33.7 1つのIIS 6インスタンスに対する複数のWebgateのインストールと構成

特に明記しないかぎり、この項は32ビットと64ビットのWebgateに同様に適用されます。同じIIS Webサーバー・インスタンス上の異なるWebサイトに複数のWebゲートをインストールして構成できます。いくつかのステップは手動で行い、1つのIISインスタンスに1つのWebゲートをインストールする際に実行するステップとは異なります。

関連項目:

「1つのIIS 7インスタンスに対する複数の10g Webゲートのインストールと構成」

1つのIISインスタンスに対して複数のWebゲートをインストールする場合、次のようになります。

• webgate.dllは、デフォルト(上位)Webサーバー・レベルではなく個々のWebサイト・レベルでISAPIフィルタとして構成する必要があります。

• /access仮想ディレクトリは、Webサイト・レベルで、Webgateインストールのそれぞれの/accessディレクトリにマップされます。

複数のWebgateの偽装DLLを構成する場合、オペレーティング・システムとして機能するようにユーザーを構成する必要があります。

マシンの(上位)Webサイト・レベルに構成できるpostgate.dllは1つだけです。ただし、上位レベルのWebサイトの下に異なるレベルで複数のwebgate.dllを構成できます。1台のマシンで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにAccess Managerの動作に異常が現れる可能性があります。

タスクの概要: 1つのIISインスタンスに対する複数のWebgateのインストールと構成:

1. 複数のWebgateシナリオにおける各Webgateのインストール
2. 複数のWebgateに対する偽装DLLの設定
3. 複数のWebgateに対するSSLとクライアント認証の有効化
4. 次のタスクを実行します。このタスクはIIS Webサーバー・インスタンスごとにインストールするWebgateの数に関係なく同じです。

   • 「ISAPIフィルタの並替え」

   • 「IISへのWebgateのインストールの確認」

   関連項目:

   「複数のWebgateのインストールの確認」

33.7.1 複数のWebgateシナリオにおける各Webgateのインストール

特に明記しないかぎり、この項は32ビットと64ビットのWebgateに同様に適用されます。ISAPI Webgateをインストールした後で、次に説明する手動のステップをいくつか実行します。デフォルトでは、webgate.dllはWebサイト(上位)レベルでISAPIフィルタとして構成されます。複数のWebgateを1つのIISインスタンスに対してインストールしているときは、各Webgateインストールの後で、上位レベルからそれぞれのwebgate.dllを削除して、個々の適切なWebサイトで構成する必要があります。

ノート:

1台のマシンで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにAccess Managerの動作に異常が現れる可能性があります。1つのIIS v6 Webサーバー・インスタンスに対して複数のWebgateが構成されている環境では、postgate.dllはサポートされません。

1つのIISインスタンスに対して複数のWebゲートがある場合に各Webゲートをインストールするには、次のようにします。

1. 「Access Manager 11gを使用する10g Webゲートの登録および管理」の説明に従って、ISAPI Webゲートをインストールします。

2. 保護するWebサイトに移動し、次のステップを使用してwebgate.dllをISAPIフィルタとして構成します。

   1. インターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。

   2. 「Web Sites」を右クリックして、「Properties」オプションをクリックします。

   3. 「ISAPI filter」タブをクリックしてwebgate.dllのパスを探します。フィルタ内に存在する場合はそれを選択して、「Remove」ボタンをクリックします。

   4. 「Web Sites」で、保護するWebサイトの名前を右クリックし、「Properties」オプションを選択します。

   5. 「ISAPI filter」タブをクリックしてフィルタのDLLを追加します。

   6. 次のフィルタを追加し、webgate.dllファイルのパスを指定します。webgateという名前を付けます。

      Webgate_install_dir/access/oblix/apps/webgate/bin/webgate.dll
      

   7. これらの変更を保存して適用します。

   8. 「Directory Security」タブに移動します。

   9. Access ManagerでこのWebサーバーの認証を行えるように「anonymous access」と「basic authentication」が選択されていることを確認します。

   10. これらの変更を保存して適用します。

3. 保護するWebサイト・レベルに移動し、新しくインストールしたWebgate_install_dirを指す/access仮想ディレクトリを次のように作成します。

   1. 「Web Sites」で、保護するWebサイトの名前を右クリックします。

   2. 「New」を選択して、該当のWebgate_install_dir/accessを指す新しい仮想ディレクトリaccessを作成します。

   3. 「Access Permissions」で、「Read」、「Run Scripts」および「Execute」を選択します。

   4. これらの変更を保存して適用します。

4. ファイル・システムで、次のようにAccess Managerのディレクトリ権限を設定します。

   1. ファイル・システムで、Webgate_install_dir\accessを探して右クリックし、「プロパティ」を選択します。

   2. 「セキュリティ」タブをクリックします。

   3. IUSR_machine_nameユーザーを追加して、「変更」に対して「許可」を選択します。

      たとえば、Oracleのmachine_nameとしてIUSR_ORACLEを選択します。

   4. IWAM_machine_nameユーザーを追加して、「変更」に対して「許可」を選択します。

      たとえば、Oracleのmachine_nameとしてIWAM_ORACLEを選択します。

   5. IIS_WPGユーザーを追加して、「変更」に対して「許可」を選択します。

   6. NETWORK SERVICEユーザーを追加して、「変更」に対して「許可」を選択します。

   7. Administratorsグループで、「変更」に対して「許可」を選択します。

5. 簡易モードまたは証明書モードでWebGateが設定されている場合は、次のステップを実行します。

   1. ファイル・システムで、Webgate_install_dir\access\oblix\config\password.xmlのpassword.xmlファイルを探して右クリックし、「プロパティ」を選択します。

   2. 「セキュリティ」タブをクリックします。

   3. IUSR_machine_name、IWAM_machine_name、IIS_WPG、NETWORK SERVICEユーザーの「読取り」権限に対して「許可」を選択します。

6. 次のステップを実行して新しいWebサービス拡張機能を追加します。

   1. 「Web Service Extensions」を右クリックして、「Add a new Web service extension...」を選択します。

   2. 拡張機能名Oracle Webgateを追加します。

   3. 「Add」をクリックして拡張機能ファイルのパスを追加し、該当のwebgate.dllのパスを入力します。

      Webgate_install_dir\access\access\oblix\apps\webgate\bin\webgate.dll
      

   4. 変更を保存する場合は、「OK」をクリックします。

   5. 「Set extension status to allowed」の横にあるチェック・ボックスを選択します。

   6. 変更を保存する場合は、「OK」をクリックします。

7. 上位のWebサイト・レベル(「Webサイト」)のISAPIフィルタにwebgate.dllがないことを確認します。

8. 次の項目の手順に従い次の一連のタスクを実行します。

   1. 「複数のWebGateに対する偽装DLLの設定」

   2. 「複数のWebgateに対するSSLとクライアント認証の有効化」

9. IISインスタンスに対して次のWebgateをインストールするには、これらのステップを繰り返します。

33.7.2 複数のWebgateに対する偽装DLLの設定

特に明記しないかぎり、この項は32ビットと64ビットのWebgateおよびIIS v6に同様に適用されます。偽装DLLを個々のWebサイトのIIS構成に追加できます。

クライアントのアクセス・トークンは偽装トークンとも呼ばれます。偽装トークンでは、クライアント、クライアントのグループおよびクライアントの権限が識別されます。トークン内の情報は、スレッドがクライアントのかわりにリソースへのアクセスをリクエストする際に、アクセス・チェックに使用されます。

アクセス・システムによってユーザーの認証および認可が行われます。ワイルドカード拡張機能のAccess ManagerのIISImpersonationExtension.dllは、Webサーバーへの各リクエストのフィルタのように機能します。アクセス・システムでは、「アクセス・ゲート構成」ページの偽装ユーザー名/パスワードを使用して、別のユーザーを偽装する権限を持つ特別なユーザーを構成することでユーザーを指定します。指定されたユーザーにはオペレーティング・システムとして機能する権限が必要です。DLLは、Access Managerによって認証および認可されたユーザーを偽装し、偽装トークンを生成します。

次のステップを実行し、1つのIIS Webサーバー・インスタンスのWebサイトを保護する各Webgateに偽装DLLを設定します。これは、前述の項のインストール・タスクの直後に行うことも、まとめて一度に実行することもできます。

ノート:

このタスクは、1つのIIS Webサーバー・インスタンスの個々のWebサイトを保護する各Webgateに対して実行する必要があります。

偽装DLLを追加するには:

1. 必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
2. 左側のペインにあるローカル・コンピュータのアイコンの横のプラス・アイコン(+)をクリックしてWebサイトを表示します。
3. 左側のペインで「Web Service Extensions」をクリックします。
4. 右側のペインで「Webgate」をダブルクリックし、「Properties」パネルを開きます。
5. 「Required Files」タブをクリックします。
6. 「Add」をクリックします。
7. 「Path to file」テキスト・ボックスでIISImpersonationExtension.dllのフルパスを入力し、「OK」をクリックします。次に例を示します。

   Webgate_install_dir\access\oblix\apps\webgate\bin\IISImpersonationExtension.dll
   

   この例ではデフォルトのパスを表しています。この場合、Webgate_install_dirが、該当のWebgateをインストールしたファイル・システムのディレクトリになります。

8. Webgateのアイコンの横にある「Allow」ボタンがグレー表示されていることを確認します。グレー表示されていれば、dllをWebサービス拡張機能として実行できます。
9. Webサイト名を右クリックして、「Properties」をクリックします。
10. 「Home Directory」タブをクリックし、「Configuration」ボタンをクリックします。
11. ワイルドカードのアプリケーションのマッピングのリスト・ボックスで、IISImpersonationExtension.dllのエントリをクリックして強調表示し、「Edit」をクリックします。
12. ボックスの選択が解除されていないことを確認し、「OK」をクリックします。
13. IIS Webサーバー・インスタンスに対するWebサイトとWebgateのペアごとにこれらのステップを繰り返します。
14. 次に進みます。

    • クライアント証明書認証: 「複数のWebgateに対するSSLとクライアント認証の有効化」

    • 「複数のWebgateのインストールの確認」。

33.7.3 複数のWebgateに対するSSLとクライアント認証の有効化

IIS v6 WebでSSLを有効にし、cert_authn.dllをISAPIフィルタとして追加できます。

このタスクを実行し、1つのIIS Webサーバー・インスタンスのWebサイトを保護する各Webgateに有効なクライアント認証を設定します。これは、偽装DLLを個々のWebサイトに追加した直後に行うことも、まとめて一度に実行することもできます。

ノート:

特に明記しないかぎり、この項の手順は32ビットと64ビットのWebgateおよびIIS 6に同様に適用されます。

設定中にクライアント証明書認証を選択する場合、各WebサイトのISAPIフィルタの1つとしてcert_authn.dllを追加する必要があります。

IIS v6 WebでSSLを有効にするには:

1. 必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。

2. ローカル・コンピュータのアイコンを開き、Webサイトを表示します。

3. 該当するそれぞれのWebサイトを開いてから、\access\oblix\apps\webgate\binを開きます。

4. cert_authn.dllを右クリックして、「Properties」を選択します。

5. 「Properties」パネルで「File Security」タブを選択します。

6. 「Secure Communications」サブパネルで「Edit」をクリックします。

7. 「Client Certificate Authentication」サブパネルで「Accept Certificates」をクリックし、「OK」をクリックします。

8. cert_authn.dllの「Properties」パネルで「OK」をクリックします。

9. このホストにインストールした各Webgateに対して同じ処理を繰り返します。

10. 次のタスク「ISAPIフィルタとしてcert_authn.dllを追加する手順」に進みます。

ISAPIフィルタとしてcert_authn.dllを追加するには:

1. 必要な場合、「Internet Information Services」コンソールを起動します。
2. ローカル・コンピュータを開いて、Webサイトを表示します。
3. 適切なWebサイトを右クリックして、「Properties」パネルを表示します。
4. 「ISAPI Filters」タブをクリックして、「Add」ボタンをクリックし、「Filter Properties」パネルを表示します。
5. フィルタ名としてcert_authnと入力します。
6. 「Browse」ボタンをクリックし、次のディレクトリにナビゲートします。

   \Webgate_install_dir\access\oblix\apps\webgate\bin

7. cert_authn.dllを実行可能ファイルとして選択します。
8. 「Filter Properties」パネルで「OK」をクリックします。
9. 「ISAPI Filters」パネルで「Apply」をクリックします。
10. 「OK」をクリックします。
11. このホストにインストールした各Webgateに対して同じ処理を繰り返します。
12. フィルタが正しい順序で表示されていることを確認します。
13. 「複数のWebgateのインストールの確認」に進みます。

33.7.4 複数のWebgateのインストールの確認

このタスクは32ビットと64ビットのWebgateおよびIIS v6 Webサーバーに同様に適用されます。1台のマシンで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにAccess Managerの動作に異常が現れる可能性があります。1つのIIS v6 Webサーバー・インスタンスに対して複数のWebgateが構成されている環境では、postgate.dllはサポートされません。

関連項目:

• 「64ビットWebgateインストールの終了」

• 「IISへのWebgateのインストールの確認」