマンドではテンプレート・ファイルに異なる名前を使用し、unpack コマンドではoverwrite_domain=true オプションを使用する必要があります。
|
IAMAccessDomain
を解凍するには、OAMHOST1とOAMHOST2の両方で、次のコマンドをIAD_MW_HOME
/oracle_common/common/bin
から実行します。
./unpack.sh -domain=
IAD_MSERVER_HOME
-template=domaintemplateMSAS.jar -app_dir=
IAD_MSERVER_HOME
/applications -overwrite_domain=true
unpack
コマンドを実行する前に、LOCAL_CONFIG_DIR
/domains/
ディレクトリに対する書込み権限があることを確認してください。
WebLogic管理コンソールを再起動し、次のサーバーを起動します。
Oracle Access Manager管理対象サーバー(wls_oam1、wls_oam2)
Oracle Access Managerポリシー・マネージャ管理対象サーバー(wls_ama1、wls_ama2)
Oracleモバイル・セキュリティ・マネージャ管理対象サーバー(wls_msm1、wls_msm2)
MSASの高可用性を準備するには、MSASゲートウェイSSL証明書をロード・バランサの別名を使用して更新する必要があります。これを行うには、OAMHOST1で次の手順を実行します。
IAD_ORACLE_HOME
/common/bin
から次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
./wlst.sh
次のコマンドを使用して、WebLogic管理サーバーに接続します。
connect(username='
wls_admin_username
', password='
wls_admin_password
', url='t3://
IADADMINVHN.example.com
:
7001')
このコマンドで、7001
はワークシートのIAD_WLS_PORT
です。
次のコマンドを実行します。
svc = getOpssService(name='KeyStoreService')
svc.exportKeyStore(appStripe='
EDGMSAS
', name='sslkeystore', password='
password
', aliases='EDGMSAS_msasidentity', keypasswords='
keypassword
', type='JKS',filepath='
SHARED_CONFIG_DIR
/keystores/EDGMSAS.jks')
このコマンドの説明は次のとおりです。
EDGMSAS
は、OMSS_GATEWAY_INSTANCE_ID
プロパティに対して指定した値です。
Password
は、IAMAccessDomainのWebLogic管理者のパスワードです。
keypassword
は、エクスポートしたキーストアに割り当てるパスワードです。
次のコマンドを使用して、新しい証明書リクエストを生成します。
keytool -keystore
SHARED_CONFIG_DIR
/keystores/EDGMSAS.jks -storepass
password
-alias EDGMSAS_msasidentity -certreq -file
SHARED_CONFIG_DIR
/keystores/msasidentity.csr -keypass
keypassword
新しい証明書リクエストに認証局鍵で署名し、ロード・バランサのホスト名を証明書のサブジェクト代替名(SAN)に追加します。ロード・バランサのDNS拡張機能(msas.example.com
など)を使用します。これを行うには、次のコマンドを実行します。
keytool -gencert -keystore
IAD_ASERVER_HOME
/config/fmwconfig/server-identity.jks -storepass
password
-alias ca -ext san=dns:
msas.example.com
-infile
SHARED_CONFIG_DIR
/keystores/msasidentity.csr -outfile
SHARED_CONFIG_DIR
/keystores/msasidentity.crt
次の手順を実行して、サーバー上のMSAS証明書を更新します。
次のコマンドを実行してルートCAをエクスポートします。
keytool -export -alias ca -file
SHARED_CONFIG_DIR
/keystores/ca.crt -keystore
IAD_ASERVER_HOME
/config/fmwconfig/server-identity.jks -storepass
password
次のコマンドを実行して、前の手順で作成したEDGMSAS JKSキーストアに証明書をインポートします。
keytool -keystore
SHARED_CONFIG_DIR
/keystores/EDGMSAS.jks -import -file
SHARED_CONFIG_DIR
/keystores/ca.crt -alias ca -storepass
password
このコマンドを実行すると、証明書を信頼するかどうかを尋ねられます。「Yes」を入力します。
次のコマンドを実行します。
keytool -keystore EDGMSAS.jks -import -file
SHARED_CONFIG_DIR
/keystores/msasidentity.crt -alias 'EDGMSAS_msasidentity' -storepass
password
このコマンドで、EDGMSAS
は、OMSS_GATEWAY_INSTANCE_ID
プロパティに対して指定した値です。
次のWLSTコマンドを実行して、MSAS SSLキーストア(KSSキーストア)に新しい証明書をインポートします。
svc = getOpssService(name='KeyStoreService')
svc.deleteKeyStoreEntry(appStripe='EDGMSAS',name='sslkeystore',password='
password
', alias='EDGMSAS_msasidentity', keypassword='
keypassword
')
svc.importKeyStore(appStripe='EDGMSAS', name='sslkeystore', password='
password
', aliases='EDGMSAS_msasidentity', keypasswords='
keypassword
', type='JKS',permission=true, filepath='
SHARED_CONFIG_DIR
/keystores/EDGMSAS.jks')
WEBHOST1およびWEBHOST2で、MSASインスタンスを起動します。MSASインスタンスを起動するには、次のコマンドを実行します。
MSAS_ORACLE_INSTANCE
/bin/startServer.sh
MSASインスタンスがエラーなしで起動します。
次のURLにアクセスして、Mobile Security Suiteが起動して実行中であることを確認します。
https://
msas.example.com
:9002/msm/register/ios
ログイン・ページにリダイレクトされます。