Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース2 (11.1.2.3.0) E61963-04 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerを構成する方法について説明します。
次のトピックが含まれます:
Oracle Privileged Account Managerの概要については、Oracle Fusion Middleware Oracle Privileged Account Managerの管理のOracle Privileged Account Managerの理解に関する項を参照してください。
Oracle Privileged Account Managerの構成を開始する前に、IAM_HOMEは、Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Privileged Account Manager、Oracle Access Management Mobile and SocialおよびOracle Mobile Security Suiteが含まれるOracleホーム・ディレクトリを示すことに注意してください。このOracleホーム・ディレクトリには任意のパスを指定できます。
表8-1に、Oracle Privileged Account Managerを構成するためのタスクを示します。
表8-1 Oracle Privileged Account Managerの構成フロー
番号 | タスク | 説明 |
---|---|---|
1 |
オプション: OPAMデータ・ストアでのTDEの有効化 |
詳細は、第8.4項「オプション: Oracle Privileged Account Managerデータ・ストアのTDEの有効化」を参照してください。 |
2 |
Oracle Fusion Middleware構成ウィザードを実行して、新規または既存のWebLogicドメイン内でOracle Identity and Access Management製品を構成します。 |
詳細は、第8.5項「新しいWebLogicドメインにおけるOracle Privileged Account Managerの構成」を参照してください。 |
3 |
データベース・セキュリティ・ストアを構成します。 |
詳細は、第8.6項「データベース・セキュリティ・ストアの構成」を参照してください。 |
4 |
インストール後のタスクを実行してください。 |
次のインストール後のタスクを実行してください。 |
Oracle Privileged Account Managerは、Oracle Database等価的データ暗号化(TDE)モードで動作可能です。TDEモードは有効にすることも無効にすることもできます。セキュリティを強化するためにTDEモードを有効にすること強くお薦めします。
この項には次のトピックが含まれます:
Oracle Privileged Account ManagerのデータベースでのTDE(透過的データ暗号化)の有効化の詳細は、使用しているOracle Databaseのバージョンに応じて次のいずれかの手順を参照してください。
Oracle Databaseリリース11.2でTDEを有効化するには、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化の有効化に関する項を参照してください。
Oracle Databaseリリース12.1でTDEを有効化するには、『Oracle Database Advanced Securityガイド』の透過的データ暗号化の構成に関する項を参照してください。
詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化を使用した保存済データの保護に関する項を参照してください。
Oracle Privileged Account ManagerのデータベースでTDEを有効化したら、OPAMスキーマの暗号化を有効にする必要があります。第8.4.2項「OPAMスキーマでの暗号化の有効化」を参照してください。
OPAMスキーマの暗号化を有効にするには、sqlplusまたはその他のクライアントを使用してOPAMスキーマ・ユーザーでopamxencrypt.sql
スクリプトを実行します。
IAM_HOME
/opam/sql/opamxencrypt.sql
次に例を示します。
sqlplus DEV_OPAM/welcome1 @IAM_HOME
/opam/sql/opamxencrypt.sql
このトピックでは、新しいWebLogic管理ドメインでOracle Privileged Account Managerを構成する方法について説明します。次の項が含まれます:
新しいWebLogicドメインでOracle Privileged Account Managerを構成する場合には、このトピックの構成手順を実行してください。
この項の構成を実行すると、Oracle Privileged Account Managerが新しいWebLogicドメインにデプロイされます。
この項の構成は、次のものに依存しています。
Oracle WebLogic Server 11gリリース1 (10.3.6)
Oracle Identity and Access Management 11gソフトウェアのインストール。
Oracle Privileged Account Managerのデータベース・スキーマ。詳細は、第3.2.5項「Oracle Fusion Middleware Repository Creation Utility (RCU)を使用したデータベース・スキーマの作成」を参照してください。
新しいWebLogic管理ドメインでOracle Privileged Account Managerを構成するには、次の手順を実行します。
IAM_HOME/
common/bin/config.sh
スクリプト(LinuxまたはUNIXの場合)またはIAM_HOME\
common\bin\config.cmd
(Windowsの場合)を実行することでOracle Fusion Middleware構成ウィザードを起動します。
Oracle Fusion Middleware構成ウィザードの「ようこそ」画面が表示されます。
注意: IAM_HOME がこの例で使用されます。Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Privileged Account Manager、Oracle Access Management Mobile and SocialおよびOracle Mobile Security Suiteが含まれるOracle Identity and Access Managementホーム・ディレクトリから、このスクリプトを実行する必要があります。 |
「ようこそ」画面で「新しいWebLogicドメインの作成」を選択し、「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。Oracle Privileged Account Manager - 11.1.2.0.0 [IAM_HOME]を選択します。
注意: Oracle Privileged Account Manager - 11.1.2.0.0 [IAM_HOME]オプションを選択すると、デフォルトで次のオプションも選択されます。
|
「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。
注意: ドメイン・ホームとアプリケーション・ホームのデフォルトの場所は、それぞれMW_HOME /user_projects/domains とMW_HOME /user_projects/applications です。ただし、ドメイン・ホームとアプリケーション・ホームのディレクトリは、ミドルウェア・ホームとOracleホーム両方の外部に作成することをお薦めします。 |
管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogic
です。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」の下でモードを選択します。「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、OPAMスキーマまたはOPSSスキーマなど、変更するコンポーネント・スキーマを選択します。
スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名およびポートの値を設定できます。「次へ」をクリックします。「JDBCコンポーネント・スキーマのテスト」画面が表示されます。
テストが失敗した場合は、「前へ」をクリックし、問題を修正して、やり直します。
テストが成功したら、「次へ」をクリックします。「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、次を構成できます。
管理サーバー
管理対象サーバー、クラスタ、およびマシン
デプロイメントとサービス
RDBMSセキュリティ・ストア
任意のオプションを選択し、「次」を選択します。
オプション: 次の管理サーバー・パラメータを構成します。
名前
リスニング・アドレス
リスニング・ポート
SSLリスニング・ポート
SSLが有効か無効か
オプション: 必要に応じて、管理対象サーバーを構成します。
注意: Oracle Privileged Account Managerがデプロイされるデフォルトの管理対象サーバー名はopam_server1 です。
詳細は、『Oracle Fusion Middleware構成ウィザードによるドメインの作成』の管理対象サーバーの構成に関する項を参照してください。 |
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、Oracle Fusion Middleware Oracle Identity and Access Management高可用性ガイドのOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
ヒント: マシンを構成する前に、ping コマンドを使用して、マシンまたはホスト名がアクセス可能かどうかを検証します。 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: 管理対象サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。
「構成のサマリー」画面で、デプロイメント、アプリケーションおよびサービスの構成のサマリーを確認できます。ドメインの構成を確認し、「作成」をクリックしてドメインの作成を開始します。
デフォルトでは、Oracle Privileged Account Managerをサポートする新しいWebLogicドメインはMW_HOME
\user_projects\domains
ディレクトリ(Windowsの場合)に作成されます。LinuxまたはUNIXの場合、ドメインはデフォルトでMW_HOME
/user_projects/domains
ディレクトリに作成されます。
新しいWebLogic管理ドメインでOracle Privileged Account Managerを構成した後で、Oracle WebLogic管理サーバーを起動する前に、configureSecurityStore.py
スクリプトを実行してデータベース・セキュリティ・ストアを構成する必要があります。詳細は、第11章「Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成」を参照してください。
Oracle Privileged Account Managerをインストールおよび構成した後、Oracle WebLogic管理サーバーを起動する必要があります。付録C「スタックの起動」を参照してください。
Oracle Privileged Account Managerをインストールおよび構成した後、opam-config.sh
スクリプト(LinuxまたはUNIXの場合)またはopam-config.bat
スクリプト(Windowsの場合)を実行します。
スクリプトを実行する前に、WebLogic管理サーバーが稼働中であることを確認します。Oracle WebLogic管理サーバーの起動方法の詳細は、付録C「スタックの起動」を参照してください。
注意: ドメインを拡張する場合、opam-config.sh スクリプト(LinuxまたはUNIXの場合)またはopam-config.bat スクリプト(Windowsの場合)の実行前に、WebLogic管理サーバーが再起動していることを確認します。 |
ANT_HOME
、ORACLE_HOME
、JAVA_HOME
およびpermgen
サイズを設定します。
例:
Windowsの場合:
set ORACLE_HOME= ##set Oracle_Home here## set ANT_HOME=MW_HOME\modules\org.apache.ant_1.7.1 set JAVA_HOME=MW_HOME\jdk160_14_R27.6.4-18 set ANT_OPTS=-Xmx512M -XX:MaxPermSize=512m
LinuxまたはUNIXの場合:
set ORACLE_HOME ##set Oracle_Home here## set ANT_HOME $MW_HOME/modules/org.apache.ant_1.7.1 set JAVA_HOME $MW_HOME/jdk160_14_R27.6.5-32 set ANT_OPTS "-Xmx512M -XX:MaxPermSize=512m"
注意: 64ビットのプラットフォームで汎用jarファイルを使用してOracle WebLogic Serverをインストールすると、JDKはOracle WebLogic Serverと同時にインストールされません。Oracle WebLogic Serverをインストールする前に、JDKを個別にインストールする必要があります。この場合は、対応してJAVA_HOME 場所を指定する必要があります。 |
IAM_HOME
/opam/bin
ディレクトリに移動して、opam-config.sh
スクリプト(LinuxまたはUNIXの場合)またはopam-config.bat
スクリプト(Windowsの場合)を実行します。プロンプトが表示されたら、次の情報を入力します。
Oracle WebLogic管理ユーザー名
Oracle WebLogic管理パスワード
Oracle WebLogic管理サーバーURL
Oracle WebLogicドメイン名
注意: Oracle WebLogicドメイン名は大文字と小文字が区別されます。ドメインの作成時に定義した値と同じものを入力する必要があります。 |
Oracleミドルウェア・ホーム
注意: Oracleミドルウェア・ホームは大文字と小文字が区別されます。ドメインの作成時に定義した値と同じものを入力する必要があります。 |
opam-config
スクリプトのログ・ファイルは、DOMAIN_HOME/opam-config.log
に作成されます。
前述のディレクトリが存在しない場合は、opam-config
スクリプトのためのログ・ファイルがIAM_HOME
/opam/config/opam-config.log
に作成されます。
ログ・ファイルの場所はスクリプトの実行後に画面に出力されます。
注意: opam-config.sh スクリプト(LinuxまたはUNIXの場合)またはopam-config.bat スクリプト(Windowsの場合)を実行した後、Oracle WebLogic管理サーバーを再起動する必要があります。付録C「スタックの起動」の説明を参照してください。 |
付録C「スタックの起動」の説明に従って、Oracle Privileged Account Manager管理対象サーバーを起動する必要があります。
インストール・プロセスを完了すると、管理者ロールを持つユーザーは存在しません。ユーザーを選択し、そのユーザーにアプリケーション構成者ロールを付与する必要があります。
注意: 詳細は、Oracle Fusion Middleware Oracle Privileged Account Managerの管理のユーザーへのアプリケーション構成者ロールの割当てに関する項を参照してください。アプリケーション構成者ユーザーが持つことができる管理ロールの詳細は、Oracle Fusion Middleware Oracle Privileged Account Managerの管理の管理ロール・タイプに関する項を参照してください。 |
注意: Oracle Privileged Account Managerは、Oracle Database等価的データ暗号化(TDE)モードで動作可能です。TDEモードは有効にすることも無効にすることもできます。セキュリティを強化するためにTDEモードを有効にすること強くお薦めします。 |
TDEモードを無効にする場合は、tdemode
フラグをfalse
に設定する必要があります。
注意: このセクションに説明されている手順は、第8.4項「オプション: Oracle Privileged Account Managerデータ・ストアのTDEの有効化」をスキップした場合のみ必要です。 |
TDEモードを無効にするには、次の手順を実行します。
ORACLE_HOME
およびJAVA_HOME.
環境変数を設定します。
次のスクリプトを実行します。
Windowsの場合:
ORACLE_HOME
\opam\bin\opam.bat -urlOPAM_Server_URL
-x modifyglobalconfig -propertyname tdemode -propertyvalue false -uOPAM_APPLICATION_CONFIGURATOR_USER
-pPassword
ここでは、OPAM_Server_URL
にはhttps://
OPAM_Managed_Server_Hostname
:OPAM_Managed_Server_SSL_port
/opam
からのURLを指定します。
LinuxまたはUNIXの場合:
ORACLE_HOME
/opam/bin/opam.sh -urlOPAM_Server_Url
-x modifyglobalconfig -propertyname tdemode -propertyvalue false -uOPAM_APPLICATION_CONFIGURATOR_USER
-pPassword
ここでは、OPAM_Server_URL
にはhttps://
OPAM_Managed_Server_Hostname
:OPAM_Managed_Server_SSL_port
/opam
からのURLを指定します。
注意: TDEモードは、Oracle Privileged Account Managerをインストールおよび構成した後、いつでも有効化または無効化できます。TDEモードを後から変更する方法の詳細は、Oracle Fusion Middleware Oracle Privileged Account Managerの管理のディスクへのデータ保存に関する項を参照してください。 |
アプリケーション構成者ユーザーが、次のURLを使用してログインした場合:
http://opam-managedserver-host:opam-managedserver-nonsslport/oinav/opam
Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーの接続設定を自動検出し、Oracle Privileged Account Managerコンソールにコンテンツが移入されます。
アプリケーション構成者ユーザーは、サーバー接続設定を変更するために、左側のペインにある「構成」オプションに移動して、「サーバー接続」をクリックできます。このユーザーは、「サーバー接続」タブで、新しいホストとポートを指定できます。
インストール後手順を含め、インストール・プロセスの完了後、Oracle Privileged Account Managerのインストールと構成を次の方法で検証できます。
次のURLを使用して、Oracle Privileged Account Manager Serverが起動して稼働していることを確認します。
https://opam-managedserver-host:opam-managedserver-sslport/opam
ユーザー名とパスワードの入力を求められます。WebLogicのユーザー名とパスワードを入力します。次の結果が表示されます。
{
ServerState: {
Status: "Oracle Privileged Account Manager Server is up!",
StatusCode: 0
},
Requestor: "WebLogic_username
",
RequestorGroups: [
"Administrators"
]
}
次のURLを使用して、Oracle Privileged Account Managerの管理コンソールにログインします。
http://opam-managedserver-host:opam-managedserver-nonsslport/oinav/opam
OPAM管理対象サーバー上で稼動しているこの管理コンソールにアクセスすると、ユーザー名とパスワードの入力を求められます。管理者のロールと権限を持っている必要があります。
Oracle WebLogic Server管理コンソールを検証します。Oracle Privileged Account Managerのインストールおよび構成に成功すると、このコンソールに、デフォルトの管理対象サーバーであるopam_server1
が実行モードで表示されます。
「ドメイン構造」ペインで、「デプロイメント」をクリックします。「デプロイメント」表に次のアプリケーションがリストされ、状態がActive
になる必要があります。
oinav
opam
opamsessionmgr
Oracle Privileged Account Managerのインストール後、Oracle Fusion Middleware Oracle Privileged Account Managerの管理の「OPAMの管理のスタート・ガイド」の章を参照ください。